Jak je řízen Flame?

6. 6. 2012

Sdílet

Jako kybernetická zbraň zacílená na instituce v několika zemích funguje nedávno objevený malware Flame, někdy označovaný i jako Flamer. Kdo jej řídí?

Flame je využíván pro kyberšpionáž a k infikování počítačů, z nichž pak virus odcizuje data a citlivé informace. Odcizená data virus odesílá řídícím serverům (C&C).

ICTS24

Analýza zákeřného programu například odborníky firmy Kaspersky Lab potvrdila, že se jedná o dosud nejrozsáhlejší a nejkomplexnější kybernetickou sadu nástrojů.

Výzkumníkům této společnosti se podařilo identifikovat většinu škodlivých domén, jež využívala C&C infrastruktura viru Flame. Výsledky analýzy jsou následující:

  • Několik let aktivní infrastruktura řídících serverů viru Flame se odpojila ihned poté, co experti zveřejnili odhalení malwaru Flame.
  • V současné době je více než 80 známých domén využíváno virem Flame a jeho řídícími servery a souvisejícími doménami, které byly registrovány v letech 2008 – 2012.
  • Během uplynulých čtyř let se servery hostící řídící infrastrukturu viru Flame přesunovaly mezi různými lokalitami, včetně Hongkongu, Turecka, Německa, Polska, Malajsie, Lotyšska, Spojeného království a Švýcarska.
  • Domény řízené virem Flame byly registrovány od roku 2008 pomocí úctyhodného seznamu falešných identit a s různými správci.
  • Podle společnosti Kaspersky Lab byli infikovaní uživatelé registrováni v několika různých regionech včetně Blízkého východu, Evropy, Severní Ameriky, Asie a Tichomoří.
  • Útočníci stojící za virem Flame se zaměřovali na odcizení zejména elektronických nákresů v PDF a textových formátech a výkresech vytvořených v programu AutoCad.
  • Údaje, které byly virem Flame odeslané na jeho řídící servery jsou zakódované za použití relativně jednoduchých algoritmů. Odcizené dokumenty jsou komprimované využitím otevřeného zdroje Zlib a modifikované komprese PPDM.
  • Operační systém Windows 7 64bit se zdá být vůči viru Flame odolný