Symantec: результаты анализа Flamer

Корпорация Symantec совместно с CERT-Bund и «Лабораторией Касперского» провела детальный криминалистический анализ сервера управления атаками W32.Flamer, выявленными этой весной.

W32.Flamer – это комплексное средство кибер-шпионажа, ориентированное в первую очередь на страны Ближнего Востока. В рамках исследования C&C-сервер был запущен 18 мая 2012 г., и примерно через 5 часов после запуска было зарегистрировано первое взаимодействие с клиентом — компьютером, инфицированным вирусом Flamer. За последующие несколько недель исследуемый C&C-сервер получил контроль как минимум над несколькими сотнями аналогичных клиентов.

Исследование показало, что управление клиентами осуществляется с помощью Web-приложения Newsforyou («новости для вас»). Оно обеспечивает взаимодействие клиентов с C&C-сервером и предоставляет злоумышленнику простую панель управления для загрузки дополнительного программного кода на клиента и скачивания с него информации. В нем содержится функционал взаимодействия по различным протоколам с клиентами, зараженными множеством вредоносных программ, так что оно, видимо, создавалось не специально для Flamer. По данным анализа, несколько угроз, поддерживаемых данной средой, все еще неизвестны. Это, скорее всего, не обнаруженные модификации Flamer, либо совершенно не связанные с ним другие вредоносные программы.

Сервер был настроен так, чтобы записывать лишь минимальные объемы информации, конфигурация системы предусматривала журналирование лишь необходимых событий, а записи базы данных регулярно удалялись. Файлы журналов также регулярно невосстановимо вычищались с сервера. Все это было предпринято с целью затруднить расследование. Однако злоумышленники подошли к делу недостаточно тщательно – остался доступным файл, в котором был отражен весь процесс установки и настройки сервера. Кроме того, по оставшимся в базе данных зашифрованным записям удалось определить, что подключение зараженных клиентов осуществлялось из стран Ближнего Востока. Удалось и установить псевдонимы четырех авторов: DeMo, Hikaru, OCTOPUS и Ryan, работавших над созданием программного кода на разных стадиях и по различным аспектам, начиная еще с 2006 г.

Структура проекта отражает четкое распределение ролей между злоумышленниками: одни занимались настройкой сервера (администраторы), другие отвечали за загрузку вредоносного кода и скачивание украденной информации через панель управления (операторы), а третьи обладали ключом для расшифровки полученной информации. При этом операторы могли ничего не знать о характере украденной информации. Налицо использование злоумышленниками методов фрагментации (разделения на зоны безопасности) для обеспечения защиты информации. Использование подобного подхода характерно прежде всего для военных и разведывательных подразделений, хотя не ограничивается ими.

Исследователям также удалось обнаружить, что C&C-сервер распространил модуль, содержащий инструкции самоуничтожения Flamer, в конце мая 2012 г. – поведение, которое наблюдалось и у инфицированных компьютеров-приманок.

И наконец, для доступа к панели управления требуется пароль, соответствующий его хранимому хешу. Несмотря на все предпринятые экспертами попытки подбора, восстановить пароль из его хеша не удалось.