Kaspersky Lab djupanalyserar Flame

Den 28 maj 2012 meddelade Kaspersky Lab upptäckten av det mycket sofistikerade och skadliga programmet känt som Flame. Programmet används aktivt som ett cybervapen för att angripa mål i flera olika länder. Flame upptäcktes av Kaspersky Labs experter under en utredning på begäran av FN-organet International Telecommunication Union (ITU). Analysen visade att detta är det största och mest komplexa attackverktyg någonsin.

Kaspersky Labs analys av det skadliga programmet visade att det används för cyberspionage och är avsett att infektera datorer för att stjäla data och värdefull information. Den stulna informationen har därefter skickats till en av Flames kommandoservrar.

Kaspersky Lab har noggrant undersökt infrastrukturen hos Flame och publicerade idag en detaljerad sammanfattning av resultaten.

I samarbete med IT-företagen GoDaddy och OpenDNS har Kaspersky Lab genom tekniken ”sinkholing” lyckats ta kontroll över trafiken från de flesta skadliga domäner som används av Flames kommandoservrar. Punkterna nedan sammanfattar resultaten från analysen:

• Flames kommandoservrar, som har varit verksamma i flera år, bortkopplades från internet omedelbart efter Kaspersky Labs avslöjande om det skadliga programmet förra veckan.
• För närvarande finns mer än 80 kända domäner som har använts av Flame. Domänerna har registrerats mellan 2008 och 2012.
• Under de fyra senaste åren har servrar avsedda för Flames kommandoservrar flyttats mellan ett flertal olika platser, bland annat Hong Kong, Turkiet, Tyskland, Polen, Malaysia, Lettland, Storbritannien och Schweiz.
• Flames kommandoservrar och domäner var registrerade med en mängd olika falska identiteter och ombud, som går tillbaks så långt som 2008.
• Kaspersky Labs sinkhole-operation visar att infekterade användare registrerades i flera olika regioner, inklusive Mellanöstern, Europa, Nordamerika, Asien och Stillahavsområdet.
• Skaparna av Flame verkar ha stort intresse av PDF, Office och AutoCad-ritningar.
• Den data som laddas upp till Flames kommandoservrar är krypterad med relativt enkla algoritmer. Stulna filer komprimeras genom verktyg baserade på öppna källkoden Zlib och modifierad PPDM.
• Windows 7 64-bitar, som Kaspersky Lab tidigare har rekommenderat som en bra lösning mot infektioner av andra skadliga program, verkar vara effektivt även mot Flame.

Kaspersky Lab vill tacka William MacArthur och “GoDaddy Network Abuse Department” för deras snabba respons och utomordentliga stöd i utredningen. Kaspersky Lab vill ävev tacka ”OpenDNS Security Research Team” för deras ovärderliga insats under utredningens gång.

Under den senaste veckan har Kasperksy Lab kontaktat flera länders myndighet för IT-incdienter för att informera dem om domäner och IP-adresser till de skadliga servrar som används av Flame.

För att läsa den fullständiga analysen av Flames infrastruktur för kommando och kontroll, med alla tekniska detaljer, besök Securelist.

Om Kaspersky Lab
Kaspersky Lab är det största antivirusföretaget i Europa. Företaget levererar några av världens mest omedelbara säkerhetslösningar mot IT-hot som antivirus, spionprogram, brottsprogram, hackare, nätfiske och spam. Kaspersky Lab är rankat bland världens fyra största distributörer av säkerhetslösningar för konsumenter. Företagets produkter erbjuder överlägsen detekteringsgrad och har branschens snabbaste reaktionstid vid utbrott av IT-virus för hemmaanvändare, företag och organisationer av alla storlekar samt den mobila IT-miljön. Kasperskys teknik används världen över i IT-säkerhetslösningar och tjänster från branschens ledande IT-säkerhetsleverantörer. Läs mer på www.kaspersky.se. För de senaste nyheterna om antivirus, anti-spionprogram, anti-spam och andra IT-säkerhetsfrågor och -trender, besök www.viruslist.com.