返回新闻列表

最新调查发现与Flame(火焰)相关的三个恶意程序:其中至少一个还处在未受控制状态

        卡巴斯基实验室宣布对Flame(火焰)——这一复杂并且背后由国家机构支持的网络间谍活动的调查有了新的进展。在研究过程中,卡巴斯基实验室与来自国际电联的网络安全执行专家团,包括IMPACT、CERT-Bund/BSI和赛门铁克,共同仔细地分析了一系列由Flame创建者曾经使用过的指令与控制(C&C)服务器。分析结果揭开了有关Flame一些从未揭开过的新面目。尤其是之前三个没有被发现的恶意程序现在已经找到。另外,Flame平台的开发时间可以追溯至2006年。

主要发现:

  • Flame指令与控制平台的开发最早是从2006年12月开始的。
  • C&C服务器被伪装成一个普通的内容管理系统,以隐藏来自主机或随机调查项目的真实目的。
  • 这些服务器能够通过四个不同的协议来接收来自受感染设备上的数据,而只有一个用来“服务”受到Flame攻击的计算机。
  • 其它三个协议的存在并没有被Flame使用,这有证明了至少有其它三个与Flame相关的恶意程序被创建,而这些程序的目的和性质尚不清楚。
  • 这三个与Flame相关的未知恶意目标中的一个目前处于未受到控制的状态。
  • 有迹象表明C&C平台目前还在开发中,有一个被称为“红色协议”(Red Protocol)通讯密谋被提及,但还没有得以实施。
  • 没有迹象表明Flame的C&C曾被用来控制其它的恶意程序,如Stuxnet或Gauss。

        Flame网络间谍活动最初是在2012年5月被发现的,当时卡巴斯基实验室正在执行由国际电联委托的一项调查。有了这个发现以后,ITU-IMPACT迅速行动,立刻给144个会员国发布了警告并给出适当的检测和清除过程。该代码的复杂程序证实了Flame与Stuxnet开发者之间的联系,所有的证据表明Flame是另一次复杂程度高,背后有国家支持的网络行动。我们最开始估计Flame应该是在2010年开始行动的,但对其指令与控制架构(覆盖至少80个已知域名)的首次分析中,发现这个日期应该提前两年。

        此次特别调查的发现主要基于对内容的分析,而这些内容都是从Flame使用的几个C&C服务器中提取的。尽管在卡巴斯基实验室宣布此恶意程序的存在时,Flame的指令与控制服务器立刻下线,但我们通过努力,最终还是恢复了这些信息。Flame所有的服务器都运行的是64位的Debian操作系统,虚拟技术使用的是OpenVZ虚拟环境。大部分服务器代码采用PHP编程语言编写。Flame的创建者使用了一些特定的手段来使C&C服务器看上去像是一个普通的内容管理系统,就是为了避免主机提供商的注意。

        复杂的加密手段使得除攻击者本人,无人能获得受感染设备上传的数据。曾经用来处理受害设备数据传输的脚本文件分析揭示出四个通信协议,而只有一个能与Flame兼容。也就意味着至少还有三个其它与Flame相关的恶意程序用过这些指令与控制服务器。而且,还有足够的证据表明,其中一个恶意程序还处于活动的状态。而这些未知恶意程序还有待被发现。

        另一个重要的分析结果则是Flame的C&C平台开发时间,这个时间应在早在2006年12月就开始了。有迹象表明,这个平台目前还在处于开发的阶段。原因是在服务器上发现一个新的,但是还未使用的“红色协议”(Red Protocol)。服务器代码最近一次的修改时间是2012年5月18日。

        卡巴斯基实验室首席安全专家Alexander Gostev评论道:“评估Flame盗取的数据对我们来说是个大问题,尽管对指令与控制服务器进行了分析,但是Flame的创建者们很好的掩盖了他们的一些行径。但是攻击者的一个小错误却帮助了我们发现一个服务器上本来是要保留更多的数据的。基于这点,我们发现一个星期内,超过5G的数据被上传至这个服务器上,这些数据来源于5,000台受到感染的计算机。这毫无疑问是一次超大规模的网络间谍活动。”

        阅读有关Flame指令与控制服务器的详细分析,请访问Securelist.com