Szkodliwy program Flame - analiza

Przeczytaj także: Nowy szkodliwy program Gauss

W jakie branże lub organizacje celuje Flame? Czy są to zakłady kontroli przemysłowej / PLC / SCADA? Jakie są cele i jak dużo ich jest?

Nie wydaje się być określonego rodzaju organizacji, na które ukierunkowany jest Flame. Ofiary to zarówno osoby fizyczne, jak i niektóre organizacje państwowe i instytucje edukacyjne. Oczywiście zbieranie informacji na temat ofiar jest trudne z powodu rygorystycznych zasad gromadzenia danych osobowych, mających na celu ochronę tożsamości użytkowników.

Czy istnieje tylko jeden wariant Flame'a czy jest ich kilka?

Na podstawie informacji otrzymanych z Kaspersky Security Network obserwujemy "na wolności" różne wersje szkodnika - o różnych rozmiarach i zawartości. Oczywiście - przy założeniu, że szkodnik jest w fazie rozwoju od kilku lat - oczekuje się, że "na wolności" zostanie zaobserwowanych jeszcze więcej różnych wersji robaka Flame.

Dodatkowo, Flame składa się z różnych modułów, w sumie dwudziestu, które pełnią różne role. Konkretna infekcja Flamem może wykorzystywać 7 modułów, a inna np. 15. Wszystko zależy od rodzaju informacji, które mają zostać "wyrwane" ofierze oraz jak długo dany system pozostaje zainfekowany Flamem.

Czy główny serwer kontroli jest nadal aktywny? Czy istnieje kilka nadrzędnych serwerów kontroli? Co się dzieje gdy zainfekowana maszyna nawiązuje połączenie z serwerem kontroli?

Istnieje kilka serwerów kontroli, rozproszonych po świecie. Doliczyliśmy się około tuzina różnych domen kontroli, uruchomionych na kilku różnych serwerach. Mogą również istnieć inne pokrewne domeny, co może dać około 80 różnych domen, które są wykorzystywane przez Flame'a do kontaktu z centrami kontroli. Ze względu na ten fakt, bardzo trudnym zadaniem jest wyśledzenie miejsc rozmieszczenia poszczególnych serwerów.

Czy Flame został stworzony przez grupę odpowiedzialną za Duqu / Stuxneta? Czy istnieje podobieństwo kodu źródłowego lub inne cechy wspólne?

Jeżeli chodzi o rozmiar, Flame jest około 20 razy większy niż Stuxnet. Flame nie posiada żadnych większych podobieństw do Stuxneta / Duqu.

Dla przykładu, kiedy Duqu został wykryty, dla każdego kompetentnego badacza było jasne, że stoją za nim ci sami ludzie, którzy stworzyli Stuxneta na platformie określanej mianem “Tilded”.

Flame wydaje się być projektem uruchomionym równolegle ze Stuxnetem / Duqu, ale nie używającym platformy "Tilded". Istnieje jednak kilka przesłanek, które wskazują, że twórcy Flame'a mieli dostęp do technologii wykorzystanych w projekcie Stuxnet - takich jak użycie metody infekcji “autorun.inf”, wraz z jednoczesną eksploatacją luki bufora wydruku - co mogłoby wskazywać, że autorzy Flame'a mieli dostęp do tych samych exploitów, co twórcy Stuxneta.

Z drugiej strony, nie możemy wykluczyć, że obecne warianty Flame'a zostały rozwinięte po wykryciu Stuxneta. Możliwe jest, że twórcy Flame'a użyli publicznych informacji na temat metod dystrybucji Stuxneta i zaimplementowali je w robaku Flame.

Podsumowując, najprawdopodobniej szkodliwe oprogramowanie Flame i Stuxnet / Duqu zostało stworzone przez dwie odrębne grupy. Optujemy za tym, że Flame był projektem rozwijanym równolegle ze Stuxnetem i Duqu.

Mówiłeś, że Flame był aktywny od marca 2010 roku. Niemalże zbiega się to z czasem, w którym został wykryty Stuxnet. Czy Flame został użyty w tandemie ze Stuxnetem? Interesujący jest fakt, że oba szkodniki eksploatują luki bufora wydruku...

Jedna z najlepszych rad w każdym rodzaju operacji brzmi: "nigdy nie wkładaj wszystkich jajek do jednego koszyka". Wiedząc, że wcześniej czy później Stuxnet i Duqu zostaną wykryte, sensownie jest tworzyć podobne projekty - lecz oparte na kompletnie innej filozofii. W ten sposób, jeżeli jeden projekt zostanie odkryty, inny może być kontynuowany w ukryciu.

Dlatego wierzymy, że Flame to równoległy projekt, stworzony jako rozwiązanie awaryjne w przypadku, gdy inne zostaną wykryte.

W swojej analizie Duqu wspominałeś o “kuzynach” Duqu lub innych, pokrewnych formach złośliwego oprogramowania, które mogłyby istnieć. Czy Flame to jest konkretny przykład?

Zdecydowanie nie. “Kuzyni” Duqu bazowali na platformie "Tilded", użytej również w Stuxnecie. Flame nie używa platformy "Tilded".

Flame wygląda jak narzędzie do kradzieży danych, podobne do Duqu. Czy postrzegasz ten fakt jako część operacji wywiadowczej, prowadzącej do "uzbrojenia broni większego kalibru" podobnej do Stuxneta?

Operacja zbierania informacji, za którą stał Duqu, przeprowadzana była raczej na małą skalę i była ukierunkowana. Wierzymy, że na całym świecie było mniej niż 50 celów atakowanych przez Duqu - wszystkie z nich były wysoce wyspecjalizowane. Flame jest o wiele bardziej rozprzestrzeniony niż Duqu, zaatakował tysiące ofiar na świecie. Zakres celów również jest o wiele większy, obejmuje centra akademickie, prywatne firmy, konkretne osoby itd.

Według naszych obserwacji operatorzy Flame'a sztucznie utrzymują ilość zainfekowanych systemów na pewnym stałym poziomie. Można to porównać z sekwencyjnym przetwarzaniem - operatorzy infekują kilkadziesiąt ofiar, następnie analizują zebrane informacje, dezinstalują Flame'a z systemów, które nie są interesujące, a w jednym miejscu gromadzą systemy najcenniejsze z ich punktu widzenia. Po tym procesie rozpoczynają nową serię infekcji.