Kaspersky Lab przedstawia wyniki nowego badania związanego z wykryciem zaawansowanej, sponsorowanej przez rząd kampanii cyberszpiegowskiej o nazwie Flame. Podczas badania, przeprowadzonego przez firmę Kaspersky we współpracy z organizacjami IMPACT Alliance, CERT-Bund/BSI oraz Symantec, szczegółowo przeanalizowano wiele serwerów kontroli wykorzystywanych przez twórców Flame’a.
Analiza ujawniła nowe, przełomowe fakty na temat tej cyberbroni. W szczególności, znaleziono ślady trzech niezidentyfikowanych jeszcze szkodliwych programów i odkryto, że platforma Flame’a istnieje już od 2006 r.
- Główne ustalenia badania:
- Prace nad platformą kontroli Flame’a rozpoczęły się już w grudniu 2006 r.
- W celu ukrycia prawdziwej natury projektu przed dostawcami usług hostingowych i innymi badaczami serwery kontroli przypominały zwykły system zarządzania zawartością (CMS).
- Serwery potrafiły otrzymywać dane z zainfekowanych maszyn przy użyciu czterech różnych protokołów, a komputery zainfekowane Flamem były „obsługiwane” przez tylko jeden z nich.
- Istnienie trzech dodatkowych protokołów niewykorzystywanych przez Flame’a dowodzi, że zostały stworzone co najmniej trzy inne szkodliwe programy związane z Flamem; ich natura nie jest obecnie znana.
- Jeden z tych nieznanych szkodliwych obiektów związanych z Flamem działa obecnie na wolności.
- Pewne oznaki wskazują na to, że platforma nadal jest rozwijana; w kodzie pojawia się wzmianka schemacie komunikacji o nazwie “Red Protocol”, który nie został jeszcze stworzony.
- Nic nie świadczy o tym, że serwery kontroli Flame’a były wykorzystywane do kontrolowania innych znanych szkodliwych programów, takich jak Stuxnet czy Gauss.
Kampania cyberszpiegowska o nazwie Flame została po raz pierwszy wykryta przez Kaspersky Lab w maju 2012 r. podczas dochodzenia zainicjowanego przez International Communication Unit (ICU). Złożoność kodu oraz potwierdzone związki z twórcami Stuxneta sugerują, że Flame jest kolejnym przykładem zaawansowanego, sponsorowanego przez rząd cyberprojektu. Początkowo szacowano, że Flame zaczął działać w 2010 r., jednak po pierwszej analizie infrastruktury przygotowanej przez cyberprzestępców (składającej się z co najmniej 80 znanych nazw domen) datę tę przesunięto o dwa lata wcześniej.
Strony: 1 2