Pratite nas preko RSS-aFlame: Poreklo, infrastruktura i taktika autora malvera
Vesti, 05.06.2012, 10:39 AM
Stručnjaci Kaspersky Laba i registara domena Go Daddy i OpenDNS su tokom pokušaja da onemoguće pristup internetu računarima zaraženim kompjuterskim crvom Flame otkrili veliku i kompleksnu komandnu i kontrolnu infrastrukturu malvera koju čini više od 80 veb domena i sakupili dokaze da je novootkriveni malver star najmanje tri godine.
Dokazi koje su prikupili istraživači koji su analizirali tajanstveni malver ukazuju da je malver aktivan od 2008. godine i da se oslanjao na ogromnu mrežu sačinjenu od više od 80 komandnih i kontrolnih veb domena sa kojih dolaze instrukcije za malver za koji stručnjaci veruju da se koristi kao alat sajber špijunaže.
Analiza malvera ukazuje i na značajne razlike između malvera Flame i prethodnika, malvera Stuxnet i Duqu. Primera radi, dok su autori Duqu malvera nastojali da prikriju izvor kontrolnih skripti, centralni komandni i kontrolni server, autori Flame-a su bili nešto manje obazrivi ne trudeći se previše da sakriju svoje aktivnosti.
Autori Flame-a su takođe platili i registrovali sopstvene veb domene umesto da za kontrolu malvera koriste prethodno kompomitovane domene kao što su to činili autori malvera Duqu. Domeni Flame-a registrovani su sa lažnim imenima kao što su Adrien Leroy, Ivan Bix i Maria Weber. Uz lažne identitete, napadači su dali i lažne podatke o nepostojećim adresama u Nemačkoj i Austriji, pri čemu se najveći broj lažnih adresa nalazi u Beču.
Odluka da registruju “čiste” domene omogućila je istraživačima da prate tragove malvera do 2008. godine, odnosno do trenutka za koji oni veruju da predstavlja početak kampanje distribucije ovog malvera. Domeni o kojima je reč nisu povezani ni sa čim osim sa aktivnostima malvera Flame.
Iako je korišćenje “čistih” domena olakšalo posao istraživačima, takva odluka napadača nije slučajnost, smatraju stručnjaci. S obzirom da domeni nisu zaraženi drugim malverima, autori Flame-a su verovatno računali sa tim da će malver proći neopaženo kada je reč o antivirusnom softveru u organizacijama koje su se našle na meti napadača.
Grupa istraživača je uspešno preusmerila zahteve koji dolaze od zaraženih sistema ka DNS sinkhole, odnosno IP adresama koje nisu povezane sa malverom.
Podaci koje su prikupili istraživači pokazuju da je broj sistema zaraženih Flame-om veoma mali i da je dnevni saobraćaj koji dolazi od zaraženih sistema veoma niskog nivoa - svega 300 do 400 zahteva dnevno. Prema podacima Kaspersky Security Network od 359 zaraženih sistema u Iranu se nalazi najveći broj, njih 185, a zatim slede Izrael i Palestina sa po 95, Sudan sa 32, Sirija sa 29 i Libanon sa 18 sistema na kojima je otkriven Flame.
Izdvojeno
Kako veštačka inteligencija pomaže u borbi protiv prevara na internetu
.jpg)
Više od decenije, Google koristi veštačku inteligenciju za zaštitu korisnika od prevara na internetu koji žele da dobiju pristup njihovom novcu i... Dalje
Da li su vaše lozinke među najslabijim lozinkama?
Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje
Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca
Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje
Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke
.jpg)
Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje
Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi
.jpg)
Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje
Pratite nas
Nagrade
Prijatelji
