Menu

Як діє сервер управління шпигунським вірусом Flamer

Корпорація Symantec спільно з CERT-Bund і Лабораторією Касперського провела детальний криміналістичний аналіз сервера управління атаками W32.Flamer, виявленими цієї весни.

W32.Flamer - це комплексне засіб кібер-шпигунства, орієнтований, в першу чергу, на країни Близького Сходу. У рамках проведеного дослідження C&C-сервер був запущений 18 травня 2012 року, і приблизно через 5 годин після його запуску було зареєстровано перше взаємодія з клієнтом -- комп'ютером, інфікованому вірусом Flamer. За наступні кілька тижнів даний досліджуваний C&C-сервер отримав контроль як мінімум над кількома сотнями аналогічних клієнтів.

Дослідження показало, що управління клієнтами здійснюється за допомогою веб-додатки Newsforyou (дослівно з англ. - новини для вас). Воно забезпечує взаємодію клієнтів з C&C-сервером і надає зловмисникові просту панель керування для завантаження додаткового програмного коду на клієнта і скачування з нього викраденої інформації. Не схоже, щоб воно було створено виключно для Flamer - у ньому міститься функціонал взаємодії з різними протоколами з клієнтами, зараженими безліччю інших шкідливих програм. У таблиці нижче відображено взаємозв'язок між ідентифікаторами різних шкідливих програм і безліччю підтримуваних протоколів:

Как действует сервер управления шпионским вирусом Flamer
Як видно з таблиці, кілька загроз, підтримуваних даним середовищем, все ще невідомі. Це, швидше за все, не виявлені модифікації Flamer, або абсолютно не пов'язані з ним інші шкідливі програми.

Сервер був налаштований так, щоб записувати лише мінімальні обсяги інформації, конфігурація системи передбачала журналювання лише необхідних подій, а записи бази даних регулярно віддалялися. Файли журналів серйозну вычищались з сервера також на регулярній основі. Все це було зроблено з метою ускладнити розслідування в разі непередбаченого отримання доступу до сервера.

Однак зловмисники підійшли до справи недостатньо ретельно - залишився доступним файл, в якому був відображений весь процес установки і налаштування сервера. Крім того, за рештою в базі даних зашифрованим записів вдалося визначити, що підключення заражених клієнтів здійснювалося з країн Близького Сходу. Також вдалося встановити псевдоніми чотирьох авторів: DeMo, Hikaru, OCTOPUS та Ryan, які працювали над створенням програмного коду на різних стадіях і з різних аспектів, починаючи ще з 2006 року.

Как действует сервер управления шпионским вирусом Flamer
Структура проекту відображає чіткий розподіл ролей між зловмисниками: одні займалися настройкою сервера (адміністратори), інші відповідали за завантаження шкідливого коду і скачування вкраденої інформації через панель управління (оператори), а треті володіли ключем для розшифровки отриманої інформації. При цьому оператори могли зовсім нічого не знати про характер вкраденої інформації. В наявності використання зловмисниками методів фрагментації (поділу на зони безпеки для забезпечення захисту інформації. Використання такого підходу характерно, насамперед, для військових і розвідувальних підрозділів, хоча ними не обмежується.

Незважаючи на всі зусилля зловмисників запобігти витоку інформації у разі отримання несанкціонованого доступу до сервера, фахівцям вдалося виявити, що C&C-сервер розповсюдив модуль, що містить інструкції самознищення Flamer наприкінці травня 2012 року - поведінку, яка також спостерігалося у інфікованих комп'ютерів-приманок.

І, нарешті, для доступу до панелі управління вимагається пароль, відповідний його зберігається хешу. Незважаючи на всі вжиті фахівцями спроби підбору, відновити пароль з його хешу не вдалося. Якщо хто-небудь може відновити пароль з нижченаведеного хешу, будь ласка, зв'яжіться з фахівцями Symantec через офіційний сайт корпорації:

Хеш пароля: 27934e96d90d06818674b98bec7230fa.

протоколів:

Client

ID Internal

Протокол

Загроза

CLIENT_TYPE_SP

1

PROTOCOL_OLD

Unknown

CLIENT_TYPE_SPE

2

PROTOCOL_OLD_E

Unknown

CLIENT_TYPE_FL

3

PROTOCOL_OLD

W32.Flamer

CLIENT_TYPE_IP

4

PROTOCOL_SIGNUP

Unknown

N/A

N/A

PROTOCOL_RED

Unknown

|