Создатели Flame не успели уничтожить улики на командном сервере
Исследователи «Лаборатории Касперского» добыли образ OpenVZ одного из командных серверов Flame, который располагался в Европе, сумели взломать пароль к встроенной CMS (пароль 900gage!@#) и в деталях изучили, как был организован приём информации от ботов Flame и кто имел доступ в систему. Этот конкретный командный сервер принял с 5377 заражённых компьютеров 5,5 гигабайт файлов за неделю с 25 марта по 2 апреля.
Результаты исследования опубликованы в полном анализе командных серверов Flame — это масштабный труд, ставший результатом нескольких месяцев работы. Таким образом, российские специалисты вплотную приблизились к тому, чтобы выявить конкретные личности разработчиков, создавших эту сложнейшую программу, которая использовалась для кибершпионажа на государственном уровне.
Интерфейс панели управления командным сервером Flame замаскирован под легитимную систему управления контентом.
Анализ командных серверов выявил, что работа над кодом Flame началась в декабре 2006 года, а параллельно с ней авторы создали ещё три программы. На командных серверах остались улики, которые указывают на обработку запросов от четырёх программ. По мнению специалистов, Flame — не самая современная из них, последняя по времени создания вредоносная программа носит имя 'IP' и остаётся на сегодняшний день неизвестной. Сама же Flame (авторы называли её FL) использовала только один из трёх протоколов, под кодовым названием OldProtocol. Кто и каким образом использовал протоколы OldProtocolE и SignupProtocol — неизвестно.
На момент обнаружения Flame и до экстренного закрытия командных серверов 18 мая 2012 года код новых шпионских программ находился в разработке. Новый протокол реализован ещё не полностью, сообщают аналитики «Лаборатории Касперского».
Среди всех вредоносных программ, следы которых обнаружены на командных серверах, есть одна связанная с Flame программа, которая существует и остаётся активной в настоящий момент. Доказательства этому — запросу на аутентификацию, которые приходят по протоколу OldProtocolE на sinkhole-серверы в «Лаборатории Касперского» до сих пор, то есть в сентябре 2012 года.
Наконец, «Лаборатория Касперского» проанализировала комментарии в исходном коде и попыталась понять, кто являлся разработчиками программы, вот цитата из опубликованного отчёта с отредактированными никами.
Ники и временные метки, оставленные разработчиками в скриптах, оказались в числе наиболее ценных находок:
- @author [O] удалено in 12/3/2006
- @author [D] удалено on 12/4/2006
- @author [D] удалено on 01/23/2007
- @author [H] удалено on 09/02/2007
- @author [O] удалено, DeMo
- @author [D] удалено (modifications)
- @author modified heavily by [D] удалено
- @author [R] удалено @copyright 2011
Вот что известно об активности разработчиков:
- [D]: работал не менее чем над 31 файлом
- [H]: работал не менее чем над 10 файлами
- [O]: работал не менее чем над 4 файлами
- [R]: работал не менее чем над 1 файлом (средством удаления дублирующихся файлов)
За разработку командного сервера отвечало четыре человека. Для нас очевидно, что один из них — [H] — был опытнее остальных: он создал несколько патчей весьма продвинутого уровня и реализовал сложную логику; по-видимому, он также является знатоком алгоритмов шифрования. Мы полагаем, что [H], скорее всего, был руководителем группы.
Подробнее: http://www.xakep.ru/post/59333/default.asp
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-05-27 » Подборка сервисов для расшифровки аудио в текст
- 2024-05-27 » PostgreSQL 16. Изоляция транзакций. Часть 2
- 2024-05-06 » Как настраивать конверсионные стратегии: работа над ошибками
- 2024-04-22 » Комментирование кода и генерация документации в PHP
- 2024-04-22 » SEO в России и на Западе: в чем основные отличия
- 2024-04-22 » SEO для международного масштабирования
- 2024-04-22 » Как использовать XML-карты для продвижения сайта
- 2024-04-22 » Цифровой маркетинг: инструменты для продвижения и рекламы в 2024 году
- 2024-04-22 » Что такое CSS-модули и зачем они нам?
- 2024-04-17 » 23 сервиса для эффективного экспресс-аудита любого сайта
- 2024-04-08 » Яндекс переходит на новую версию Wordstat
- 2024-04-08 » Яндекс интегрировал в свой облачный сервис эмпатичную нейросеть
- 2024-04-08 » Новая версия нейросети Claude превзошла по мощности аналоги Google и OpenAI
- 2024-04-08 » Как пользоваться GPT 4 и Claude бесплатно и без VPN
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
Кто мало хочет, тот дешево стоит |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.