Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Symantec провела анализ сервера управления шпионским вирусом Flamer

Symantec провела анализ сервера управления шпионским вирусом Flamer

Четверг, 20 сентября 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Корпорация Symantec совместно с CERT-Bund и «Лабораторией Касперского» провела детальный криминалистический анализ сервера управления атаками W32.Flamer, выявленными этой весной.

W32.Flamer представляет собой комплексное средство кибер-шпионажа, ориентированное, в первую очередь, на страны Ближнего Востока. В рамках проводимого исследования C&C-сервер был запущен 18 мая 2012 г., и примерно через 5 часов после его запуска было зарегистрировано первое взаимодействие с клиентом — компьютером, инфицированном вирусом Flamer. За последующие несколько недель данный исследуемый C&C-сервер получил контроль как минимум над несколькими сотнями аналогичных клиентов, говорится в сообщении Symantec.

Исследование показало, что управление клиентами осуществляется с помощью веб-приложения Newsforyou (дословно с англ. — «новости для вас»). Оно обеспечивает взаимодействие клиентов с C&C-сервером и предоставляет злоумышленнику простую панель управления для загрузки дополнительного программного кода на клиента и скачивания с него похищенной информации. По мнению экспертов Symantec, CERT-Bund и «Лаборатории Касперского», не похоже, чтобы оно было создано исключительно для Flamer — в нём содержится функционал взаимодействия по различным протоколам с клиентами, заражёнными множеством других вредоносных программ. В таблице ниже отражена взаимосвязь между идентификаторами различных вредоносных программ и множеством поддерживаемых протоколов:




Как видно из таблицы, несколько угроз, поддерживаемых данной средой, всё ещё неизвестны. Это, скорее всего, не обнаруженные модификации Flamer, либо совершенно не связанные с ним другие вредоносные программы, полагают в Symantec.

Сервер был настроен так, чтобы записывать лишь минимальные объёмы информации, конфигурация системы предусматривала журналирование лишь необходимых событий, а записи базы данных регулярно удалялись. Файлы журналов невосстановимо вычищались с сервера также на регулярной основе. Всё это было предпринято с целью затруднить расследование в случае непредусмотренного получения доступа к серверу, пояснили в компании.

Однако злоумышленники подошли к делу недостаточно тщательно — остался доступным файл, в котором был отражён весь процесс установки и настройки сервера. Кроме того, по оставшимся в базе данных зашифрованным записям удалось определить, что подключение заражённых клиентов осуществлялось из стран Ближнего Востока. Специалистам Symantec, CERT-Bund и «Лаборатории Касперского» также удалось установить псевдонимы четырёх авторов — DeMo, Hikaru, OCTOPUS и Ryan, работавших над созданием программного кода на разных стадиях и по различным аспектам, начиная ещё с 2006 г.



«Структура проекта отражает четкое распределение ролей между злоумышленниками: одни занимались настройкой сервера (администраторы), другие отвечали за загрузку вредоносного кода и скачивание украденной информации через панель управления (операторы), а третьи обладали ключом для расшифровки полученной информации, — рассказали в компании. — При этом операторы могли совсем ничего не знать о характере украденной информации. Налицо использование злоумышленниками методов фрагментации (разделения на зоны безопасности) для обеспечения защиты информации. Использование подобного подхода характерно, прежде всего, для военных и разведывательных подразделений, хотя ими не ограничивается».

Несмотря на все усилия злоумышленников предотвратить утечку информации в случае получения несанкционированного доступа к серверу, экспертам Symantec, CERT-Bund и «Лаборатории Касперского» удалось обнаружить, что C&C-сервер распространил модуль, содержащий инструкции самоуничтожения Flamer в конце мая 2012 г. — поведение, которое также наблюдалось у инфицированных компьютеров-приманок.

«И, наконец, для доступа к панели управления требуется пароль, соответствующий его хранимому хешу. Несмотря на все предпринятые нами попытки подбора, восстановить пароль из его хеша нам не удалось, — сообщили в Symantec. — Если кто-нибудь может восстановить пароль из нижеприведённого хеша, пожалуйста, свяжитесь со специалистами Symantec через официальный сайт корпорации».

Хеш пароля: 27934e96d90d06818674b98bec7230fa.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 240
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

07: 20
Появилось первое изображение новой модели умного термостата Nest |
07: 00
В Gentoo больше не будет Hardened-сборок ядра Linux |
07: 00
Какие возможности Essential Phone нужны следующему iPhone |
07: 00
На старте Apple iPhone 8: совпадут ли ожидание и реальность? |
07: 00
500 млн смартфонов получили Instant Apps, но как с этим работать? |
07: 00
Поисковик Google теперь будет предоставлять короткие превью для видеороликов |
07: 00
Отличный набор онлайн игр на одном портале |
07: 00
Цены на виртуальный хостинг: надежное размещение сайтов |
07: 00
Где завтра смотреть солнечное затмение |
07: 00
Продажи Apple Watch возрастут к 2018 |
18: 40
Обзор Peers.TV. Смотри телевизор на iPhone |
18: 40
Испытываем Mophie Juice Pack Air — недорогой кейс с батареей и беспроводной зарядкой! |
18: 40
Появились фотографии процессора A11 для iPhone 8 |
18: 40
Штаб-квартира: Кемеровский офис ИТ-компаний «ЭТО_» |
18: 20
Новый патент Microsoft возродил слухи о Surface Phone |
18: 00
Переборка мотора в stop-motion: технопорно |
17: 20
В Индии появились собаки голубого цвета |
17: 20
«ВКонтакте» покажет матчи чемпионата Испании по футболу после года отсутствия трансляции первенства в России |
17: 00
Большие изображения, комментарии и мемы |
16: 20
Аккумуляторы некоторых Galaxy Note 4 подвержены риску воспламенения |
16: 20
Российский военно-морской флот получит «Суперпираньи» |
11: 20
В AnTuTu доминируют смартфоны с SoC Snapdragon 835 |
11: 20
Опубликованы фотографии беспроводных ЗУ для новых смартфонов iPhone |
11: 20
CompuTach: первый тахометр для... компьютера |
11: 20
Дизайнер Xiaomi Mi Mix 2 показал, как будет выглядеть новый безрамочный смартфон |
11: 00
Представители HMD намекнули на создание Nokia 9 |
11: 00
ASUS пообеoала обновить до Android O все ZenFone 3 и ZenFone 4 |
10: 20
Самый волосатый автомобиль и другие странные авторекорды Гиннесса |
10: 20
«Ведомости»: в международный комитет по разработке стандарта блокчейна вошёл сотрудник ФСБ |
10: 00
В Китае запустили первый онлайн-суд |
10: 00
Почему я считаю iPhone 3G самым удачным айфоном |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Декабрь 2011: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31