Analiza C&C servera malvera Flame otkrila nove nepoznate malvere

Vesti, 18.09.2012, 07:29 AM

Stručnjaci Kaspersky Lab-a, u saradnji sa kompanijama IMPACT, CERT-Bund/BSI i Symantec istražujući slučaj malvera Flame, analizirali su dva servera za komandu i kontrolu i podatke koje su pronašli na njima i došli do zanimljivih otkrića o ranije nepoznatim malverima koji su korišćeni zajedno sa Flame-om.

Serveri koje su analizirali istraživači ovih kompanija korišćeni su u različite svrhe. Na onom koji je aktivan od marta ove godine pronađeni su dokazi o prikupljanju skoro 6 GB podataka sa zaraženih računara tokom samo jedne nedelje. Server koji je korišćen od maja 2012. prikupio je samo 75 MB podataka i prevashodno je korišćen za distribuciju jednog komandnog modula zaraženim računarima.

Serverima se pristupalo preko web aplikacije nazvane Newsforyou koja ima veoma jednostavan kontrolni panel. Programeri su umesto termina kao što su bot, botnet, infekcija i sličnih, koristili termine kao što su “data”, “upload”, “download”, “client”, “news”, “blog”, “ads” i druge a stručnjaci Kaspersky Lab-a veruju da to nije slučajno i da je razlog pokušaj da se prevare sistem administratori hosting kompanije ukoliko nešto budu proveravali.

Međutim, najzanimljivije otkriće do kojeg su došli stručnjaci je da aplikacija za kontolni panel nije korišćena samo za Flame već i za druge malvere koji koriste druge protokole. Stručnjaci su otkrili četiri aktivna protokola od kojih je samo jedan koristio Flame. Ostale protokole koristili su nepoznati malveri koji bi mogli biti različite varijante malvera Flame ili potpuno novi malveri. Prema tvrdnjama istraživača Kaspersky Lab-a, jedan od tih zlonamernih programa povezanih sa Flame-om je trenutno aktivan.

Serveri su podešeni tako da beleže minimalnu količinu informacija za slučaj da budu otkriveni a unosi u bazu podataka su bili redovno brisani kao i log fajlovi. Svi ovi koraci preduzeti su u cilju ometanja eventualne istrage. Neki od prikupljenih podataka koji su ukradeni iz zaraženih računara su sačuvani na serveru u šifrovanom obliku ali nije pronađen ključ koji bi mogao dešifrovati ove podatke.

Ali napadači nisu bili dovoljno temeljni kada je reč o uklanjanju dokaza pa su istraživači otkrili čak i nadimke četiri autora malvera koji su radili na kodu u različitim fazama projekta koji je izgleda započeo još davne 2006. godine.

Novi dokazi koje su prikupili istraživači samo su potvrdili početne pretpostavke da oni koji stoje uza ovog projekta nisu dobro finansirani kriminalci već da je reč o vojnoj i/ili obaveštajnoj operaciji.

Kompletnu analizu C&C (Command & Contol) servera malvera Flame možete pronaći na blogu kompanije Kaspersky Lab, Securelist.