• Flame, Servidores C & C e Variantes Desconhecidas do Malware

    Publicado em 18-09-2012 03:00
    0 Comentários Comentários
    Desde a sua descoberta feita pelos pesquisadores de segurança da Kaspersky Lab e da CrySyS no último mês de maio, o malware Flame e sua infra-estrutura de servidores de C & C estão sendo analisados ​​em busca de pistas adicionais, com a intenção de descobrir quem pode estar por trás disso. Nesse contexto, a Kaspersky Lab e a Symantec, em conjunto com a ITU-IMPACT e CERT-Bund/BSI, revelaram hoje novas descobertas sobre outros tipos de malware, que parecem ter sido criados e usados juntamente com o Flame, o que vem a ser uma grande preocupação para os profissionais envolvidos nessa análise e investigação.


    Análise de Servidores C & C e Utilização para Finalidades Diversas

    Depois de ter analisado dois dos servidores C & C e as informações encontradas sobre eles, os pesquisadores chegaram a uma série de conclusões."Os servidores analisados ​​contêm a mesma estrutura de controle, mas eles foram utilizados para fins distintos. O servidor que foi criado em março de 2012 mostra evidências de ter recolhido quase 6 GB de dados, a partir de computadores comprometidos em pouco mais de uma semana. "Em comparação, o servidor que foi criado em maio de 2012 recebeu apenas 75 MB de dados e foi utilizado apenas para distribuir um módulo de comando para os computadores comprometidos", disseram os pesquisadores da Symantec.


    Pesquisadores ficaram bastante preocupados sobre as novas descobertas relacionadas ao malware Flame


    Os servidores podem ser acessados ​​através de uma aplicação Web chamada Newsforyou, que processa as interações com o cliente W32.Flamer e fornece um painel de controle simples - tão simples, na verdade, que poderia ser confundido com um sistema de gerenciamento de conteúdo para um blog ou uma news outlet:

    "Os desenvolvedores de C & C não utilizam termos profissionais como bot, botnet, infecção, malware ou qualquer coisa relacionada em seu painel de controle. Ao invés disso, usam palavras comuns como dados, upload, download, cliente, notícias, blog, anúncios de backup",compartilharam os especialistas da Kaspersky Lab. Na sequência, eles disseram que acreditam que isto foi, deliberadamente, feito para enganar sys-admins de empresas de hospedagem, que podem executar verificações sem que haja um aviso prévio.


    Protocolos Ativos e Identificação de uma Diversidade de Malware

    Ainda de acordo com os pesquisadores, "a descoberta mais importante é o fato de que o pedido de painel de controle não tem sido utilizado exclusivamente pelo Flame. Ele contém funcionalidades que lhe permite estabelecer comunicação com computadores comprometidos e com identificadores de malware múltiplos utilizando protocolos diferentes", dizem os pesquisadores.

    Há quatro protocolos ativos, e somente um é usado pelo Flame. Mas, segundo os pesquisadores da Kaspersky, um desses elementos relacionados com o Flame seriam objetos maliciosos desconhecidos, que estariam operando atualmente em estado selvagem. "Os servidores foram criados para gravar quantidades mínimas de informações, em caso de descoberta. Os sistemas foram configurados para desativar eventos de log desnecessários e entradas no banco de dados foram apagadas em intervalos regulares".

    Além do que já foi citado, arquivos de log existentes foram seguramente apagados do servidor em uma base regular. "Estas medidas foram tomadas a fim de dificultar qualquer investigação em relação ao servidor ter sido adquirido por terceiros", aponta a Symantec. De acordo com a especialista, "os atacantes não eram suficientemente aprofundados no assunto, no entanto, um arquivo revelador sobre o histórico do malware e suas atividades, assim como a configuração do servidor, estava disponível".


    Conexão Proveniente do Oriente Médio e Responsabilidade pelas Atividades do Malware

    Há também um conjunto limitado de registros no banco de dados, registros criptografados que revelaram que computadores comprometidos tinham sido conectado a partir do Oriente Médio. Em um trabalho aprofundado, houve a possibilidade de recuperar os apelidos dos quatro autores - D***, H *****, O****** e R***, que haviam trabalhado no código em vários estágios e em diferentes aspectos do projeto, e ao que tudo indica, foi escrito em 2006.

    A única coisa que parece confirmar a teoria de que as pessoas por trás deste malware não eram financiadas por cibercriminosos, mas eram parte de uma operação militar e/ou inteligência, é que os operadores do servidor não poderiam saber quais módulos foram liberados para as máquinas, porque o painel de controle não funciona de maneira tão transparente como a maioria dos outros; as informações coletadas que foram roubadas de computadores comprometidos foram armazenadas em servidores, mas em formato criptografado, e a chave para decifrá-lo não foi encontrada.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/malware_news.php?id=2269
    + Enviar Comentário