Analistas da Kaspersky Lab revelam detalhes da análise à Infra-estrutura C&C do Flame

04 jun 2012
Notícias de Vírus

A 28 de Maio de 2012, a Kaspersky Lab anunciou a descoberta de um software malicioso muito sofisticado, conhecido como Flame, que foi usado activamente como ciber-arma dirigida a instituições em vários países. O Flame foi descoberto por analistas da Kaspersky Lab durante uma investigação lançada pela União Internacional das Telecomunicações (ITU), e a análise ao programa malicioso revelou que se trata da maior e mais complexa ameaça conhecida até a data.

As análises a este malware por parte da Kaspersky Lab revelam que, actualmente, está a ser usado para ciber-espionagem e que infecta os sistemas para roubar dados e informação sensível. Os dados roubados foram enviados para um dos servidores C&C (Command & Controle) do Flame.

A Kaspersky Lab tem estado a monitorizar de perto a infra-estrutura C&C do Flame e publica hoje um relatório detalhado sobre as conclusões da investigação no seu blog Securelist.

Em colaboração com a GoDaddy e OpenDNS, a Kaspersky Lab conseguiu assumir com sucesso o controlo e destruir a comunicação interna das bots para que não chegassem ao seu destino (operação de sinkholing) da maioria dos domínios maliciosos usados pela infra-estrutura C&C (Command & Controle) do vírus Flame. Os seguintes detalhes resumem os resultados da análise:

  • A infra-estrutura Command&Controle do Flame que tinha estado a funcionar durante anos, foi imediatamente desligada depois de a Kaspersky Lab ter revelado a descoberta do malware na semana passada.
  • Actualmente há mais de 80 domínios utilizados pelo Flame para servidores C&C e domínios relacionados, que foram registados entre 2008 e 2012.
  • Durante os últimos 4 anos, os servidores que alojavam a infra-estrutura C&C do Flame, movimentaram-se por múltiplas localizações, incluindo Hong Kong, Turquia, Alemanha Polónia, Malásia, Letónia, Reino Unido e Suíça.
  • Os domínios C&C foram registados com uma impressionante lista de falsas identidades e numa variedade de registadores desde 2008.
  • Segundo o sinkhole da Kaspersky Lab, os utilizadores infectados foram registados em várias regiões: Médio Oriente, Europa, América do Norte e Ásia-Pacífico.
  • O Flame parece ter um elevado interesse em ficheiros PDF, Office e desenhos do AutoCAD.
  • Os dados carregados no C&C do Flame são encriptados com algoritmos relativamente simples. Os documentos roubados são comprimidos utilizando código aberto e a compressão Zlib PPDM modificada.
  • O Windows 7 64 bit, que foi previamente recomendado como solução contra as infecções por outros tipos de malware, parece ser eficaz com o Flame.

A Kaspersky Lab gostaria de agradecer a William MacArthur e ao "GoDaddy Network Abuse Department” pela sua rápida reacção e apoio excepcional nesta investigação, bem como à "Equipa de Investigação de Segurança do OpenDNS", que nos proporcionou uma ajuda inestimável.

Na semana passada, a Kaspersky Lab contactou o CERT em vários países para informá-los a respeito do C&C do Flame, sobre o domínio e endereços IP dos servidores maliciosos, pelo que a companhia gostaria de agradecer a todos os que deram o seu apoio a esta investigação.

Para aceder à análise completa do Flame, e a todos os detalhes técnicos, por favor visite Securelist: http://www.securelist.com/.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.