Al menos uno de los programas maliciosos relacionados con Flame sigue funcionando libremente

17 sep
Noticias de Productos,Publicaciones de Prensa

Las últimas investigaciones llevadas a cabo por Kaspersky Lab en colaboración con la IMPACT Alliance de ITU, CERT-Bund/BSI y Symantec desvelan datos de la plataforma de Flame fechados en 2006

Madrid, 17 de septiembre de 2012. Kaspersky Lab, empresa líder en la creación de productos antivirus, antimalware, antispam y otros programas de seguridad informática,  presenta los resultados de una nueva investigación relacionada con el descubrimiento de la sofisticada campaña de ciberespionaje Flame. Esta investigación se ha llevado a cabo por Kaspersky Lab en colaboración con la IMPACT Alliance de ITU (International Telecommunication Union), CERT_Bund/BSI y Symantec. En el transcurso de dicha investigación se han analizado un número de servidores de comando y control (C&C) utilizados por los creadores de Flame han sido analizados en detalle.  Este análisis ha sacado a la luz nuevos y reveladores datos sobre Flame. Por un lado, se han localizado rastros de tres programas maliciosos aún desconocidos y, además, se ha fechado en 2006 la creación y desarrollo de la plataforma de Flame.  

Principales hallazgos:

  • El desarrollo de  la plataforma de comando y control (C&C) comenzó en diciembre de 2006
  • Los servidores C&C se disfrazaron para parecer sistemas ordinarios de control y así ocultar a los proveedores de hosting y a los investigadores la verdadera naturaleza del proyecto
  • Los servidores eran capaces de recibir datos de máquinas infectadas utilizando cuatro protocolos distintos, aunque  sólo uno de ellos atacaba con Flame.
  • La existencia de los tres protocolos restantes no utilizados por Flame prueba la  creación de al menos otros tres programas maliciosos relacionados con Flame. Su naturaleza es aún desconocida.
  • Uno de esos objetos maliciosos sigue actuando libremente.
  • No hay ninguna evidencia que señale que los C&C de Flame se hayan utilizado para controlar otro malware como Stuxnet o Gauss.

La campaña de ciberespionaje de Flame fue originalmente descubierta por Kaspersky Lab en mayo de 2012 durante una investigación que inició International Communication Union. La complejidad del código y la confirmación de vínculos con los desarrolladores de Stuxnet apuntan a que Flame es otro sofisticado ejemplo de ciberespionaje nación-estado. En un principio se estimó que las operaciones de Flame habían comenzado en 2010, pero el primer análisis de la infraestructura del C&C (utilizado por, al menos, 80 nombres de dominios conocidos) lo fechaba dos años antes.

Los hallazgos de esta investigación están basados en el análisis del contenido de varios servidores C&C utilizados por Flame. Esta información ha podido recuperarse a pesar de que la infraestructura de control de Flame fue puesta de inmediato en offline, tras el anuncio de Kaspersky Lab advirtiendo de la existencia de malware.  Todos los servidores estaban corriendo en versión 64-bit del sistema operativo de Debian, virtualizado utilizando contenedores de Open VZ. La mayoría de los códigos de los servidores estaban escritos en lenguaje de programación PHP. Los creadores de Flame utilizaron ciertas medidas para hacer que los servidores de C&C parecieran simples controles de sistemas que burlaran los controles de los proveedores de hosting.

Se utilizaron métodos de cifrado muy complejos que sólo permitían a los atacantes obtener los datos cargados en los equipos infectados. El análisis de los scripts utilizados para manejar la transmisión de datos a las víctimas han derivado en el descubrimiento de cuatro protocolos de comunicación, y sólo uno de ellos es compatible con Flame. Esto significa que hay, al menos, otros tres  tipos de malware utilizados en estos servidores de C&C que aún se desconocen. Existe evidencia suficiente para afirmar que al menos un malware relacionado con Flame está operando libremente.

 “Fue muy complicado para nosotros estimar la cantidad de datos robados por Flame, incluso tras el análisis de sus servidores de comando y control. Los creadores de Flame han ocultado muy bien sus rastros, pero el error de uno de sus atacantes nos permitió descubrir más datos de los que guardaba el servidor. Basado en ello, hemos podido ver que cada semana  se subían más de cinco gigabytes a este servidor, provenientes de más de 5.000 equipos infectados. Sin duda, estamos ante un claro ejemplo de ciberespionaje a gran escala”, explica Alexander Gostev, Director de Seguridad  de Kaspersky Lab.

Para más información y acceso al Q&A de Flame, por favor, consulta: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

Sala de Prensa de Kaspersky Kab:

Sala de Prensa de Kaspersky Lab: http://newsroom.kaspersky.eu/es/home

Para más información, contactar con:

e-Verythink PR
Virginia Frutos
Tel.   +34 91 502 59 59 
Mov. +34 670 502 902 
Email: virginia.frutos@everithink.com

Kaspersky Lab Iberia
Vanessa González
Directora de Comunicación
Tel. +34 91 398 37 52 ext 3380
Email: vanessa.gonzalez@kaspersky.es

© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servicios de Kaspersky Lab quedan establecidas de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hace responsable de los errores técnicos o editoriales u omisiones presentes en el texto.