Pratite nas preko RSS-aFlame: Poreklo, infrastruktura i taktika autora malvera
Vesti, 05.06.2012, 10:39 AM
Stručnjaci Kaspersky Laba i registara domena Go Daddy i OpenDNS su tokom pokušaja da onemoguće pristup internetu računarima zaraženim kompjuterskim crvom Flame otkrili veliku i kompleksnu komandnu i kontrolnu infrastrukturu malvera koju čini više od 80 veb domena i sakupili dokaze da je novootkriveni malver star najmanje tri godine.
Dokazi koje su prikupili istraživači koji su analizirali tajanstveni malver ukazuju da je malver aktivan od 2008. godine i da se oslanjao na ogromnu mrežu sačinjenu od više od 80 komandnih i kontrolnih veb domena sa kojih dolaze instrukcije za malver za koji stručnjaci veruju da se koristi kao alat sajber špijunaže.
Analiza malvera ukazuje i na značajne razlike između malvera Flame i prethodnika, malvera Stuxnet i Duqu. Primera radi, dok su autori Duqu malvera nastojali da prikriju izvor kontrolnih skripti, centralni komandni i kontrolni server, autori Flame-a su bili nešto manje obazrivi ne trudeći se previše da sakriju svoje aktivnosti.
Autori Flame-a su takođe platili i registrovali sopstvene veb domene umesto da za kontrolu malvera koriste prethodno kompomitovane domene kao što su to činili autori malvera Duqu. Domeni Flame-a registrovani su sa lažnim imenima kao što su Adrien Leroy, Ivan Bix i Maria Weber. Uz lažne identitete, napadači su dali i lažne podatke o nepostojećim adresama u Nemačkoj i Austriji, pri čemu se najveći broj lažnih adresa nalazi u Beču.
Odluka da registruju “čiste” domene omogućila je istraživačima da prate tragove malvera do 2008. godine, odnosno do trenutka za koji oni veruju da predstavlja početak kampanje distribucije ovog malvera. Domeni o kojima je reč nisu povezani ni sa čim osim sa aktivnostima malvera Flame.
Iako je korišćenje “čistih” domena olakšalo posao istraživačima, takva odluka napadača nije slučajnost, smatraju stručnjaci. S obzirom da domeni nisu zaraženi drugim malverima, autori Flame-a su verovatno računali sa tim da će malver proći neopaženo kada je reč o antivirusnom softveru u organizacijama koje su se našle na meti napadača.
Grupa istraživača je uspešno preusmerila zahteve koji dolaze od zaraženih sistema ka DNS sinkhole, odnosno IP adresama koje nisu povezane sa malverom.
Podaci koje su prikupili istraživači pokazuju da je broj sistema zaraženih Flame-om veoma mali i da je dnevni saobraćaj koji dolazi od zaraženih sistema veoma niskog nivoa - svega 300 do 400 zahteva dnevno. Prema podacima Kaspersky Security Network od 359 zaraženih sistema u Iranu se nalazi najveći broj, njih 185, a zatim slede Izrael i Palestina sa po 95, Sudan sa 32, Sirija sa 29 i Libanon sa 18 sistema na kojima je otkriven Flame.
Izdvojeno
Hakeri na dark webu prodaju alat za zloupotrebu zakrpljene Windows ranjivosti za 220.000 dolara
Na jednom hakerskom forumu na dark webu pojavio se oglas za prodaju eksploita za zakrpljenu Windows ranjivost po ceni od 220.000 dolara, objavljen u d... Dalje
Evropski sud pravde: banke u EU moraće odmah da vrate novac žrtvama fišinga
Banke u Evropskoj uniji mogle bi uskoro biti obavezne da odmah vrate novac žrtvama fišing prevara, čak i kada je korisnik možda doprineo prevari. ... Dalje
Microsoft upozorava na ClickFix napad koji koristi Windows Terminal za širenje Lumma Stealer-a
Microsoft je otkrio novu ClickFix kampanju socijalnog inženjeringa koja koristi Windows Terminal za pokretanje sofisticiranog napada i instalaciju ma... Dalje
„Putevi Srbije“ upozoravaju na lažne SMS poruke o neplaćenoj putarini i prekoračenju brzine
Javno preduzeće „Putevi Srbije“ ponovo je upozorilo građane na zlonamerne SMS poruke koje se šalju u njihovo ime, a u kojima se tvrdi d... Dalje
Google Chrome prelazi na dvonedeljni ciklus izdanja
Google je najavio da će Chrome preći sa četvoronedeljnog na dvonedeljni ciklus objavljivanja, što znači da će nove funkcije, ispravke grešaka i... Dalje
Pratite nas
Nagrade
Prijatelji
