Cercetările conduse de Kaspersky Lab în parteneriat cu ITU IMPACT Alliance, CERT-Bund/BSI şi Symantec confirmă faptul că platforma Flame datează din 2006 şi se află în plin proces de dezvoltare.
Kaspersky Lab anunţă rezultatele unei noi investigaţii aflate în strânsă legătură cu descoperirea campaniei Flame de spionaj cibernetic. Cercetările, desfăşurate de Kaspersky Lab în parteneriat cu IMPACT Alliance din cadrul Uniunii Internaţionale a Telecomunicaţiilor, CERT-Bund/BSI şi Symantec, au presupus analiza în detaliu a unui număr de servere de Comandă şi Control (C&C) folosite de creatorii Flame, dezvăluind trei programe periculoase nedescoperite încă. Mai mult, platforma Flame datează încă din anul 2006.
Principalele descoperiri:
• Dezvoltarea platformei de Comandă şi Control a Flame a început în decembrie 2006
• Serverele C&C erau deghizate în sisteme obişnuite de administrare a conţinutului (Content Management System), pentru a ascunde adevărata natură a proiectului de ochii furnizorilor de servicii de hosting sau a posibilelor investigaţii
• Serverele puteau obţine informaţii de la computerele infectate folosind patru tipuri diferite de protocoale; numai unul dintre acestea era folosit pentru atacurile cu Flame
• Existenţa celorlalte trei protocoale de comunicare nefolosite de Flame dovedeşte prezenţa a cel puţin trei tipuri de malware create împreună cu acesta; natura lor este, încă, necunoscută
• Unul dintre aceste trei programe periculoase este activ şi operează „in the wild”
• Există indicii care arată că platforma C&C se află încă în proces de dezvoltare; un sistem de comunicare, numit „Red Protocol”, este menţionat, dar neimplementat încă
• Nu există informaţii care să ateste faptul că serverele C&C ale lui Flame erau utilizate pentru controlul altor programe periculoase cunoscute, precum Stuxnet sau Gauss
Iniţial, campania Flame de spionaj cibernetic a fost descoperită de Kaspersky Lab în luna mai 2012, în timpul unei investigaţii lansate de Uniunea Internaţională a Telecomunicaţiilor (ITU). Complexitatea codului şi legăturile cu Stuxnet indică faptul că Flame reprezintă un alt exemplu de operaţiune sofisticată de spionaj cibernetic, sponsorizată de guvernul unui stat. Cercetările iniţiale arătau că Flame a început să opereze în 2010, dar prima analiză a infrastructurii de Comandă şi Control (care acoperea cel puţin 80 de nume de domenii web) a mutat perioada cu doi ani mai devreme.
Rezultatele noii cercetări au la bază analiza conţinutului obţinut de pe mai multe servere de C&C folosite de Flame. Aceste informaţii au fost recuperate, în ciuda faptului că infrastructura de control a Flame a fost dezactivată, imediat ce Kaspersky Lab a dezvăluit existenţa malware-ului. Toate serverele utilizau o versiune pe 64 de biţi a sistemului de operare Debian, virtualizat cu ajutorul OpenVZ. O mare parte din codul folosit de servere era scris în limbaj de programare PHP. De asemenea, autorii Flame au luat măsuri speciale pentru a camufla serverele de C&C în sisteme obişnuite de administrare a conţinutului (Content Management System), pentru a evita descoperirea lor de către furnizorul serviciilor de găzduire online.
Au fost folosite metode sofisticate de criptare, pentru ca atacatorii să fie singurele persoane care puteau obţine acces la datele încărcate de pe computerele infectate. Analiza fişierelor script, utilizate pentru controlul transmisiei datelor către computerele-victimă a scos la lumină patru protocoale de comunicare, numai unul dintre ele fiind compatibil cu Flame. Acest lucru semnifică faptul că cel puţin alte trei tipuri de malware au folosit aceste servere de Comandă şi Control. Există, de asemenea, suficiente dovezi care să demonstreze existenţa cel puţin a unui malware înrudit cu Flame, care operează încă neidentificat. Aceste programe periculoase sunt, încă, nedescoperite.
Un alt rezultat important al analizei dezvăluie că platforma C&C a Flame a început să fie dezvoltată în decembrie 2006. În plus, există indicii care confirmă faptul că aceasta se află încă în proces de dezvoltare, deoarece, un nou protocol, neimplementat încă – numit „Red Protocol” – a fost descoperit pe servere. Ultima modificare a codului de pe servere datează din 18 mai 2012.
„A fost destul de dificil pentru noi să estimăm cantitatea de date furată de Flame, chiar dacă am finalizat analiza serverelor de Comandă şi Control”, spune Alexander Gostev, Chief Security Expert, Kaspersky Lab. „Autorii Flame se pricep foarte bine să-şi ascundă urmele, însă, o greşeală a unuia dintre ei ne-a ajutat să descoperim pe un server mai multe date decât intenţionau aceştia să stocheze pe el. Pe baza acestor informaţii, am putut afla că, săptămânal, peste cinci gigabytes de date adunate de la peste 5000 de computere infectate au fost încărcate pe acest server. Fără nicio îndoială, acesta este un exemplu de spionaj cibernetic desfăşurat la scară largă”, completează Gostev.