TECNOVIRUS.- La compañía rusa de seguridad informática Kaspersky Lab ha revelado los resultados de una nueva y completa investigación relacionada con el descubrimiento de la sofisticada amenaza de ciberespionaje Flame, auspiciada por un estado-nación.
Durante la investigación, realizada por Kaspersky en colaboración con el órgano ejecutivo de ciberseguridad de la Unión Internacional de Telecomunicaciones IMPACT , CERT-Bund/BSI y Symantec, se analizó en profundidad determinado número de servidores de comando y control (C&C) utilizados por los creadores de Flame, lo cual reveló nuevos hechos sobre la estructura y rutinas utilizadas por Flame, se encontraron huellas de tres programas maliciosos aún no descubiertas y se descubrió que el desarrollo de la plataforma Flame se remonta al año 2006 y no al 2010 como se suponía.
Principales conclusiones:
1.- El desarrollo de la plataforma de control y comando de Flame ya se había iniciado en diciembre de 2006.
2.- Los servidores C & C se camuflan como un Sistema de Gestión de Contenidos común y corriente, ocultando la verdadera naturaleza del proyecto ante los proveedores de alojamiento o posibles investigaciones.
3.- Los servidores eran capaces de recibir datos desde las máquinas infectadas utilizando cuatro diferentes protocolos, pero sólo uno de ellos estaba activo en los equipos infectados por Flame.
4.- La existencia de tres protocolos adicionales no utilizados por Flame es una prueba de que se han creado por lo menos otros tres programas maliciosos que guardan relación con Flame, pero desconocidos hasta el momento.
5.- Uno de estos códigos maliciosos aún desconocidos relacionados con Flame está activos en el mundo real.
6.- Hay señales de que la plataforma C & C estaba todavía en fase de desarrollo, se menciona una esquema de comunicación llamado “Red Protocol” que todavía no está en uso.
7.- No existe ningún indicio de que el servidor de control de Flame se utilice para controlar otro tipo de malware conocido, como Stuxnet o Gauss.
Los hallazgos de esta investigación se basan en el análisis del contenido de varios servidores C & C utilizados por Flame, habiéndose obtenido esta información a pesar de que la infraestructura de control de Flame se desconectó inmediatamente después de Kaspersky Lab. reveló la existencia de malware en los mismos, todos los servidores se ejecutan en la versión de 64-bit de del sistema operativo Debian , virtualizado con contenedores OpenVZ . La mayor parte del código de los servidores estaba escrito en el lenguaje de programación PHP. Los creadores de Flame tomaron algunas medidas para hacer que el servidor C&C se visualizara como un Sistema de Gestión de Contenidos común y corriente, con el fin de no llamar la atención de su proveedor de hosting o posibles investigaciones.
Se utilizaron sofisticados métodos de cifrado para que nadie, excepto los atacantes, pudiese obtener los datos cargados en las máquinas infectadas. El análisis de los scripts utilizados para manejar los datos transmitidos a las víctimas reveló cuatro protocolos de comunicación, y sólo uno de ellos era compatible con Flame. Esto significa que al menos otros tres tipos de malware utilizaban estos servidores de comando y control. Estas son pruebas suficientes para demostrar que al menos un programa malicioso relacionado con Flame sigue operando en el mundo real. Todavía no se han descubierto estos programas maliciosos.
Se estableció además que el desarrollo de la plataforma C&C se había iniciado ya en diciembre de 2006. Hay indicios de que la plataforma se encuentra todavía en proceso de desarrollo, ya que se detectó en los servidores un nuevo protocolo, aún no implementado llamado el “Red Protocol”. El uno de los programadores hizo la última modificación del código de los servidores.
Según explica explica Alexander Gostev, Director de Seguridad de Kaspersky Lab.“Fue muy complicado para nosotros estimar la cantidad de datos robados por Flame, incluso tras el análisis de sus servidores de comando y control. Los creadores de Flame han ocultado muy bien sus rastros, pero el error de uno de sus atacantes nos permitió descubrir más datos de los que guardaba el servidor. Basado en ello, hemos podido ver que cada semana se subían más de cinco gigabytes a este servidor, provenientes de más de 5.000 equipos infectados. Sin duda, estamos ante un claro ejemplo de ciberespionaje a gran escala”,
Los resultados y análisis detallado de los contenidos de comando Flame y servidores de control objetos de la investigación se encuentran publicados en Securelist.com
Con Información de: Kaspersky Lab.