火焰分析揭示了更多的网络间谍恶意软件

一位研究人员说,有“足够的证据”表明至少一种与Flame相关的恶意软件仍在“野外运行”。

分析用于控制服务器的服务器 Flame网络间谍软件恶意软件 主要针对中东地区的计算机的恶意软件表明,还存在其他几种相关的恶意软件-仍在运行。

卡巴斯基实验室,赛门铁克和其他研究人员周一发布了他们的研究细节。其他关键发现表明,该行动非常复杂,其中使用了多种防御机制来掩盖攻击者的踪迹。

研究人员检查了Flame背后的两个命令和控制服务器,发现它们与至少三个其他与Flame相关的程序进行了通信。卡巴斯基首席安全专家Alexander Gostev表示:“有足够的证据证明至少有一种与Flame相关的恶意软件正在野外运行。” 在声明中说.

那里 is no indication that the servers controlled any other malware besides Flame, which has been 链接到Stuxnet,另一种间​​谍软件。当Flame的目的是窃取数据时, 美国和以色列政府创建了Stuxnet 作为秘密行动的一部分,目标是 削弱伊朗的核计划, 纽约时报 报告。 

[比尔·布伦纳在《盐渍哈希》中: 火焰-重要性与炒作]

新的火焰分析显示 自2006年12月以来工作的四位开发人员构建了针对中东国家(尤其是伊朗和巴勒斯坦)的恶意软件系统。由于这项昂贵的操作感染了相对较少的计算机,并且缺乏明确的赚钱策略,这表明它是政府资助的。

“这不是在窃取信用卡号,那么谁来为这些资源付费呢?威胁的回报是什么呢?”赛门铁克安全响应团队主管Kevin Haley说。 “所以你必须说这可能是一个民族国家。”

攻击者分别于3月25日和5月18日启动了其中一台被分析的服务器,每个服务器都在数小时内与感染了Flame的计算机建立了联系。卡巴斯基说,三月份的计算机每周从5,000多个受感染的系统中收集5GB的数据,而另一个系统仅用于向受感染的计算机分发一个命令模块。两种系统都伪装成通用的内容管理系统,以欺骗托管提供商或安全调查人员。

从受感染系统下载的数据已加密,并且解密密钥在任一服务器上都不存在。这意味着负责下载信息的人员对数据一无所知。海利说,在间谍活动中,人们只知道自己需要知道的知识才能完成工作。

他说:“您可以看到人们被赋予了不同的工作,就像在经典的间谍网络中一样。”

开发人员也非常擅长掩盖自己的足迹。定期删除数据库中所有不必要的日志记录事件和条目,并且还会定期从服务器上清除日志文件。

幸运的是,防御不是万无一失的。研究人员发现了服务器设置的全部历史记录,以及数据库中的一组加密记录。此外,还发现了四个代码作者的昵称。名称未发布。

命令和控制功能通过名为Newsforyou的Web应用程序进行处理。该软件包含一个简单的控制面板,攻击者可以使用该面板上载代码包并下载被盗数据。在服务器中发现控制面板的密码已加密,但研究人员无法破解该密码。 

该服务器提供了一个模块,指示Flame在五月下旬从计算机上擦除自身,这是赛门铁克和其他安全研究人员在其设置为捕获恶意软件的计算机上目睹的。

国际电信联盟的网络安全部门称为IMPACT,德国的计算机紧急响应小组(CERT)与卡巴斯基和赛门铁克一起进行了研究。

虽然Flame和Stuxnet的复杂性令许多研究人员感到惊讶,但类似的复杂数据窃取工具却在不断涌现。 在地下黑客中可用,专家说。这些应用程序被称为RAT或远程访问工具,可以捕获屏幕快照和击键,下载文件,劫持网络摄像头并通过笔记本电脑的麦克风收听。

版权© 2012 IDG通讯,Inc.