Pratite nas preko RSS-aFlame: Poreklo, infrastruktura i taktika autora malvera
Vesti, 05.06.2012, 10:39 AM
Stručnjaci Kaspersky Laba i registara domena Go Daddy i OpenDNS su tokom pokušaja da onemoguće pristup internetu računarima zaraženim kompjuterskim crvom Flame otkrili veliku i kompleksnu komandnu i kontrolnu infrastrukturu malvera koju čini više od 80 veb domena i sakupili dokaze da je novootkriveni malver star najmanje tri godine.
Dokazi koje su prikupili istraživači koji su analizirali tajanstveni malver ukazuju da je malver aktivan od 2008. godine i da se oslanjao na ogromnu mrežu sačinjenu od više od 80 komandnih i kontrolnih veb domena sa kojih dolaze instrukcije za malver za koji stručnjaci veruju da se koristi kao alat sajber špijunaže.
Analiza malvera ukazuje i na značajne razlike između malvera Flame i prethodnika, malvera Stuxnet i Duqu. Primera radi, dok su autori Duqu malvera nastojali da prikriju izvor kontrolnih skripti, centralni komandni i kontrolni server, autori Flame-a su bili nešto manje obazrivi ne trudeći se previše da sakriju svoje aktivnosti.
Autori Flame-a su takođe platili i registrovali sopstvene veb domene umesto da za kontrolu malvera koriste prethodno kompomitovane domene kao što su to činili autori malvera Duqu. Domeni Flame-a registrovani su sa lažnim imenima kao što su Adrien Leroy, Ivan Bix i Maria Weber. Uz lažne identitete, napadači su dali i lažne podatke o nepostojećim adresama u Nemačkoj i Austriji, pri čemu se najveći broj lažnih adresa nalazi u Beču.
Odluka da registruju “čiste” domene omogućila je istraživačima da prate tragove malvera do 2008. godine, odnosno do trenutka za koji oni veruju da predstavlja početak kampanje distribucije ovog malvera. Domeni o kojima je reč nisu povezani ni sa čim osim sa aktivnostima malvera Flame.
Iako je korišćenje “čistih” domena olakšalo posao istraživačima, takva odluka napadača nije slučajnost, smatraju stručnjaci. S obzirom da domeni nisu zaraženi drugim malverima, autori Flame-a su verovatno računali sa tim da će malver proći neopaženo kada je reč o antivirusnom softveru u organizacijama koje su se našle na meti napadača.
Grupa istraživača je uspešno preusmerila zahteve koji dolaze od zaraženih sistema ka DNS sinkhole, odnosno IP adresama koje nisu povezane sa malverom.
Podaci koje su prikupili istraživači pokazuju da je broj sistema zaraženih Flame-om veoma mali i da je dnevni saobraćaj koji dolazi od zaraženih sistema veoma niskog nivoa - svega 300 do 400 zahteva dnevno. Prema podacima Kaspersky Security Network od 359 zaraženih sistema u Iranu se nalazi najveći broj, njih 185, a zatim slede Izrael i Palestina sa po 95, Sudan sa 32, Sirija sa 29 i Libanon sa 18 sistema na kojima je otkriven Flame.
Izdvojeno
WhatsApp propust otkrio 3,5 milijardi brojeva korisnika širom sveta
WhatsApp ima još jedan problem sa privatnošću - ovog puta zbog dizajna aplikacije. Kada je tim istraživača sa Univerziteta u Beču testirao funk... Dalje
Google objavio hitnu zakrpu za ranjivost u Chrome-u koja se koristi u napadima
Google je objavio hitnu bezbednosnu zakrpu za Chrome na računarima, nakon što je otkriveno da se jedna od ranjivosti verovatno već aktivno zloupotr... Dalje
Najnovija WhatsApp prevara: video poziv, panika i krađa novca
ESET je objavio upozorenje o WhatsApp prevari u kojoj prevaranti koriste funkciju deljenja ekrana da bi ukrali novac i osetljive podatke korisnika. Ov... Dalje
Nova opcija na Google Mapama: zaštita od lažnih ocena i pokušaja ucene
Google je objavio da uvodi novu opciju za prijavljivanje pokušaja ucene putem lažnih negativnih recenzija na Google Mapama. Reč je o situacijama u ... Dalje
Najčešće korišćene lozinke u 2025.
Novo istraživanje kompanije Comparitech otkriva da ljudi i dalje masovno koriste slabe lozinke poput „123456“, „admin“ i &bdq... Dalje
Pratite nas
Nagrade
Prijatelji
