Нові відомості про шкідливою програмою Flame

«Лабораторія Касперського» повідомила про результати нового дослідження складної шкідливої програми Flame, проведеного спільно з МСЕ-ІМПАКТ, CERT-Bund/BSI і компанією Symantec. В результаті аналізу декількох командних серверів, які використовувалися творцями Flame, експерти виявили сліди трьох інших шкідливих програм. Крім того, вони встановили, що розробка платформи Flame почалася ще в 2006 році.

Складна програма Flame була виявлена «Лабораторії Касперського» у травні 2012 року в ході дослідження, ініційованого Міжнародним союзом електрозв'язку. За його підсумками партнер МСЕ в області кібербезпеки (ІМПАКТ), передав 144 країнам, що входять в його склад, інформацію про способи блокування та видалення цього шкідливого пз. Його складність, а також схожість з сумно відомим хробаком Stuxnet вказували на те, що Flame - це чергова масштабна кибероперация, реалізована за підтримки одного з держав. Спочатку вважалося, що Flame почав діяти в 2010 році, однак після проведення першого аналізу інфраструктури його командних серверів, що охоплює як мінімум 80 відомих доменів, ця дата змістилася на два роки тому.

Результати цього дослідження, засновані на аналізі контенту декількох командних серверів, які використовувалися Flame. Цю інформацію вдалося отримати не дивлячись на те, що інфраструктура управління Flame була відключена негайно після виявлення шкідливої програми фахівцями Лабораторії Касперкого». Всі сервери працювали на 64-64-бітної версії операційної системи Debian з віртуалізацією на базі контейнерів OpenVZ. Серверний код був здебільшого написаний на мові програмування PHP. Творці Flame зробили інтерфейс командного сервера схожим на звичайну систему управління контентом (CMS), щоб уникнути підозр з боку хостинг-провайдера.

Для того, щоб ніхто крім киберпрестуников не міг отримати дані, які заражених комп'ютерів, були застосовані складні методи шифрування. Аналіз скриптів, які використовувалися для управління передачею даних на комп'ютери жертв, виявив наявність чотирьох комунікаційних протоколів, тільки один з яких був сумісний з Flame. Це означає, що дані командні сервери використовувалися, принаймні, ще трьома шкідливими програмами. Крім того, є достатньо доказів на користь того, що як мінімум одна споріднена з Flame шкідлива програма продовжує активно поширюватися.

Ще один важливий результат аналізу - висновок про те, що робота над платформою командних серверів Flame почалася ще в грудні 2006 року. Є ознаки того, що платформа по -, як і раніше знаходиться в процесі розробки: на серверах були виявлені згадки нового ще не реалізованого «Червоного протоколу» (Red Protocol). Останнє оновлення серверного коду було внесено 18 травня 2012 року.

«Нам було складно оцінити обсяг даних, вкрадених Flame, навіть після аналізу його командних серверів. Творці Flame вміють замітати сліди. Однак, завдяки помилці кіберзлочинців, нам вдалося виявити на одному з серверів дані, які дозволили нам зробити висновок, що за тиждень на цей сервер завантажувалося більше п'яти гігабайт даних з більш ніж 5000 заражених комп'ютерів. Ця інформація дає всі підстави судити про масштабі всієї кибершпионской кампанії», - коментує Олександр Гостєв, головний антивірусний експерт «Лабораторії Касперського».

Основні результати дослідження:

Розробка платформи командних серверів Flame почалася ще в грудні 2006 року.
Інтерфейс командних серверів був сконструйований таким чином, щоб імітувати звичайну систему управління контентом (CMS), щоб приховати справжню мету проекту від хостинг-провайдерів і випадкових перевірок.
Сервери отримували дані із заражених комп'ютерів з використанням чотирьох різних протоколів, тільки один з яких застосовувався на комп'ютерах, заражених Flame.
Наявність трьох додаткових протоколів, які не використовуються Flame, є доказом існування щонайменше трьох інших шкідливих програм, пов'язаних з Flame.
Одна з родинних Flame шкідливих програм в даний час продовжує активно поширюватися.
Є ознаки того, що розробка платформи командних серверів триває; в коді зустрічаються згадки схеми передачі даних під назвою «Червоний протокол» (Red Protocol), проте ця схема поки не була реалізована.
Ознаки використання командних серверів Flame для управління іншими відомими шкідливими програмами, наприклад, Stuxnet або Гаус, так і не були знайдені.

Докладний аналіз вмісту командних серверів Flame опублікований на сайті www.securelist.com/ru/blog/.