A Kaspersky Lab publicou um novo relatório sobre o cavalo de tróia Flame em que a empresa resumi a pesquisa que vem desenvolvendo em conjunto com a Symantec, o Escritório Federal Alemão para Segurança de Informação (BSI) e a aliança IMPACT da União Internacional de Telecomunicação. A investigação dos servidores de comando e controle (Command & Control, ou C&C) usado pelos criadores do Flame revelou uma série de novos achados, incluindo a descoberta de uma diretório com três programas maliciosos ainda sem identificação. Os pesquisadores também descobriram que o desenvolvimento do Flame pode ter começado em dezembro de 2006.
Ao examinar os servidores C&C, os pesquisadores encontrou-os disfarçados para se parecerem com servidorer comuns de sistemas de gerenciamento de conteúdo para escondê-los dos provedores ou investigações aleatórias. Os servidores estavam executando uma versão virtualizada do Debian 6 em uma imagem OpenVZ. A maioria do código de controle foi escrito em Python e PHP que é por sua vez conectado a uma base de dados MySQL. Além disso, o servidor web instalado Apache 2 estava servindo a interface C&C de uma pasta com o nome de /newsforyou/CP. A interface web em si é simples, que os pesquisadores atribuem ao desejo dos criadores do Flame a permanecerem imperceptíveis.
Todos os dados coletados pelo cavalo de tróia e enviados para os servidores C&C foram criptografados localmente usando uma forte criptografia de chave pública. Esses dados só podem ser descifrados com uma chave privada em posse dos responsáveis por aquele servidor. Os dados criptografados são baixados a cada meia hora e deletados do servidor. De acordo com o relatório, um servidor chegou a enviar mais de 5.5GB de dados capturados no período de uma semana. Esse servidor foi contatado pelo mais de 5.000 endereços IP durante essa semana. 3.700 desses endereços eram iranianos, já 1.280 outros contatos vieram do Sudão. Os pesquisadores estimam que o Flame infectou mais de 10.000 máquinas.
Quando analisavam os protocolos de comunicação usado pelo Flame e seus servidores C&C, os pesquisadores descobriram que os servidores também são capazes de controlar outros quatro diferentes clientes. Os codinomes para esses aplicativos são IP, SP, SPE e FL -- o último acrônimo sendo usado para o próprio Flame. Isso levou a equipe de pesquisa a pressupor que três outros cavalos de tróia foram criados pelos mesmos desenvolvedores do Flame.
A Kaspersky afirma que encontrou traços de pelo menos uma das derivações do Flame: o SPE está atualmente operacional na rede mas não pode ser capturado ainda. Também existem sinais de que uma quinta derivação estava em desenvolvimento mas não pode ser completada pelos seus autores quando a atenção do mundo se voltou para o Flame e foi terminada. Os pesquisadores concluíram isso de um esquema de comunicação chamado de Red Protocol (protocolo vermelho) que é mencionado no código C&C mas ainda não estava implementado. De acordo com a Kaspersky, não existem sinais de que os servidores de controle do Flame foram usados para controlar outros malwares conhecidos como o Stuxnet ou o Gauss.
Os técnicos forenses extraíram ainda mais informações dos servidores C&C, incluindo os apelidos de quatro dos operadores do servidor. Um relatório publicado pela Symantec mostra uma clara distinção entre os papéis desses operadores, somado ao uso de compartimentalização de dados sugerem que os hackers pertenciam a um grupo organizado e bem financiado. Mantendo o a configuração criptográfica e a complexidade dos servidores C&C em mente, a Kaspersky também concordam que é provável que o Flame e suas variações tenham sido desenvolvidos com o apoio de um estado-nação. De acordo com um relato do Washington Post, o Flame e o Stuxnet foram desenvolvidos sob a tutela dos governos dos Estados Unidos e de Israel.
Uma observação dos pesquisadores é a de que os desenvolvedores do sistema de C&C do Flame parecem ser em grande parte familiares com sistemas baseados no Red Hat Enterprise Linux já que eles estava usando a ferramenta chkconfig que é incomum em ambientes Debian. Isso lembrou-os da implementação de servidor C&C do cavalo-de-tróia Duqu que foi baseada no CentOS, um clone da distribuição da Red Hat. Isso apresenta uma outra possível conexão entre o Flame e o Stuxnet.
O Flame foi descoberto pela primeira vez em maio desse ano. Logo ficou claro que o malware já está ativo há anos mas que seu uso tem sido concentrado no Oriente Médio. Mais tarde se descobriu que o malware estava sendo distribuído com o uso de certificados válidos da Microsoft e instalado através do mecanismo de atualização do Windows.
Fonte: h-online, em inglês.
Caso tenha gostado do post, por favor, prestigie a fonte para este e outros assuntos afins
o 
agradece sua preferência, volte sempre! 
CREATION SOURCE: 
Linux new mediaVivamos a LIBERDADE com total DIGNIDADE!
