Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Symantec провела анализ сервера управления шпионским вирусом Flamer

Symantec провела анализ сервера управления шпионским вирусом Flamer

Четверг, 20 сентября 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Корпорация Symantec совместно с CERT-Bund и «Лабораторией Касперского» провела детальный криминалистический анализ сервера управления атаками W32.Flamer, выявленными этой весной.

W32.Flamer представляет собой комплексное средство кибер-шпионажа, ориентированное, в первую очередь, на страны Ближнего Востока. В рамках проводимого исследования C&C-сервер был запущен 18 мая 2012 г., и примерно через 5 часов после его запуска было зарегистрировано первое взаимодействие с клиентом — компьютером, инфицированном вирусом Flamer. За последующие несколько недель данный исследуемый C&C-сервер получил контроль как минимум над несколькими сотнями аналогичных клиентов, говорится в сообщении Symantec.

Исследование показало, что управление клиентами осуществляется с помощью веб-приложения Newsforyou (дословно с англ. — «новости для вас»). Оно обеспечивает взаимодействие клиентов с C&C-сервером и предоставляет злоумышленнику простую панель управления для загрузки дополнительного программного кода на клиента и скачивания с него похищенной информации. По мнению экспертов Symantec, CERT-Bund и «Лаборатории Касперского», не похоже, чтобы оно было создано исключительно для Flamer — в нём содержится функционал взаимодействия по различным протоколам с клиентами, заражёнными множеством других вредоносных программ. В таблице ниже отражена взаимосвязь между идентификаторами различных вредоносных программ и множеством поддерживаемых протоколов:




Как видно из таблицы, несколько угроз, поддерживаемых данной средой, всё ещё неизвестны. Это, скорее всего, не обнаруженные модификации Flamer, либо совершенно не связанные с ним другие вредоносные программы, полагают в Symantec.

Сервер был настроен так, чтобы записывать лишь минимальные объёмы информации, конфигурация системы предусматривала журналирование лишь необходимых событий, а записи базы данных регулярно удалялись. Файлы журналов невосстановимо вычищались с сервера также на регулярной основе. Всё это было предпринято с целью затруднить расследование в случае непредусмотренного получения доступа к серверу, пояснили в компании.

Однако злоумышленники подошли к делу недостаточно тщательно — остался доступным файл, в котором был отражён весь процесс установки и настройки сервера. Кроме того, по оставшимся в базе данных зашифрованным записям удалось определить, что подключение заражённых клиентов осуществлялось из стран Ближнего Востока. Специалистам Symantec, CERT-Bund и «Лаборатории Касперского» также удалось установить псевдонимы четырёх авторов — DeMo, Hikaru, OCTOPUS и Ryan, работавших над созданием программного кода на разных стадиях и по различным аспектам, начиная ещё с 2006 г.



«Структура проекта отражает четкое распределение ролей между злоумышленниками: одни занимались настройкой сервера (администраторы), другие отвечали за загрузку вредоносного кода и скачивание украденной информации через панель управления (операторы), а третьи обладали ключом для расшифровки полученной информации, — рассказали в компании. — При этом операторы могли совсем ничего не знать о характере украденной информации. Налицо использование злоумышленниками методов фрагментации (разделения на зоны безопасности) для обеспечения защиты информации. Использование подобного подхода характерно, прежде всего, для военных и разведывательных подразделений, хотя ими не ограничивается».

Несмотря на все усилия злоумышленников предотвратить утечку информации в случае получения несанкционированного доступа к серверу, экспертам Symantec, CERT-Bund и «Лаборатории Касперского» удалось обнаружить, что C&C-сервер распространил модуль, содержащий инструкции самоуничтожения Flamer в конце мая 2012 г. — поведение, которое также наблюдалось у инфицированных компьютеров-приманок.

«И, наконец, для доступа к панели управления требуется пароль, соответствующий его хранимому хешу. Несмотря на все предпринятые нами попытки подбора, восстановить пароль из его хеша нам не удалось, — сообщили в Symantec. — Если кто-нибудь может восстановить пароль из нижеприведённого хеша, пожалуйста, свяжитесь со специалистами Symantec через официальный сайт корпорации».

Хеш пароля: 27934e96d90d06818674b98bec7230fa.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 228
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

11: 00
Астрофизики собираются заснять горизонт событий черной дыры |
11: 00
Ученые обнаружили след самого большого динозавра |
11: 00
Российский дистрибутор Xiaomi получил право бороться с «серыми» поставками устройств бренда |
10: 40
Скидка на восстановленные Samsung Galaxy Note7 будет достигать 50%. Такие смартфоны не будут продаваться в США |
10: 20
UMIDIGI C NOTE — недорогой смартфон с отличными характеристиками |
10: 00
Владельцу гарантийного Samsung Galaxy S7 Edge отказали в обмене после того, как он не подписал соглашение о неразглашении |
09: 20
Количество вредоносного ПО для мобильных устройств за год выросло на 400% |
09: 20
MSI анонсирует видеокарты GeForce GTX 1080 Ti серий AERO, ARMOR и GAMING |
09: 00
Проблема безопасности похищенных хакерами 200 млн iCloud остается актуальной |
09: 00
Конгресс США одобрил законопроект, который позволит провайдерам торговать данными пользователей |
07: 20
Что случилось 28 03 2017? |
07: 00
Ассортимент Palit пополнили SSD серий UV-S и GF-S |
07: 00
Смартфон Ulefone Power 2 с мега-емким аккумулятором можно купить со скидкой |
07: 00
Сооснователь uCoz рассказал о решении закрыть коллективное медиа uPages менее чем через полгода после запуска |
07: 00
Магазин Samsung загорелся за день до презентации Galaxy S8 |
07: 00
Компания Alcatel-Lucent опубликовала код 8, 9 и 10 редакций Unix |
07: 00
Очередная встреча сообщества RuHaskell |
07: 00
OpenMotif 2.3.7 |
18: 40
Viber запустил стикеры для фото |
18: 40
Tinder объявил о начале тестирования веб-версии приложения |
17: 40
SSD Transcend MTE850 работают на очень высокой скорости |
17: 40
Смартфоны Samsung Galaxy Note7 официально вернутся в продажу |
17: 40
Производство чипов Apple A11 стартует в апреле |
17: 40
Смартфон Moto X (2017) в металлическом корпусе показался на фото |
17: 40
Xiaomi выпустит Mi Pad 3 в четырех цветах |
17: 40
NAS GnuBee GB-PC1 использует пассивное охлаждение воздухом |
17: 40
Я установил iOS 10.3 и снова поверил в Apple |
17: 00
Bozena Riot: мощная система для подавления уличных беспорядков |
17: 00
Почему взлетные полосы должны быть круглыми? |
17: 00
Microsoft опубликовала финальную версию глобального обновления Windows 10 до официальной презентации |
17: 00
Redaktr — онлайн-сервис для создания сайтов |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Февраль 2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28