Kaspersky Lab a anuntat rezultatele unei noi investigatii aflate in stransa legatura cu descoperirea campaniei Flame de spionaj cibernetic. Cercetarile au fost desfasurate in parteneriat cu IMPACT Alliance din cadrul Uniunii Internationale a Telecomunicatiilor si au presupus analiza in detaliu a unui numar de servere de Comanda si Control (C&C) folosite de creatorii Flame, dezvaluind trei programe periculoase nedescoperite inca.
In timpul studiilor s-a ajuns la cocluzia ca platforma Flame dateaza inca din anul 2006. Initial, campania Flame de spionaj cibernetic a fost descoperita de Kaspersky Lab in luna mai 2012, in timpul unei investigatii lansate de Uniunea Internationala a Telecomunicatiilor ( ITU). Complexitatea codului si legaturile cu Stuxnet indica faptul ca Flame reprezinta un alt exemplu de operatiune sofisticata de spionaj cibernetic, sponsorizata de guvernul unui stat.
Cercetarile initiale aratau ca Flame a inceput sa opereze in 2010, dar prima analiza a infrastructurii de Comanda si Control (care acoperea cel putin 80 de nume de domenii web) a mutat perioada cu doi ani mai devreme.Rezultatele noii cercetari au la baza analiza continutului obtinut de pe mai multe servere de C&C folosite de Flame. Aceste informatii au fost recuperate, in ciuda faptului ca infrastructura de control a Flame a fost dezactivata, imediat ce Kaspersky Lab a dezvaluit existenta malware-ului. Toate serverele utilizau o versiune pe 64 de biti a sistemului de operare Debian, virtualizat cu ajutorul Open VZ. O mare parte din codul folosit de servere era scris in limbaj de programare PHP.
De asemenea, autorii Flame au luat masuri speciale pentru a camufla serverele de C&C in sisteme obisnuite de administrare a continutului (Content Management System), pentru a evita descoperirea lor de catre furnizorul serviciilor de gazduire online.Au fost folosite metode sofisticate de criptare, pentru ca atacatorii sa fie singurele persoane care puteau obtine acces la datele incarcate de pe computerele infectate. Analiza fisierelor script, utilizate pentru controlul transmisiei datelor catre computerele-victima a scos la lumina patru protocoale de comunicare, numai unul dintre ele fiind compatibil cu Flame. Acest lucru semnifica faptul ca cel putin alte trei tipuri de malware au folosit aceste servere de Comanda si Control.
Exista, de asemenea, suficiente dovezi care sa demonstreze existenta cel putin a unui malware inrudit cu Flame, care opereaza inca neidentificat. Aceste programe periculoase sunt, inca, nedescoperite.Un alt rezultat important al analizei dezvaluie ca platforma C&C a Flame a inceput sa fie dezvoltata in decembrie 2006. In plus, exista indicii care confirma faptul ca aceasta se afla inca in proces de dezvoltare, deoarece, un nou protocol, neimplementat inca – numit „Red Protocol” – a fost descoperit pe servere. Ultima modificare a codului de pe servere dateaza din 18 mai 2012.
„A fost destul de dificil pentru noi sa estimam cantitatea de date furata de Flame, chiar daca am finalizat analiza serverelor de Comanda si Control. Autorii Flame se pricep foarte bine sa-si ascunda urmele, insa, o greseala a unuia dintre ei ne-a ajutat sa descoperim pe un server mai multe date decat intentionau acestia sa stocheze pe el. Pe baza acestor informatii, am putut afla ca, saptamanal, peste cinci gigabytes de date adunate de la peste 5000 de computere infectate au fost incarcate pe acest server. Fara nicio indoiala, acesta este un exemplu de spionaj cibernetic desfasurat la scara larga”, a declarat Alexander Gostev, Chief Security Expert, Kaspersky Lab.
