С каждым днём становятся известны всё новые подробности о шпионской программе Flame. Позавчера компания Microsoft рассказала, каким образом осуществлялось похищение фирменным цифровых сертификатов и как Flame распространялся под видом Windows Update.

Теперь и «Лаборатория Касперского» добавила технической информации, опубликовав результаты расследования инфраструктуры C&C-серверов Flame, проведённого совместно с GoDaddy и OpenDNS. Расследование началось за несколько недель до 28 мая, когда все C&C-серверы Flame ушли в офлайн, через несколько часов после официального заявления об обнаружении шпионской программы. Впрочем, некоторые клиенты Flame получили обновление до последней версии 2.4.2 уже после начала всей шумихи в прессе, что очень удивляет специалистов «ЛК».

Всего обнаружено более 80 доменов на 15+ IP-адресах, куда отправлялись результаты работы Flame, собранные с заражённых машин. Эти домены регистрировались в 2008-2012 годы и использовались на протяжении долгого времени. Основную часть зарегистрировал GoDaddy. Для регистрации доменов использовался впечатляющий список фальшивых личностей с немецкими и австрийскими адресами, похожими на настоящие. Однако, расследование «Лаборатории Касперского» выявило, что эти адреса не могут быть настоящими, потому что в некоторых случаях адрес находится в одном городе, а указан другой, или указан адрес гостиницы. Серверы физически размещались в Германии, Голландии, Великобритании, Турции, Гонконге, Швейцарии и других странах.

Все управляющие серверы Flame работали на операционной системе Ubuntu, а скрипты работали в открытую прямо на серверах, не пряча коммуникации с основным C&C-сервером в SSH-канале, как это делал Duqu. Каждый сервер получал информацию с 50+ инфицированных компьютеров. Данные присылались в зашифрованном виде: там были логи и другая служебная информация, а также документы с заражённых компьютеров: основное внимание уделялось файлам DWG (AutoCAD) и PDF. Для этих других документов программа составляла краткие рефераты.

Клиентская программа Flame по дефолту имела список из пяти C&C-серверов. После установки она сначала проверяла наличие доступа в интернет, пингуя www.microsoft.com, windowsupdate.microsoft.com и www.verisign.com, а затем устанавливала соединение с одним из управляющих серверов.

Общая схема работы с C&C-серверами показана на диаграмме.



Оставить мнение