Pelo menos um dos programas maliciosos relacionados com o Flame continua a funcionar livremente

17 set 2012
Notícias de Vírus

A Kaspersky Lab, empresa líder na criação de produtos antivírus, anti-malware, anti-spam e outros programas de segurança informática, apresenta os resultados de uma nova investigação relacionada com a descoberta da sofisticada campanha de ciber-espionagem Flame. Esta investigação foi realizada pela Kaspersky Lab em colaboração com a IMPACT Alliance da ITU (International Telecommunication Union), com o CERT_Bund/BSI e com a Symantec.

No decorrer desta investigação foram analisados em detalhe vários servidores de comando e controlo (C&C) utilizados pelos criadores do Flame, o que permite agora divulgar novos e reveladores dados sobre esta mediática ameaça. Por um lado, foram detectados os rastos de três programas maliciosos ainda desconhecidos e, por outro, a data da criação e desenvolvimento da plataforma do Flame foi situada em 2006.

Principais conclusões:

  • O desenvolvimento da plataforma de comando e controlo (C&C) começou em Dezembro de 2006
  • Os servidores C&C disfarçaram-se para parecer sistemas vulgares de controlo e assim ocultar aos fornecedores de hosting e aos analistas de segurança a verdadeira natureza do projecto
  • Os servidores eram capazes de receber dados de máquinas infectadas utilizando quatro protocolos diferentes, ainda que só um deles atacasse com o Flame.
  • A existência dos três protocolos restantes não utilizados pelo Flame prova a criação de pelo menos outros três programas maliciosos relacionados com o Flame. A sua natureza é ainda desconhecida.
  • Um desses objectos maliciosos continua a funcionar livremente.
  • Não há nenhuma prova que suporte que os C&C do Flame foram utilizados para controlar outro malware como o Stuxnet ou Gauss.

A campanha de ciber-espionagem do Flame foi originalmente descoberta pela Kaspersky Lab em Maio de 2012 durante uma investigação iniciada pela International Communication Union. A complexidade do código e a confirmação de ligações aos programadores do Stuxnet permitem suspeitar que o Flame é outro exemplo sofisticado de ciber-espionagem desenvolvido por um estado. No início pensava-se que as operações do Flame tinham começado em 2010, mas a primeira análise à infra-estrutura do C&C (utilizada por, pelo menos, 80 nomes de domínios conhecidos) aponta para que isso tenha acontecido dois anos antes.

As conclusões desta investigação baseiam-se na análise ao conteúdo de vários servidores C&C utilizados pelo Flame. Foi possível recuperar esta informação, apesar de a infra-estrutura de controlo do Flame ter sido, de imediato, posta offline, depois do anúncio da Kaspersky Lab a advertir para a existência de malware. Todos os servidores estavam a correr na versão 64-bit do sistema operativo Debian, virtualizado utilizando containers Open VZ. A maioria dos códigos dos servidores estava escrita em linguagem de programação PHP. Os criadores do Flame aplicaram algumas medidas para fazer com que os servidores de C&C parecessem simples controlos de sistemas que enganassem os controlos dos fornecedores de hosting.

Foram utilizados métodos de encriptação muito complexos que só permitiam aos atacantes obter os dados carregados nos equipamentos infectados. A análise aos scripts utilizados para gerir a transmissão de dados às vítimas resultou na descoberta de quatro protocolos de comunicação, e só um deles é compatível com o Flame. Isto significa que há, pelo menos, outros três tipos de malware utilizados nestes servidores de C&C que ainda não são conhecidos. Existe evidência suficiente para afirmar que pelo menos um malware relacionado com o Flame está ainda a operar livremente.

“Foi muito complicado para nós estimar a quantidade de dados roubados pelo Flame, inclusive depois da análise aos seus servidores de comando e controlo. Os criadores do Flame têm ocultado muito bem o seu rasto, mas o erro de um dos seus atacantes permitiu-nos descobrir mais dados dos que o servidor guardava. Baseado nisso, pudemos observar que por semana eram carregados mais de cinco gigabytes para este servidor, provenientes de mais de 5.000 equipamentos infectados. Sem dúvida, estamos perante um claro exemplo de ciber-espionagem em grande escala”, explica Alexander Gostev, Director de Segurança da Kaspersky Lab.

Para mais informação e acesso ao Q&A do Flame, por favor consulte: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.