«Лаборатория Касперского» проанализировала структуру управления Flame

«Лаборатория Касперского» проанализировала структуру управления Flame

05.06.2012

«Лаборатория Касперского» объявляет о результатах исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, в настоящее время активно применяется в качестве кибероружия в ряде ближневосточных государств. Анализ вредоносной программы, показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.

Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории Касперского» смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. В результате детального анализа полученной таким образом информации, эксперты пришли к следующим выводам:

  • Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе «Лаборатория Касперского» раскрыла существование вредоносной программы.
  • На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг.
  • За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
  • Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.
  • Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.
  • Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.
  • По предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована «Лабораторией Касперского» как одна из самых безопасных, оказалась не подвержена заражению Flame.

«Лаборатория Касперского» выражает благодарность Уильяму МакАртуру (William MacArthur), отделу по борьбе с сетевыми злоупотреблениями регистратора доменных имен GoDaddy, а также группе OpenDNS Security Research за оперативный отклик и неоценимую помощь в проведении расследования.

На прошлой неделе «Лаборатория Касперского» связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. Руководство «Лаборатории Касперского» выражает благодарность всем тем, кто принимал участие в расследовании.

Если вы представляете правительственный CERT и хотите получить больше информации о серверах Flame, пожалуйста, обращайтесь на адрес theflame@kaspersky.com.

Полный анализ инфраструктуры командных серверов Flame и технические детали исследования размещены на сайте www.securelist.com/ru/blog.