Mellékleteink: HUP | Gamekapocs
Keres

Komplex infrastruktúra szolgálta ki a Flame-et

Gálffy Csaba, 2012. szeptember 19. 12:01
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Jól szervezett entitás állt a Flame nevű kártevő mögött, amely Szudánban és Iránban kémkedett. Mára nyilvánossá vált a programot távolról működtető és a rögzített adatokat tároló szerverek több adata is, ezek alapján még legalább egy Flame-leszármazott dolgozik valahol a világon.

A májusban felfedezett Flame kémprogram vizsgálata nyomán immár az irányításért és az ellopott adatok begyűjtéséért felelős C&C (command and control) szerverek mélyreható vizsgálata is megtörtént. Az elsősorban Irán és Szudán után kémkedő Flame mögött igen fejlett és átgondolt infrastruktúra állt, a működtető szervezet pedig jól szervezettnek tűnik a jelentés szerint, amelyet a Kaspersky, a Symantec, a Német Szövetségi Információbiztonsági Hivatal (BSI) és a Nemzetközi Távközlési Szövetség IMPACT nevű, kiberbűnözés elleni szervezete jegyez.

Több Flames-variáns is lehet

A felfedezett kiszolgálókat a támadók álcázták, felületes vizsgálat egy egyszerű tartalomkezelő rendszert (CMS) mutat kifelé, így a hosztingszolgáltató és a véletlenszerű kutatások elől rejtve maradt. A biztonsági szakértők egyébként mélyebbre fúrtak, a kiszolgálókon Debian 6 futott, OpenVZ virtualizációs környezetben. A működésért felelős kód nagy részét Pythonban és PHP-ban írták, amelyet MySQL adatbázis szolgált ki. A kiszolgálókon Apache 2 webszerver futott, ez szolgálta ki a C&C funkciót.

A rendszer kialakítói nagy hangsúlyt fektettek arra, hogy az ellopott információk biztosan titkosak maradjanak, ezért a begyűjtött adatokat még helyben erős titkosítással látták el és így küldték ki a szervernek, amely dekódolni tudta azokat. Elővigyázatosságból egyébként a szerverekről is félóránként letöltötték és törölték az adatokat. A jelentés szerint a megvizsgált szerver mintegy 5,5 gigabájt adatot gyűjtött egy hét leforgása alatt, mintegy 5000 különböző IP-címről - ez valószínűleg ennyi fertőzött gépnek felel meg, a címek nagy része, 3700 darab iráni, 1280 pedig szudáni. A szakértők szerint egyébként a Flame mintegy 10 ezer gépet fertőzött meg világszerte, így a vizsgált szerver ezek felét szolgálhatta ki utasításokkal.

A Flame és a parancsnoki szerverek elemzésével a szakértők arra jutottak, hogy valószínűleg négy különböző támadó alkalmazás létezik, ezek egyike a Flame, létezhet még három másik, a Flame-től különböző adatgyűjtő alkalmazás is. További vizsgálatok kiderítették, hogy a négyből még legalább egy biztosan működik, az SPE kódnevű kártevőt azonban egyelőre még nem sikerült sehol sem lokalizálni. A jelek egyébként folyamatos fejlesztésre utalnak, a Flame és az SPE készítői már az ötödik iterációt fejlesztették, a Flame körüli világméretű hírverés hatására azonban valószínűleg elálltak ettől a tervtől. Erre utal legalábbis a parancsnoki szerveren talált Red Protocol nevű kommunikációs séma, amelyet nem implementáltak egészen.

Hírszerzők működtethették

A szakemberek által gyakorlatilag teljesen megtört C&C szerveren sikerült a kezelők felhasználói fiókjait is azonosítani, az egyes felhasználók meghatározott jogkörei és feladatai arra utalnak, hogy a rendszert egy jól támogatott, hierarchikus felépítésű szervezet működtette. Ez erősíti azt a korábban is megfogalmazott gyanút, hogy a Flame-et az egyik állam hírszerzése használja adatgyűjtésre.

A Washington Post korábbi értesülései szerint az Egyesült Államok és Izrael is részt vett a rendszer kifejlesztésében, célja pedig az Irán elleni kémkedés és az atomkutatások nyomon követése, illetve megzavarása volt. A Flame szerepe az Irán elleni informatikai hadviselésben elsősorban a számítógépes rendszerek feltérképezése volt, előkészítendő a terepet más támadó szoftvereknek.

A Flame (Flamer illetve Skywiper néven is ismert) kártevő májusban bukkant fel, az előzetes kutatások alapján több hasonlóságot mutatott a Stuxnet-Duqu párossal, így azonnal a nemzetközi érdeklődés középpontjába került. A kártevő később újra nagy figyelmet kapott, ahogy kiderült, hogy a telepítő alkalmazás a Windows Update tanúsítványkezelésében található hibát aknáz ki. A támadás nyomán a Microsoft megszigorítja a windowsos tanúsítványokat, az októberben a Windows Update-en keresztül érkező frissítés minimálisan 1024 bit hosszúságú RSA-kulcsot tesz kötelezővé.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.