Analiza C&C servera malvera Flame otkrila nove nepoznate malvere
Vesti, 18.09.2012, 07:29 AM
Stručnjaci Kaspersky Lab-a, u saradnji sa kompanijama IMPACT, CERT-Bund/BSI i Symantec istražujući slučaj malvera Flame, analizirali su dva servera za komandu i kontrolu i podatke koje su pronašli na njima i došli do zanimljivih otkrića o ranije nepoznatim malverima koji su korišćeni zajedno sa Flame-om.
Serveri koje su analizirali istraživači ovih kompanija korišćeni su u različite svrhe. Na onom koji je aktivan od marta ove godine pronađeni su dokazi o prikupljanju skoro 6 GB podataka sa zaraženih računara tokom samo jedne nedelje. Server koji je korišćen od maja 2012. prikupio je samo 75 MB podataka i prevashodno je korišćen za distribuciju jednog komandnog modula zaraženim računarima.
Serverima se pristupalo preko web aplikacije nazvane Newsforyou koja ima veoma jednostavan kontrolni panel. Programeri su umesto termina kao što su bot, botnet, infekcija i sličnih, koristili termine kao što su “data”, “upload”, “download”, “client”, “news”, “blog”, “ads” i druge a stručnjaci Kaspersky Lab-a veruju da to nije slučajno i da je razlog pokušaj da se prevare sistem administratori hosting kompanije ukoliko nešto budu proveravali.
Međutim, najzanimljivije otkriće do kojeg su došli stručnjaci je da aplikacija za kontolni panel nije korišćena samo za Flame već i za druge malvere koji koriste druge protokole. Stručnjaci su otkrili četiri aktivna protokola od kojih je samo jedan koristio Flame. Ostale protokole koristili su nepoznati malveri koji bi mogli biti različite varijante malvera Flame ili potpuno novi malveri. Prema tvrdnjama istraživača Kaspersky Lab-a, jedan od tih zlonamernih programa povezanih sa Flame-om je trenutno aktivan.
Serveri su podešeni tako da beleže minimalnu količinu informacija za slučaj da budu otkriveni a unosi u bazu podataka su bili redovno brisani kao i log fajlovi. Svi ovi koraci preduzeti su u cilju ometanja eventualne istrage. Neki od prikupljenih podataka koji su ukradeni iz zaraženih računara su sačuvani na serveru u šifrovanom obliku ali nije pronađen ključ koji bi mogao dešifrovati ove podatke.
Ali napadači nisu bili dovoljno temeljni kada je reč o uklanjanju dokaza pa su istraživači otkrili čak i nadimke četiri autora malvera koji su radili na kodu u različitim fazama projekta koji je izgleda započeo još davne 2006. godine.
Novi dokazi koje su prikupili istraživači samo su potvrdili početne pretpostavke da oni koji stoje uza ovog projekta nisu dobro finansirani kriminalci već da je reč o vojnoj i/ili obaveštajnoj operaciji.
Kompletnu analizu C&C (Command & Contol) servera malvera Flame možete pronaći na blogu kompanije Kaspersky Lab, Securelist.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade