Исследователи «Лаборатории Касперского» добыли образ OpenVZ одного из командных серверов Flame, который располагался в Европе, сумели взломать пароль к встроенной CMS (пароль 900gage!@#) и в деталях изучили, как был организован приём информации от ботов Flame и кто имел доступ в систему. Этот конкретный командный сервер принял с 5377 заражённых компьютеров 5,5 гигабайт файлов за неделю с 25 марта по 2 апреля.
Результаты исследования опубликованы в полном анализе командных серверов Flame — это масштабный труд, ставший результатом нескольких месяцев работы. Таким образом, российские специалисты вплотную приблизились к тому, чтобы выявить конкретные личности разработчиков, создавших эту сложнейшую программу, которая использовалась для кибершпионажа на государственном уровне.
Интерфейс панели управления командным сервером Flame замаскирован под легитимную систему управления контентом.
Анализ командных серверов выявил, что работа над кодом Flame началась в декабре 2006 года, а параллельно с ней авторы создали ещё три программы. На командных серверах остались улики, которые указывают на обработку запросов от четырёх программ. По мнению специалистов, Flame — не самая современная из них, последняя по времени создания вредоносная программа носит имя 'IP' и остаётся на сегодняшний день неизвестной. Сама же Flame (авторы называли её FL) использовала только один из трёх протоколов, под кодовым названием OldProtocol. Кто и каким образом использовал протоколы OldProtocolE и SignupProtocol — неизвестно.
На момент обнаружения Flame и до экстренного закрытия командных серверов 18 мая 2012 года код новых шпионских программ находился в разработке. Новый протокол реализован ещё не полностью, сообщают аналитики «Лаборатории Касперского».
Среди всех вредоносных программ, следы которых обнаружены на командных серверах, есть одна связанная с Flame программа, которая существует и остаётся активной в настоящий момент. Доказательства этому — запросу на аутентификацию, которые приходят по протоколу OldProtocolE на sinkhole-серверы в «Лаборатории Касперского» до сих пор, то есть в сентябре 2012 года.
Наконец, «Лаборатория Касперского» проанализировала комментарии в исходном коде и попыталась понять, кто являлся разработчиками программы, вот цитата из опубликованного отчёта с отредактированными никами.
Ники и временные метки, оставленные разработчиками в скриптах, оказались в числе наиболее ценных находок:
- @author [O] удалено in 12/3/2006
- @author [D] удалено on 12/4/2006
- @author [D] удалено on 01/23/2007
- @author [H] удалено on 09/02/2007
- @author [O] удалено, DeMo
- @author [D] удалено (modifications)
- @author modified heavily by [D] удалено
- @author [R] удалено @copyright 2011
Вот что известно об активности разработчиков:
- [D]: работал не менее чем над 31 файлом
- [H]: работал не менее чем над 10 файлами
- [O]: работал не менее чем над 4 файлами
- [R]: работал не менее чем над 1 файлом (средством удаления дублирующихся файлов)
За разработку командного сервера отвечало четыре человека. Для нас очевидно, что один из них — [H] — был опытнее остальных: он создал несколько патчей весьма продвинутого уровня и реализовал сложную логику; по-видимому, он также является знатоком алгоритмов шифрования. Мы полагаем, что [H], скорее всего, был руководителем группы.
