Создатели Flame не успели уничтожить улики на командном сервере

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 18 Sep 2012.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,373
    Likes Received:
    6,619
    Reputations:
    693
    Создатели Flame не успели уничтожить улики на командном сервере


    Исследователи «Лаборатории Касперского» добыли образ OpenVZ одного из командных серверов Flame, который располагался в Европе, сумели взломать пароль к встроенной CMS (пароль 900gage!@#) и в деталях изучили, как был организован приём информации от ботов Flame и кто имел доступ в систему. Этот конкретный командный сервер принял с 5377 заражённых компьютеров 5,5 гигабайт файлов за неделю с 25 марта по 2 апреля.

    Результаты исследования опубликованы в полном анализе командных серверов Flame — это масштабный труд, ставший результатом нескольких месяцев работы. Таким образом, российские специалисты вплотную приблизились к тому, чтобы выявить конкретные личности разработчиков, создавших эту сложнейшую программу, которая использовалась для кибершпионажа на государственном уровне.

    Интерфейс панели управления командным сервером Flame замаскирован под легитимную систему управления контентом.

    [​IMG]

    Анализ командных серверов выявил, что работа над кодом Flame началась в декабре 2006 года, а параллельно с ней авторы создали ещё три программы. На командных серверах остались улики, которые указывают на обработку запросов от четырёх программ. По мнению специалистов, Flame — не самая современная из них, последняя по времени создания вредоносная программа носит имя 'IP' и остаётся на сегодняшний день неизвестной. Сама же Flame (авторы называли её FL) использовала только один из трёх протоколов, под кодовым названием OldProtocol. Кто и каким образом использовал протоколы OldProtocolE и SignupProtocol — неизвестно.

    [​IMG]

    На момент обнаружения Flame и до экстренного закрытия командных серверов 18 мая 2012 года код новых шпионских программ находился в разработке. Новый протокол реализован ещё не полностью, сообщают аналитики «Лаборатории Касперского».

    Среди всех вредоносных программ, следы которых обнаружены на командных серверах, есть одна связанная с Flame программа, которая существует и остаётся активной в настоящий момент. Доказательства этому — запросу на аутентификацию, которые приходят по протоколу OldProtocolE на sinkhole-серверы в «Лаборатории Касперского» до сих пор, то есть в сентябре 2012 года.

    Наконец, «Лаборатория Касперского» проанализировала комментарии в исходном коде и попыталась понять, кто являлся разработчиками программы, вот цитата из опубликованного отчёта с отредактированными никами.

    [​IMG]

    18.09.2012
    http://www.xakep.ru/post/59333/​
     
    _________________________
    #1 Suicide, 18 Sep 2012
  2. \/IRUS

    \/IRUS Elder - Старейшина

    Joined:
    3 Aug 2012
    Messages:
    371
    Likes Received:
    497
    Reputations:
    37
    Ну один из авторов HD Moore ИМХО
     
    #2 \/IRUS, 18 Sep 2012
  3. Rebz

    Rebz Super Moderator
    Staff Member

    Joined:
    8 Nov 2004
    Messages:
    4,055
    Likes Received:
    1,532
    Reputations:
    1,128
    веселая фраза
    ещё бы написали - сумели сбрутить).

    Исследователи ЛК ломают системы, кто бы мог подумать).
     
    _________________________
    #3 Rebz, 18 Sep 2012
  4. йож

    йож Banned

    Joined:
    31 Aug 2012
    Messages:
    50
    Likes Received:
    10
    Reputations:
    0
    касперчег спас мир
     
    #4 йож, 18 Sep 2012
(You must log in or sign up to post here.)