Kaspersky Lab przedstawia wyniki nowego badania związanego z wykryciem zaawansowanej, sponsorowanej przez rząd kampanii cyberszpiegowskiej o nazwie Flame. Podczas badania, przeprowadzonego przez firmę Kaspersky we współpracy z organizacjami IMPACT Alliance, CERT-Bund/BSI oraz Symantec, szczegółowo przeanalizowano wiele serwerów kontroli wykorzystywanych przez twórców Flame’a.

Analiza ujawniła nowe, przełomowe fakty na temat tej cyberbroni. W szczególności, znaleziono ślady trzech niezidentyfikowanych jeszcze szkodliwych programów i odkryto, że platforma Flame’a istnieje już od 2006 r.

    Główne ustalenia badania:

  • Prace nad platformą kontroli Flame’a rozpoczęły się już w grudniu 2006 r.
  • W celu ukrycia prawdziwej natury projektu przed dostawcami usług hostingowych i innymi badaczami serwery kontroli przypominały zwykły system zarządzania zawartością (CMS).
  • Serwery potrafiły otrzymywać dane z zainfekowanych maszyn przy użyciu czterech różnych protokołów, a komputery zainfekowane Flamem były „obsługiwane” przez tylko jeden z nich.
  • Istnienie trzech dodatkowych protokołów niewykorzystywanych przez Flame’a dowodzi, że zostały stworzone co najmniej trzy inne szkodliwe programy związane z Flamem; ich natura nie jest obecnie znana.
  • Jeden z tych nieznanych szkodliwych obiektów związanych z Flamem działa obecnie na wolności.
  • Pewne oznaki wskazują na to, że platforma nadal jest rozwijana; w kodzie pojawia się wzmianka schemacie komunikacji o nazwie “Red Protocol”, który nie został jeszcze stworzony.
  • Nic nie świadczy o tym, że serwery kontroli Flame’a były wykorzystywane do kontrolowania innych znanych szkodliwych programów, takich jak Stuxnet czy Gauss.

Kampania cyberszpiegowska o nazwie Flame została po raz pierwszy wykryta przez Kaspersky Lab w maju 2012 r. podczas dochodzenia zainicjowanego przez International Communication Unit (ICU). Złożoność kodu oraz potwierdzone związki z twórcami Stuxneta sugerują, że Flame jest kolejnym przykładem zaawansowanego, sponsorowanego przez rząd cyberprojektu. Początkowo szacowano, że Flame zaczął działać w 2010 r., jednak po pierwszej analizie infrastruktury przygotowanej przez cyberprzestępców (składającej się z co najmniej 80 znanych nazw domen) datę tę przesunięto o dwa lata wcześniej.

Strony: 1 2