Infrastruktura robaka Flame działała przez pewien czas w Polsce – Portal PR - 24PR




Infrastruktura robaka Flame działała przez pewien czas w Polsce

05.06.2012 Kategoria: Internet, Komputery, Technologie. Autor: Kaspersky Lab Polska

Najnowsze odkrycia ujawniły, że infrastruktura wykorzystywana do kontrolowania Flame’a była przenoszona między kilkoma krajami i działała między innymi w Polsce.

W ubiegłym tygodniu firma Kaspersky Lab poinformowała o wykryciu wysoce zaawansowanego szkodliwego programu, znanego jako Flame, który był aktywnie wykorzystywany jako cyberbroń wycelowana w kilka krajów. Eksperci z Kaspersky Lab natrafili na Flame’a podczas badania prowadzonego na zlecenie Międzynarodowego Związku Telekomunikacyjnego (ITU). Analiza wykazała, że Flame jest największym i najbardziej zaawansowanym wykrytym dotychczas pakietem do przeprowadzania ataków internetowych.

Analiza przeprowadzona przez Kaspersky Lab wykazała, że Flame był aktywnie wykorzystywany do cyberszpiegostwa i infekował komputery w celu kradzieży danych oraz poufnych informacji. Skradzione zasoby były przesyłane do jednego z serwerów kontroli nadzorowanych przez cyberprzestępców.

Analitykom udało się, we współpracy z organizacjami GoDaddy oraz OpenDNS, odłączyć większość szkodliwych domen wykorzystywanych przez infrastrukturę serwerów kontroli Flame’a. Szczegółowe badanie ujawniło następujące informacje:

– Działająca od kilku lat infrastruktura serwerów kontroli Flame’a została wyłączona natychmiast po tym, jak eksperci z Kaspersky Lab wykryli istnienie zagrożenia w ubiegłym tygodniu.
– Obecnie istnieje ponad 80 znanych domen wykorzystywanych przez serwery kontroli Flame’a. Domeny te zostały zarejestrowane w latach 2008 – 2012.
– W ciągu ubiegłych czterech lat serwery przechowujące infrastrukturę kontrolującą Flame’a były przenoszone między wieloma państwami, łącznie z Polską, Hong Kongiem, Turcją, Niemcami, Malezją, Łotwą, Wielką Brytanią oraz Szwajcarią.
– Do rejestracji domen wykorzystywanych do kontrolowania Flame’a korzystano z ogromnej ilości fałszywych tożsamości.
– Z najnowszych danych Kaspersky Lab wynika, że zainfekowani użytkownicy zostali zidentyfikowani w wielu częściach świata, łącznie z Bliskim Wschodem, Europą, Ameryką Północną oraz Azją.
– Atakujący korzystający z Flame’a wydają się być szczególnie zainteresowani plikami PDF, dokumentami pakietu Office oraz projektami z aplikacji AutoCad.
– Dane przesyłane przez robaka Flame do serwerów kontroli są zaszyfrowane przy użyciu prostych metod. Skradzione dokumenty są kompresowane przy użyciu biblioteki Zlib (open source) oraz zmodyfikowanej kompresji PPDM.

Eksperci z Kaspersky Lab dziękują Willamowi MacArthurowi, GoDaddy Network Abuse Department oraz zespołowi OpenDNS Security Research Team za wsparcie w analizie robaka Flame.

W ubiegłym tygodniu analitycy z Kaspersky Lab kontaktowali się z centrami CERT w wielu krajach i informowali o domenach oraz adresach IP serwerów wykorzystywanych w infrastrukturze kontroli Flame’a. Kaspersky Lab dziękuje wszystkim centrom, które pomagały w prowadzeniu dochodzenia.

Wszystkie osoby reprezentujące organizacje GovCERT, które chcą uzyskać więcej informacji na temat domen C2 wykorzystywanych w infrastrukturze robaka Flame, prosimy o kontakt pod adresem theflame@kaspersky.com.

Najnowszą odsłonę analizy robaka Flame zatytułowaną „Dach płonie: walka z serwerami kontroli Flame’a” można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=794.

Informację oraz analizę można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Podobne wpisy:







Wszelkie prawa do portalu w rozumieniu ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych zastrzeżone są na rzecz MERKON GROUP CEZARY KRAJEWSKI i odpowiednio na rzecz współpracujących podmiotów i nie mogą być rozpowszechniane w całości bądź w części (także kanały RSS) bez uprzedniej pisemnej ich zgody.