МОСКВА, 4 июня. /ТАСС-Телеком/. "Лаборатория Касперского" объявила о результатах исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, в настоящее время активно применяется в качестве кибероружия в ряде ближневосточных государств. Анализ вредоносной программы показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.
Совместно с компаниями GoDaddy и OpenDNS эксперты "Лаборатории Касперского" смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. В результате детального анализа полученной таким образом информации, эксперты пришли к выводу, что, во-первых, командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе "Лаборатория Касперского" раскрыла существование вредоносной программы. Во-вторых, на данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг. В-третьих, за последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию. В-четвертых, для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году. В-пятых, злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD. Помимо этого, эксперты пришли к выводу, что данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия. Помимо этого, по предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована "Лабораторией Касперского" как одна из самых безопасных, оказалась не подвержена заражению Flame.
На прошлой неделе "Лаборатория Касперского" связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов.
Комментарии