Cercetari facute de Kaspersky Lab, UIT, CERT-Bund/BSI si Symantec au relevat faptul ca cei care au creat sofisticatul vierme informatic Flame au lucrat si la crearea a alte trei programe informatice periculoase despre care se stiu foarte putine lucruri. Unul dintre aceste trei programe periculoase este activ si opereaza „in the wild”. Despre Flame, presa internationala a scris ca a fost dezvoltat de guvernele din SUA si Israel pentru a ataca instalatiile nucleare iraniene.

Kaspersky Lab a publicat rezultatele unei noi investigatii aflate in stransa legatura cu descoperirea campaniei Flame de spionaj cibernetic. Cercetarile, desfasurate de Kaspersky Lab in parteneriat cu IMPACT Alliance din cadrul Uniunii Internationale a Telecomunicatiilor, CERT-Bund/BSI si Symantec, au presupus analiza in detaliu a unui numar de servere de Comanda si Control (C&C) folosite de creatorii Flame, dezvaluind trei programe periculoase nedescoperite inca. Mai mult, platforma Flame dateaza inca din anul 2006.

Initial, campania Flame de spionaj cibernetic a fost descoperita de Kaspersky Lab in luna mai 2012, in timpul unei investigatii lansate de Uniunea Internationala a Telecomunicatiilor (ITU) . Complexitatea codului si legaturile cu Stuxnet indica faptul ca Flame reprezinta un alt exemplu de operatiune sofisticata de spionaj cibernetic, sponsorizata de guvernul unui stat. Cercetarile initiale aratau ca Flame a inceput sa opereze in 2010, dar prima analiza a infrastructurii de Comanda si Control (care acoperea cel putin 80 de nume de domenii web) a mutat perioada cu doi ani mai devreme.

Rezultatele noii cercetari au la baza analiza continutului obtinut de pe mai multe servere de C&C folosite de Flame. Aceste informatii au fost recuperate, in ciuda faptului ca infrastructura de control a Flame a fost dezactivata, imediat ce Kaspersky Lab a dezvaluit existenta malware-ului.

Au fost folosite metode sofisticate de criptare, pentru ca atacatorii sa fie singurele persoane care puteau obtine acces la datele incarcate de pe computerele infectate. Analiza fisierelor script, utilizate pentru controlul transmisiei datelor catre computerele-victima a scos la lumina patru protocoale de comunicare, numai unul dintre ele fiind compatibil cu Flame. Acest lucru semnifica faptul ca cel putin alte trei tipuri de malware au folosit aceste servere de Comanda si Control. Exista, de asemenea, suficiente dovezi care sa demonstreze existenta cel putin a unui malware inrudit cu Flame, care opereaza inca neidentificat. Aceste programe periculoase sunt, inca, nedescoperite, arata un comunicat al Kaspersky.

Un alt rezultat important al analizei arata ca platforma C&C a Flame a inceput sa fie dezvoltata in decembrie 2006. In plus, exista indicii care confirma faptul ca aceasta se afla inca in proces de dezvoltare, deoarece, un nou protocol, neimplementat inca – numit „Red Protocol” – a fost descoperit pe servere. Ultima modificare a codului de pe servere dateaza din 18 mai 2012, mai spun reprezentantii firmei ruse de securitate informatica.

„A fost destul de dificil pentru noi sa estimam cantitatea de date furata de Flame, chiar daca am finalizat analiza serverelor de Comanda si Control”, spune Alexander Gostev, Chief Security Expert, Kaspersky Lab. „Autorii Flame se pricep foarte bine sa-si ascunda urmele, insa, o greseala a unuia dintre ei ne-a ajutat sa descoperim pe un server mai multe date decat intentionau acestia sa stocheze pe el. Pe baza acestor informatii, am putut afla ca, saptamanal, peste cinci gigabytes de date adunate de la peste 5.000 de computere infectate au fost incarcate pe acest server. Fara nicio indoiala, acesta este un exemplu de spionaj cibernetic desfasurat la scara larga”, completeaza Gostev.