Ново разследване на "Лаборатория Касперски" е по следите на три свързани с Flame злонамерени програми, като поне една от тях все още върлува необезпокоявана, съобщиха от компанията за сигурност. Проучванията, водени съвместно със съюза „Импакт” към ITU, CERT-Bund/BSI и Symantec, разкриват, че платформата Flame датира още от 2006 г. и че нейната разработка продължава, спонсорирана на равнище държава.
Комуникационната схема „Червен протокол”, чието прилагане предстои |
На обстоен анализ са били подложени сървърите за управление и контрол, използвани от създателите на Flame. Установени са нови, разтърсващи факти за Flame. В частност, открити са три неизвестни досега злонамерени програми.
Кампанията по кибер шпионаж Flame първоначално е открита през м. май 2012 г. от „Лаборатория Касперски” по време на разследване, стартирано от Международния съюз по далекосъобщенията. Сложността на кода и потвърдените връзки с разработчиците на Stuxnet сочат, че Flame е поредният пример за комплексна кибер операция, спонсорирана на равнище държава.
Първоначално се смяташе, че Flame е пуснат през 2010 г., но първият анализ на неговата инфраструктура за управление и контрол (която обхваща поне 80 известни имена на домейни) изместиха началната дата с две години по-рано.
Констатациите на това конкретно разследване се основават на анализ на съдържанието, извлечено от няколко сървъра за управление и контрол, използвани от Flame. Всички сървъри използват 64-битовата версия на операционната система Debian, виртуализирана посредством контейнери на OpenVZ. По-голямата част от кода на сървърите е написана на програмния език PHP.
Създателите на Flame са предприели мерки, за да може сървърът за управление и контрол да изглежда като обикновена Система за управление на съдържанието и така да избегнaт привличането на внимание от страна на доставчика на интернет услуги.
Използвани са сложни методи за криптиране, за да не може никой, освен извършителите на атаката, да получи данните, качени от заразените машини. Анализът на скриптовете, използвани за управление на преноса на данни към жертвите, разкриват четири комуникационни протокола и само един от тях е бил съвместим с Flame. Това означава, че поне три други вида злонамерен софтуер са използвали тези сървъри за управление и контрол. Съществуват достатъчно доказателства, че поне един свързан с Flame злонамерен софтуер работи необезпокояван, без знанието на жертвите. Тези неизвестни злонамерени програми предстои да бъдат открити.
Основни констатации за Flame:
• Разработката на платформата за управление и контрол на Flame започва още през м. декември 2006 г. • Сървърите за управление и контрол са били прикрити така, че да изглеждат като обикновена Система за управление на съдържанието (CMS), за да се завоалира действителната същност на проекта пред доставчиците на хостинг услуги или авторите на различни разследвания. • Сървърите са можели да получават данни от заразени машини през четири различни протокола; само един от обслужващите компютри е бил атакуван от Flame. • Съществуването на три допълнителни протокола, които не се използват от Flame, представлява доказателство, че са били създадени поне три други свързани с Flame злонамерени програми; естеството им понастоящем остава неизвестно. • Един от тези неизвестни, свързани с Flame злонамерени обекти понастоящем работи без жертвите да подозират за него. • Има свидетелства за това, че платформата за управление и контрол продължава да се разработва; споменава се за комуникационна схема, наречена „Червен протокол”, но нейното прилагане на практика предстои. • Няма доказателства, че управлението и контролът на Flame са били използвани за контрол на друг известен злонамерен софтуер, като например Stuxnet или Gauss. |
Друг важен резултат от анализа е, че разработката на платформата за управление и контрол на Flame започва още през м. декември 2006 г. Има свидетелства за това, че платформата продължава да се разработва, тъй като на сървърите е открит нов, все още неприлаган протокол, наречен „Червен протокол”. Най-новата модификация в кода на сървърите е извършена на 18 май 2012 г. от един от програмистите.
„За нас се оказа проблем да се изчисли обемът на данните, откраднати от Flame, дори след анализа на сървърите за управление и контрол. Създателите на Flame много добре замитат следите си. Една грешка на извършителите на атаките обаче ни помогна да открием повече информация, която се очакваше да бъде пазена на един сървър. Въз основа на това виждаме, че всяка седмица на този конкретен сървър са били качвани над пет гигабайта данни от над 5 000 заразени машини. Това разбира се е пример за широкомащабен кибер шпионаж”, коментира Александър Гостев, главен специалист по сигурността в „Лаборатория Касперски”.