Создатели Flame не успели уничтожить улики на командном сервере

image

Исследователи «Лаборатории Касперского» добыли образ OpenVZ одного из командных серверов Flame, который располагался в Европе, сумели взломать пароль к встроенной CMS (пароль 900gage!@#) и в деталях изучили, как был организован приём информации от ботов Flame и кто имел доступ в систему. Этот конкретный командный сервер принял с 5377 заражённых компьютеров 5,5 гигабайт файлов за неделю с 25 марта по 2 апреля.

Результаты исследования опубликованы в полном анализе командных серверов Flame — это масштабный труд, ставший результатом нескольких месяцев работы. Таким образом, российские специалисты вплотную приблизились к тому, чтобы выявить конкретные личности разработчиков, создавших эту сложнейшую программу, которая использовалась для кибершпионажа на государственном уровне.

Интерфейс панели управления командным сервером Flame замаскирован под легитимную систему управления контентом.

Bookmark and Share

Анализ командных серверов выявил, что работа над кодом Flame началась в декабре 2006 года, а параллельно с ней авторы создали ещё три программы. На командных серверах остались улики, которые указывают на обработку запросов от четырёх программ. По мнению специалистов, Flame — не самая современная из них, последняя по времени создания вредоносная программа носит имя 'IP' и остаётся на сегодняшний день неизвестной. Сама же Flame (авторы называли её FL) использовала только один из трёх протоколов, под кодовым названием OldProtocol. Кто и каким образом использовал протоколы OldProtocolE и SignupProtocol — неизвестно.

Создатели Flame не успели уничтожить улики на командном сервере

На момент обнаружения Flame и до экстренного закрытия командных серверов 18 мая 2012 года код новых шпионских программ находился в разработке. Новый протокол реализован ещё не полностью, сообщают аналитики «Лаборатории Касперского».

Среди всех вредоносных программ, следы которых обнаружены на командных серверах, есть одна связанная с Flame программа, которая существует и остаётся активной в настоящий момент. Доказательства этому — запросу на аутентификацию, которые приходят по протоколу OldProtocolE на sinkhole-серверы в «Лаборатории Касперского» до сих пор, то есть в сентябре 2012 года.

Наконец, «Лаборатория Касперского» проанализировала комментарии в исходном коде и попыталась понять, кто являлся разработчиками программы, вот цитата из опубликованного отчёта с отредактированными никами.

Ники и временные метки, оставленные разработчиками в скриптах, оказались в числе наиболее ценных находок:
  • @author [O] удалено in 12/3/2006
  • @author [D] удалено on 12/4/2006
  • @author [D] удалено on 01/23/2007
  • @author [H] удалено on 09/02/2007
  • @author [O] удалено, DeMo
  • @author [D] удалено (modifications)
  • @author modified heavily by [D] удалено
  • @author [R] удалено @copyright 2011

Вот что известно об активности разработчиков:

  • [D]: работал не менее чем над 31 файлом
  • [H]: работал не менее чем над 10 файлами
  • [O]: работал не менее чем над 4 файлами
  • [R]: работал не менее чем над 1 файлом (средством удаления дублирующихся файлов)

Создатели Flame не успели уничтожить улики на командном сервере

За разработку командного сервера отвечало четыре человека. Для нас очевидно, что один из них — [H] — был опытнее остальных: он создал несколько патчей весьма продвинутого уровня и реализовал сложную логику; по-видимому, он также является знатоком алгоритмов шифрования. Мы полагаем, что [H], скорее всего, был руководителем группы.

Подробнее: http://www.xakep.ru/post/59333/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Создатели Flame не успели уничтожить улики на командном сервере | | 2012-09-18 08:31:09 | | Статьи об Интернет безопасности | | Исследователи «Лаборатории Касперского» добыли образ OpenVZ одного из командных серверов Flame, который располагался в Европе, сумели взломать пароль к встроенной CMS (пароль 900gage!@#) и в деталях | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: