Flame: Poreklo, infrastruktura i taktika autora malvera

Vesti, 05.06.2012, 10:39 AM

Flame: Poreklo, infrastruktura i taktika autora malvera

Stručnjaci Kaspersky Laba i registara domena Go Daddy i OpenDNS su tokom pokušaja da onemoguće pristup internetu računarima zaraženim kompjuterskim crvom Flame otkrili veliku i kompleksnu komandnu i kontrolnu infrastrukturu malvera koju čini više od 80 veb domena i sakupili dokaze da je novootkriveni malver star najmanje tri godine.

Dokazi koje su prikupili istraživači koji su analizirali tajanstveni malver ukazuju da je malver aktivan od 2008. godine i da se oslanjao na ogromnu mrežu sačinjenu od više od 80 komandnih i kontrolnih veb domena sa kojih dolaze instrukcije za malver za koji stručnjaci veruju da se koristi kao alat sajber špijunaže.

Analiza malvera ukazuje i na značajne razlike između malvera Flame i prethodnika, malvera Stuxnet i Duqu. Primera radi, dok su autori Duqu malvera nastojali da prikriju izvor kontrolnih skripti, centralni komandni i kontrolni server, autori Flame-a su bili nešto manje obazrivi ne trudeći se previše da sakriju svoje aktivnosti.

Autori Flame-a su takođe platili i registrovali sopstvene veb domene umesto da za kontrolu malvera koriste prethodno kompomitovane domene kao što su to činili autori malvera Duqu. Domeni Flame-a registrovani su sa lažnim imenima kao što su Adrien Leroy, Ivan Bix i Maria Weber. Uz lažne identitete, napadači su dali i lažne podatke o nepostojećim adresama u Nemačkoj i Austriji, pri čemu se najveći broj lažnih adresa nalazi u Beču.

Odluka da registruju “čiste” domene omogućila je istraživačima da prate tragove malvera do 2008. godine, odnosno do trenutka za koji oni veruju da predstavlja početak kampanje distribucije ovog malvera. Domeni o kojima je reč nisu povezani ni sa čim osim sa aktivnostima malvera Flame.

Iako je korišćenje “čistih” domena olakšalo posao istraživačima, takva odluka napadača nije slučajnost, smatraju stručnjaci. S obzirom da domeni nisu zaraženi drugim malverima, autori Flame-a su verovatno računali sa tim da će malver proći neopaženo kada je reč o antivirusnom softveru u organizacijama koje su se našle na meti napadača.

Grupa istraživača je uspešno preusmerila zahteve koji dolaze od zaraženih sistema ka DNS sinkhole, odnosno IP adresama koje nisu povezane sa malverom.

Podaci koje su prikupili istraživači pokazuju da je broj sistema zaraženih Flame-om veoma mali i da je dnevni saobraćaj koji dolazi od zaraženih sistema veoma niskog nivoa - svega 300 do 400 zahteva dnevno. Prema podacima Kaspersky Security Network od 359 zaraženih sistema u Iranu se nalazi najveći broj, njih 185, a zatim slede Izrael i Palestina sa po 95, Sudan sa 32, Sirija sa 29 i Libanon sa 18 sistema na kojima je otkriven Flame.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft je upozorio korisnike da u narednom periodu mogu očekivati veći broj bezbednosnih ažuriranja za Windows, jer kompanija sve intenzivnije k... Dalje

Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja

Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja

Meta je predstavila novi model veštačke inteligencije za generisanje slika pod nazivom Muse Image, koji može da koristi javne objave i Reels sadrž... Dalje