Flame je využíván pro kyberšpionáž a k infikování počítačů, z nichž pak virus odcizuje data a citlivé informace. Odcizená data virus odesílá řídícím serverům (C&C).
Analýza zákeřného programu například odborníky firmy Kaspersky Lab potvrdila, že se jedná o dosud nejrozsáhlejší a nejkomplexnější kybernetickou sadu nástrojů.
Výzkumníkům této společnosti se podařilo identifikovat většinu škodlivých domén, jež využívala C&C infrastruktura viru Flame. Výsledky analýzy jsou následující:
- Několik let aktivní infrastruktura řídících serverů viru Flame se odpojila ihned poté, co experti zveřejnili odhalení malwaru Flame.
- V současné době je více než 80 známých domén využíváno virem Flame a jeho řídícími servery a souvisejícími doménami, které byly registrovány v letech 2008 – 2012.
- Během uplynulých čtyř let se servery hostící řídící infrastrukturu viru Flame přesunovaly mezi různými lokalitami, včetně Hongkongu, Turecka, Německa, Polska, Malajsie, Lotyšska, Spojeného království a Švýcarska.
- Domény řízené virem Flame byly registrovány od roku 2008 pomocí úctyhodného seznamu falešných identit a s různými správci.
- Podle společnosti Kaspersky Lab byli infikovaní uživatelé registrováni v několika různých regionech včetně Blízkého východu, Evropy, Severní Ameriky, Asie a Tichomoří.
- Útočníci stojící za virem Flame se zaměřovali na odcizení zejména elektronických nákresů v PDF a textových formátech a výkresech vytvořených v programu AutoCad.
- Údaje, které byly virem Flame odeslané na jeho řídící servery jsou zakódované za použití relativně jednoduchých algoritmů. Odcizené dokumenty jsou komprimované využitím otevřeného zdroje Zlib a modifikované komprese PPDM.
- Operační systém Windows 7 64bit se zdá být vůči viru Flame odolný
PŘEDPLATNÉ
ČLÁNKY DO MAILU