Создатели Flame не успели уничтожить улики на командном сервере
Исследователи «Лаборатории Касперского» добыли образ OpenVZ одного из командных серверов Flame, который располагался в Европе, сумели взломать пароль к встроенной CMS (пароль 900gage!@#) и в деталях изучили, как был организован приём информации от ботов Flame и кто имел доступ в систему. Этот конкретный командный сервер принял с 5377 заражённых компьютеров 5,5 гигабайт файлов за неделю с 25 марта по 2 апреля.
Результаты исследования опубликованы в полном анализе командных серверов Flame — это масштабный труд, ставший результатом нескольких месяцев работы. Таким образом, российские специалисты вплотную приблизились к тому, чтобы выявить конкретные личности разработчиков, создавших эту сложнейшую программу, которая использовалась для кибершпионажа на государственном уровне.
Интерфейс панели управления командным сервером Flame замаскирован под легитимную систему управления контентом.
Анализ командных серверов выявил, что работа над кодом Flame началась в декабре 2006 года, а параллельно с ней авторы создали ещё три программы. На командных серверах остались улики, которые указывают на обработку запросов от четырёх программ. По мнению специалистов, Flame — не самая современная из них, последняя по времени создания вредоносная программа носит имя 'IP' и остаётся на сегодняшний день неизвестной. Сама же Flame (авторы называли её FL) использовала только один из трёх протоколов, под кодовым названием OldProtocol. Кто и каким образом использовал протоколы OldProtocolE и SignupProtocol — неизвестно.
На момент обнаружения Flame и до экстренного закрытия командных серверов 18 мая 2012 года код новых шпионских программ находился в разработке. Новый протокол реализован ещё не полностью, сообщают аналитики «Лаборатории Касперского».
Среди всех вредоносных программ, следы которых обнаружены на командных серверах, есть одна связанная с Flame программа, которая существует и остаётся активной в настоящий момент. Доказательства этому — запросу на аутентификацию, которые приходят по протоколу OldProtocolE на sinkhole-серверы в «Лаборатории Касперского» до сих пор, то есть в сентябре 2012 года.
Наконец, «Лаборатория Касперского» проанализировала комментарии в исходном коде и попыталась понять, кто являлся разработчиками программы, вот цитата из опубликованного отчёта с отредактированными никами.
Ники и временные метки, оставленные разработчиками в скриптах, оказались в числе наиболее ценных находок:
- @author [O] удалено in 12/3/2006
- @author [D] удалено on 12/4/2006
- @author [D] удалено on 01/23/2007
- @author [H] удалено on 09/02/2007
- @author [O] удалено, DeMo
- @author [D] удалено (modifications)
- @author modified heavily by [D] удалено
- @author [R] удалено @copyright 2011
Вот что известно об активности разработчиков:
- [D]: работал не менее чем над 31 файлом
- [H]: работал не менее чем над 10 файлами
- [O]: работал не менее чем над 4 файлами
- [R]: работал не менее чем над 1 файлом (средством удаления дублирующихся файлов)
За разработку командного сервера отвечало четыре человека. Для нас очевидно, что один из них — [H] — был опытнее остальных: он создал несколько патчей весьма продвинутого уровня и реализовал сложную логику; по-видимому, он также является знатоком алгоритмов шифрования. Мы полагаем, что [H], скорее всего, был руководителем группы.
Подробнее: http://www.xakep.ru/post/59333/default.asp
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-11-26 » Капитан грузового судна, или Как начать использовать Docker в своих проектах
- 2024-11-26 » Обеспечение безопасности ваших веб-приложений с помощью PHP OOP и PDO
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
Всегда храни верность своему начальнику - следующий, может быть еще хуже... |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.