Блог о компьютерной безопасности, новых угрозах конфидециальности Вашей информации и борьбе с ними. Новинки -обзоры антивирусных программ их достоинствах и недостатках. Предупреждение: Вся информация представлена исключительно в образовательных целях.
Ни авторы, ни редакция не несут ответственности в случае ее использования в противозаконных целях.
Создатели Flame "спалились" на командном сервере - Founders Flame had not time to destroy the proof on the command server
Тестеры "Лаборатории Касперского" добыли образ OPENVZ одного из командных серверов Flame, который находился в Европе, смогли взломать пароль к встроенной CMS (пароль 900gage!@#) и в деталях изучили, как был организован приём информации от ботов Flame и кто имел доступ в систему. Этот конкретный командный сервер принял с 5377 инфицированных компьютеров 5,5 гигабайт файлов за неделю с 25 мар. по 2 апреля.
Результаты исследования обнародованы в полном анализе командных серверов Flame - масштабный труд, ставший результатом некоторого количества месяцев работы. Т.о., отечественные эксперты вплотную приблизились к тому, чтоб выявить конкретные личности девелоперов, создавших эту сложнейшую программу, которая использовалась для кибершпионажа на государственном уровне.
Интерфейс панели управления командным сервером Flame замаскирован под легитимную систему управления контентом.Разбор командных серверов выявил, что работа над кодом Flame началась в дек. 2006 г., а попутно с ней авторы создали ещё 3 утилиты. На командных серверах остались улики, которые указывают на обработку запросов от 4-х программ. По заключению специалистов, Flame - не наиболее современная из них, последняя по времени создания вредоносная утилита носит имя 'IP' и остаётся на сегодня неизвестной. Сама же Flame (авторы называли её FL) использовала лишь 1 из 3-х протоколов, под кодовым названием OLDPROTOCOL. Кто и как применял протоколы OLDPROTOCOLE и SIGNUPPROTOCOL - неизвестно.На миг обнаружения Flame и до экстренного закрытия командных серверов 18 мая 2012 г. код новых шпионских программ располагался в создании. Новый протокол реализован ещё не целиком, сообщают аналитики "Лаборатории Касперского".
Из всех вредоносных программ, следы которых обнаружены на командных серверах, есть 1 связанная с Flame утилита, которая есть и остаётся активной сейчас. Подтверждения этому - запросу на аутентификацию, которые приходят по протоколу OLDPROTOCOLE на sinkhole-серверы в "Лаборатории Касперского" до сих пор, то есть в сент. 2012 г..
Наконец, "Лаборатория Касперского" проанализировала комментарии в исходном коде и попыталась понять, кто был разработчиками утилиты, вот цитата из опубликованного отчёта с отредактированными никами.За разработку командного сервера отвечало 4 человека. Для нас понятно, что 1 из них - [H] - был опытнее прочих: он сделал несколько патчей вполне продвинутого ур. и реализовал сложную логику; видимо, он к тому же - знаток алгоритмов шифровки. Мы полагаем, что [H], вероятнее всего, был руководителем группы.
Founders Flame had not time to destroy the proof on the command server
Researchers «Kaspersky's Laboratory» have extracted an image OpenVZ one of command servers Flame who settled down in Europe, have managed to crack the password to built in CMS (the password 900gage!@#) and in details have studied, as reception of the information from boats Flame and who had access to system has been organised. This concrete command server has accepted from 5377 infected computers 5,5 гигабайт files for a week from March, 25th till April, 2nd.
Results of research are published in the full analysis of command servers Flame is the scale work which has become by result of several months of work. Thus, the Russian experts have closely come nearer to revealing concrete persons of the developers who have created this most complicated program which was used for cyberespionage at the state level.
The control panel interface is disguised by command server Flame under a legitimate control system of a content. The analysis of command servers has revealed that work on code Flame has begun in December, 2006, and in parallel with it authors have created three more programs. On command servers there were proofs which specify in processing of inquiries from four programs. According to experts, Flame — not advanced of them, last on creation time the harmful program bears a name ' IP ' and remains for today of the unknown person. Itself Flame (authors named it FL) used only one of three reports, code-named OldProtocol. Who and how used reports OldProtocolE and SignupProtocol — is not known. At the moment of detection Flame and before emergency closing of command servers on May, 18th, 2012 the code of new espionage programs was in working out. The new report is realised yet completely, analysts «Kaspersky's Laboratory» inform.
Among all harmful programs which traces are found out on command servers, there is one connected with Flame the program which exists and remains active at the moment. Proofs to it is to inquiry on аутентификацию which come under report OldProtocolE on sinkhole-servers in «Kaspersky's Laboratory» till now, that is in September, 2012.
At last, «Kaspersky's Laboratory» has analysed comments in an initial code and has tried to understand, who was developers of the program, here the citation from the published report with edited никами. For working out of the command server answered four persons. It is obvious to us that one of them — [H] — was more skilled the others: he has created some patches of rather advanced level and realised the difficult logic; apparently, it also is the expert on algorithms of enciphering. We believe that [H], most likely, was the head of group. Теги: flame,krakoziaber,безопасность,защита информации, антивирус,антихакер,world +in flames
Кстати вот скрин со sponsoredtweets - заработал за 20 дней (на своем рабочем месте) конечно не много , Но мы ведь не задавались целью заработать дополнительный "оклад" используя время и траффик нашего работодателя. (хотя имея несколько аккаунтов и потратив больше времени чем обеденный перерыв....).
Комментариев нет:
Отправить комментарий