«Лаборатория Касперского» провела анализ сетевых запросов трояна Flame, остававшегося незамеченным более 5 лет (это несмотря на то, что был направлен на самую популярную платформу - ОС Windows). Представленные «Лабораторией Касперского» результаты анализа носят поверхностный характер и лишь немногим дополняют исследования венгерских экспертов из CrySyS Lab. Напомним, что в конце мая очередной многомодульный троян, получивший название Flame, заставил задуматься пользователей об актуальности использования антивирусного ПО, которое все чаще выполняет функции счетчика заражений и наблюдения за активностью пользователя. Новый троян был преимущественно обнаружен в компьютерных системах стран Ближнего Востока, что и стало основанием для СМИ назвать его кибер-оружием. Всего было зафиксировано 80 управляющих доменов, размещаемых на более чем 20 IP-адресах. Наибольшее число доменов были зарегистрированы через компанию GoDaddy. В контактной информации доменов содержится информация о вымышленных лицах, в качестве места жительства которых указывались адреса отелей, магазинов и организаций Центральной Европы, преимущественно в Вене. Первые домены были созданы в 2008-2009 годах, а наибольшее число доменов созданы 10 апреля 2011 года. Для размещения управляющих центров использовались сервера по всему миру, наибольшее число - Германия и Голландия. Сервера работали на ОС Ubuntu с открытыми портами 22, 443 и 8080, и лишь некоторые имели открытый 80-ый порт. Все сервера можно разделить на три группы, по функциям компонентов трояна обращающимся к ним: распространение трояна (mssecmgr.ocx), обновление конфигурации (mscrypt.dat) и слежение за активностью (to96.tmp). Троян после запуска проверял возможность соединения с серверами Microsoft по протоколу HTTPS. В случае удачного подключения, с использованием протокола SSL/HTTPS происходила отправка POST-запроса на сервер слежения за активностью. В POST-запросе содержится информация о версии ядра трояна, его конфигурации, истории активности и данные, извлеченные из документов. Примечательно, что в POST-запросе использовалась переменная "password" со значением "LifeStyle2". Значение этой переменной задается в файле конфигурации трояна. Напомним, что одна из основных функций Flame - сбор информации из чертежей программы AutoCAD и документов форматов PDF, XLS и DOC. Данные, передаваемые на сервер кодировались и сжимались с использованием библиотек Zlib и PPDM. Передаваемые пакеты данных разбивались по 8Кб, по предположению исследователей, это связано с необходимостью передачи данных по низкоскоростным каналам связи. В случае, если подключение по SSL/HTTPS невозможно, троян пытался подключиться к серверу управления по SSH. SSH функционирует на полностью интегрированной Putty-based библиотеке. Среди передаваемых на сервер идентификаторов версии трояна, лидером является "2.242", однако исследователи зафиксировали и более новый экземпляр "2.243". В любом случае, версия 2, подтверждает версию о двух волнах заражения в 2010 году и второй - в 2011. По мнению uinC Team, распространение трояна по всему миру, говорит о том, что целенаправленность атаки на Ближний Восток является мнимой целью, об этом свидетельствует большое число зараженных систем в Европе. В случае, если бы злоумышленники ставили основной своей целью - компьютерный шпионаж в странах Ближнего Востока, то и большинство управляющих серверов логично было бы разместить в этих странах. Это бы решило сразу несколько проблем: обойти фильтрацию трафика, использовать более скоростные каналы передачи данных внутри страны. Говорить о необходимости дробления данных по 8Кб с целью работы на низких скоростях, просто глупо, учитывая то, что размер ядра трояна составляет 6Мб, а общий размер с основными модулями - 20Мб. По мнение специалистов, уменьшение размера пакетов данных необходимо было для сокрытия передачи трафика, не более того. Далее по предположению, данные, собранные на локальных серверах, могли быть отправлены в те же страны Европы или США, при помощи шифрования и использования пиринговых сетей. Такой подход бы обеспечил наилучшее сокрытие информации, чем раскрываемые механизмы работы трояна Flame. К сожалению, сразу после публичного объявления об обнаружение трояна Flame, большинство корневых управляющих серверов были отключены. Это стало причиной того, что на текущий момент остается неизвестным источник заражения, источник управления, а также детальное описание применяемых механизмов сокрытия этих источников. Большинство собранных после атаки данных уже не представляют ценности, так как являются плодами экспериментов исследователей компьютерной безопасности по всему миру.
Подробности