Kaspersky Lab ha annunciato i risultati di una nuova ricerca relativa alla scoperta della sofisticata campagna di spionaggio informatico sponsorizzata dagli stati-nazioni. Durante la ricerca, condotta da Kaspersky Lab in collaborazione con la divisione che si occupa di cyber sicurezza IMPACT dell’International Telecommunication Union, CERT-Bund/BSI e Symantec, un numero di server Command & Control (C&C) utilizzati dai creatori di Flame sono stati analizzati nel dettaglio.
L’analisi ha rivelato nuovi dettagli importanti legati a Flame. In particolare, sono state rilevate tracce di programmi nocivi non ancora scoperti ed è emerso che lo sviluppo della piattaforma Flame risale al 2006. Risultati principali:
- Lo sviluppo della piattaforma C&C di Flame è iniziato prima del dicembre 2006
- I server C&C sono stati camuffati, per sembrare un sistema comune di gestione dei contenuti, in modo da nascondere la vera natura del progetto.
- I server erano in grado di ricevere i dati dalle macchine infette, utilizzando quattro differenti protocolli; solo uno di questi serviva per attaccare i computer con Flame.
- L’esistenza di tre protocolli aggiuntivi non utilizzati da Flame è la dimostrazione che ci sono almeno altri tre programmi nocivi legati a Flame, di cui ancora non si conosce la natura.
- Uno di questi programmi sconosciuti legati a Flame è attualmente in circolazione.
- Ci sono stati alcuni segnali che dimostrano che la piattaforma C&C è ancora in via di sviluppo; uno schema di comunicazione denominato “Red Protocol” è stato menzionato ma non ancora implementato.
- Non ci sono segnali che dimostrino che il server C&C di Flame sia stato impiegato per controllare altri malware come Stuxnet o Gauss.
La campagna di spionaggio informatico è stata scoperta inizialmente nel maggio 2012 da Kaspersky Lab durante un’indagine condotta con la International Communication Union. A seguito della scoperta, ITU-IMPACT ha rilasciato un alert a 144 nazioni che fanno parte dell’organizzazione accompagnato da istruzioni su come ripristinare il sistema.
La complessità del codice e i legami confermati con gli sviluppatori di Stuxnet, riportano al fatto che Flame è un chiaro esempio di operazione informatica sponsorizzata dagli stati-nazioni. Inizialmente si era affermato che Flame avesse iniziato le sue operazioni nel 2010, ma la prima analisi dell’infrastruttura C&C (che comprendeva almeno 80 domini conosciuti) sposta questa data indietro di due anni.
I risultati emersi da questa particolare indagine sono basati sull’analisi del contenuto recuperato dai server C&C utilizzati da Flame. Queste informazioni sono state recuperate, nonostante l’intervento di Kaspersky Lab, che subito dopo aver rivelato l’esistenza del malware ha messo offine le infrastrutture di controllo. Tutti i server si basavano sulla versione a 64-bit del sistema operativo Debian, virtualizzato grazie ai contenitori OpenVZ.
Molti dei codici dei server erano scritti con il linguaggio di programmazione PHP. I creatori di Flame hanno adottato alcune particolari misure per rendere l'aspetto del server C&C come un normale sistema di gestione dei contenuti, per non attirare l'attenzione degli hosting provider.
Sono stati utilizzati sofisticati metodi di crittografia in modo che nessuno, tranne gli hacker, potesse entrare in possesso dei dati archiviati sulle macchine infette.
L'analisi degli script utilizzati per gestire le trasmissioni di dati sottratti alle vittime, ha rivelato quattro protocolli di comunicazione e solo uno di essi era compatibile con Flame. Ciò significa che almeno altri tre tipi di malware hanno utilizzato questi server di comando e controllo. Ci sono prove sufficienti per dimostrare che almeno uno dei malware legati a Flame è attualmente in circolazione. Questi programmi nocivi sono ancora da scoprire.
Un altro importante risultato dell’analisi riguarda lo sviluppo della piattaforma C&C di Flame, che è iniziata già nel dicembre 2006. Ci sono segnali che dimostrano che la piattaforma è ancora in via di sviluppo, dal momento che un nuovo protocollo non ancora implementato, denominato “Red Protocol”, è stato individuato sui server. L’ultima modifica del codice del server da parte di uno dei programmatori risale al 18 maggio 2012.
“È stato difficile per noi stimare la quantità di dati rubati da Flame, anche dopo l’analisi dei suoi server C&C. I creatori di Flame sono molto bravi a nascondere le proprie tracce. Ma un errore dei criminali informatici ci ha aiutato a scoprire quali sono i dati che un server ha il compito di conservare. Sulla base di questo, possiamo vedere che più di cinque gigabyte di dati sono stati caricati ogni settimana su questo particolare server, da più di 5000 macchine infette. Questo è certamente un esempio di un’operazione di spionaggio informatico condotto su larga scala”, ha dichiarato Alexander Gostev, Chief Security Expert di Kaspersky Lab.
L’analisi dettagliata del contenuto dei server C&C di Flame è disponibile su Securelist.com.
Per ulteriori informazioni su Flame:
https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
Nessun commento:
Posta un commento