Kaspersky Lab ha revelado los resultados de una nueva investigación relacionada con el descubrimiento de la sofisticada amenaza de ciberespionaje Flame, auspiciada por un estado-nación. Durante la investigación, realizada por Kaspersky Lab en colaboración con el órgano ejecutivo de ciberseguridad de la Unión Internacional de Telecomunicaciones IMPACT , CERT-Bund/BSI y Symantec, se analizó en profundidad determinado número de servidores de comando y control utilizados por los creadores de Flame. El análisis reveló nuevos hechos sobre Flame. En particular, se encontraron huellas de tres programas maliciosos aún no descubiertas y se descubrió que el desarrollo de la plataforma Flame se remonta a 2006.
Principales conclusiones:
- El desarrollo de la plataforma de control y comando de Flame ya se había iniciado en diciembre de 2006.
- Los servidores C & C se camuflan como un Sistema de Gestión de Contenidos común y corriente, para ocultar la verdadera naturaleza del proyecto ante los proveedores de alojamiento o posibles investigaciones.
- Los servidores eran capaces de recibir datos desde las máquinas infectadas utilizando cuatro diferentes protocolos, pero sólo uno de ellos estaba activo en los equipos infectados por Flame.
- La existencia de tres protocolos adicionales no utilizados por Flame es una prueba de que se han creado por lo menos otros tres programas maliciosos relacionados con Flame, cuya naturaleza se desconoce por el momento.
- Uno de estos objetos desconocidos relacionados con Flame están activos en el mundo real.
- Hay señales de que la plataforma C & C estaba todavía en fase de desarrollo, se menciona una esquema de comunicación llamado “Red Protocol” que todavía no está en uso.
- No hay ningún indicio de que el servidor de control de Flame se utilice para controlar otro tipo de malware conocido, como Stuxnet o Gauss.
La campaña de ciberespionaje Flame se descubrió originalmente en mayo de 2012 por Kaspersky Lab durante una investigación iniciada por la Unión Internacional de Comunicaciones . Después del descubrimiento, ITU-IMPACT envió con celeridad una alerta a las 144 naciones miembro, acompañándola con los procedimientos de cura y limpieza correspondientes. La complejidad del código y la relacion confirmada con los desarrolladores de Stuxnet, apuntan al hecho de que Flame es otro ejemplo de una sofisticada operación cibernética patrocinada por un estado-nación. En un principio se estimaba que Flame había comenzado a operar en 2010, pero el primer analisis de su infraestructura de comando y control (que abarcó por lo menos 80 nombres de dominios conocidos) desplazó esta fecha dos años más atrás.
Los hallazgos de esta investigación se basan en el análisis del contenido de varios servidores C & C utilizados por Flame. Esta información se ha obtenido a pesar de que la infraestructura de control de Flame se desconectó inmediatamente después de Kaspersky Lab revelase la existencia de malware. Todos los servidores se ejecutan en la versión de 64-bit de del sistema operativo Debian , virtualizado con contenedores OpenVZ . La mayor parte del código de los servidores estaba escrito en el lenguaje de programación PHP. Los creadores de Flame tomaron algunas medidas para hacer que el servidor C&C se visualizara como un Sistema de Gestión de Contenidos común y corriente, con el fin de no llamar la atención de su proveedor de hosting.
Se utilizaron sofisticados métodos de cifrado para que nadie, excepto los atacantes, pudiese obtener los datos cargados en las máquinas infectadas. El análisis de los scripts utilizados para manejar los datos transmitidos a las víctimas reveló cuatro protocolos de comunicación, y sólo uno de ellos era compatible con Flame. Esto significa que al menos otros tres tipos de malware utilizaban estos servidores de comando y control. Estas son pruebas suficientes para demostrar que al menos un programa malicioso relacionado con Flame sigue operando en el mundo real. Todavía no se han descubierto estos programas maliciosos.
Otro resultado importante de este análisis es que se estableció que el desarrollo de la plataforma C&C se había iniciado ya en diciembre de 2006. Hay indicios de que la plataforma se encuentra todavía en proceso de desarrollo, ya que se detectó en los servidores un nuevo protocolo, aún no implementado llamado el “Red Protocol”. El uno de los programadores hizo la última modificación del código de los servidores.
“Fue muy complicado para nosotros estimar la cantidad de datos robados por Flame, incluso tras el análisis de sus servidores de comando y control. Los creadores de Flame han ocultado muy bien sus rastros, pero el error de uno de sus atacantes nos permitió descubrir más datos de los que guardaba el servidor. Basado en ello, hemos podido ver que cada semana se subían más de cinco gigabytes a este servidor, provenientes de más de 5.000 equipos infectados. Sin duda, estamos ante un claro ejemplo de ciberespionaje a gran escala”, explica Alexander Gostev, Director de Seguridad de Kaspersky Lab.
El análisis detallado de los contenidos de comando Flame y servidores de control esta publicado en Securelist.com
Para obtener más información acerca de Flame, leer la sección de preguntas frecuentes aquí: http://www.viruslist.com/sp/weblog?weblogid=208188630