Kaspersky Lab predstavio detaljnu analizu infrastrukture programa Flame
Kompanija Kaspersky Lab najavila je 28. maja 2012. otkriće o visokosofisticiranom štetnom programu, poznatom kao Flame, koji je bio u aktivnoj upotrebi kao sajber oružje za ciljane subjekte u nekoliko zemalja. Flame su otkrili stručnjaci kompanije Kaspersky Lab tokom istrage koju je zahtevala Međunarodne unije za telekomunikacije (ITU). Analiza štetnog programa otkrila je da je to najveća i najsloženija alatka za napad do sada.
Kompanija Kaspersky Lab je ustanovila da je program trenutno korišćen za sajber špijunažu i ima cilj da zarazi računare kako bi krao podatake i osetljive informacije. Ukradeni podaci se zatim šalju na jedan od komandnih i kontrolnih (K i K) servera virusa Flame.
Kompanija Kaspersky Lab je pažljivo pratila K i K infrastrukturu programa Flame i objavila je danas detaljan istraživački osvrt o nalazima.
U saradnji sa kompanijama GoDaddy i OpenDNS, Kaspersky Lab je uspeo da detektuje većinu zlonamernih domena koje su koristile KiK infrastrukture programa Flame. Sledeći detalji sumiraju rezultate analize:
- Flame KiK infrastruktura, koja je godinama bila u funkciji, isključena je sa mreže odmah nakon prošlonedeljne objave kompanije Kaspersky Lab o postojanju štetnog programa
- Trenutno postoji više od 80 poznatih domena koje je koristio virus Flame za KiK servere i prateće domene, koji su registrovani između 2008. i 2012. godine.
- Tokom protekle četiri godine, serveri sa Flame KiK infrastrukturom premeštani su na više lokacija, uključujući Hong Kong, Tursku, Nemačku, Poljsku, Maleziju, Letoniju, Veliku Britaniju i Švajcarsku.
- Flame KiK domeni bili su registrovani u vidu impresivne liste lažnih identiteta i sa različitim registrima, koji datiraju još iz 2008. godine.
- Prema podacima kompanije Kaspersky Lab, korisnici zaraženih računara registrovani su u više regiona – Bliski Istok, Evropa, Severna Amerika i region Azije i Pacifika.
- Flame napadače izgleda veoma zanimaju PDF, Office i AutoCad nacrti.
- Podaci postavljeni na Flame KiK serverima šifrovani su pomoću relativno jednostavnih algoritama. Ukradeni dokumenti su komprimovani pomoću Zlib-a otvorenog koda i modifikovane PPDM kompresije.
- Windows 7 64 bit, koji smo preporučili kao dobro rešenje kada su u pitanju infekcije štetnim programima, daje efektne rezultate u borbi protiv virusa Flame.
Kaspersky Lab bi želeo da se zahvali Vilijamu MekArturu i odeljenju za zloupotrebe kompanije GoDaddy za brzu reakciju i izuzetnu podršku tokom ovog istraživanja. Pored toga, Kaspersky Lab bi takođe želeo da se zahvali istraživačkom timu kompanije OpenDNS, koji je takođe bio od neprocenjive pomoći u toku ove istrage.
Tokom protekle nedelje, Kaspersky Lab je kontaktirao CERT u više zemalja da ih obavesti o Flame KiK domenu i o IP adresama zlonamernih servera. Kaspersky Lab bi želeo da se zahvali na podršci svima koji su učestvovali u ovoj istrazi.
Izvor: Kaspersky Lab