Новости IT, хостинга
Новость от 06.06.2012

Адрес в интернете:
https://news.hostdb.ru/index/show/id/6233

"Лаборатория Касперского" проанализировала структуру управления Flame


"Лаборатория Касперского" объявила о результатах исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, в настоящее время активно применяется в качестве кибероружия в ряде ближневосточных государств.

Анализ вредоносной программы, показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.

Совместно с компаниями GoDaddy и OpenDNS эксперты "Лаборатории Касперского" смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. В результате детального анализа полученной таким образом информации, эксперты пришли к следующим выводам:

- Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе "Лаборатория Касперского" раскрыла существование вредоносной программы.

- На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 год.

- За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.

- Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.

- Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.

- Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

- По предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована "Лабораторией Касперского" как одна из самых безопасных, оказалась не подвержена заражению Flame.

"Лаборатория Касперского" выразила благодарность Уильяму МакАртуру (William MacArthur), отделу по борьбе с сетевыми злоупотреблениями регистратора доменных имен GoDaddy, а также группе OpenDNS Security Research за оперативный отклик и неоценимую помощь в проведении расследования.

На прошлой неделе "Лаборатория Касперского" связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. Также руководство "Лаборатории Касперского" выразило благодарность всем , кто принимал участие в расследовании.


Распечатано с HostDB.ru.