Las últimas investigaciones llevadas a cabo por Kaspersky Lab en colaboración con la IMPACT Alliance de ITU, CERT-Bund/BSI y Symantec desvelan datos de la plataforma de Flame fechados en 2006.
Kaspersky Lab, empresa líder en la creación de productos antivirus, antimalware, antispam y otros programas de seguridad informática, presenta los resultados de una nueva investigación relacionada con el descubrimiento de la sofisticada campaña de ciberespionaje Flame. Esta investigación se ha llevado a cabo por Kaspersky Lab en colaboración con la IMPACT Alliance de ITU (International Telecommunication Union), CERT_Bund/BSI y Symantec. En el transcurso de dicha investigación se han analizado un número de servidores de comando y control (C&C) utilizados por los creadores de Flame han sido analizados en detalle. Este análisis ha sacado a la luz nuevos y reveladores datos sobre Flame. Por un lado, se han localizado rastros de tres programas maliciosos aún desconocidos y, además, se ha fechado en 2006 la creación y desarrollo de la plataforma de Flame.
Principales hallazgos:
• El desarrollo de la plataforma de comando y control (C&C) comenzó en diciembre de 2006
• Los servidores C&C se disfrazaron para parecer sistemas ordinarios de control y así ocultar a los proveedores de hosting y a los investigadores la verdadera naturaleza del proyecto
• Los servidores eran capaces de recibir datos de máquinas infectadas utilizando cuatro protocolos distintos, aunque sólo uno de ellos atacaba con Flame.
• La existencia de los tres protocolos restantes no utilizados por Flame prueba la creación de al menos otros tres programas maliciosos relacionados con Flame. Su naturaleza es aún desconocida.
• Uno de esos objetos maliciosos sigue actuando libremente.
• No hay ninguna evidencia que señale que los C&C de Flame se hayan utilizado para controlar otro malware como Stuxnet o Gauss.
La campaña de ciberespionaje de Flame fue originalmente descubierta por Kaspersky Lab en mayo de 2012 durante una investigación que inició International Communication Union. La complejidad del código y la confirmación de vínculos con los desarrolladores de Stuxnet apuntan a que Flame es otro sofisticado ejemplo de ciberespionaje nación-estado. En un principio se estimó que las operaciones de Flame habían comenzado en 2010, pero el primer análisis de la infraestructura del C&C (utilizado por, al menos, 80 nombres de dominios conocidos) lo fechaba dos años antes.
Los hallazgos de esta investigación están basados en el análisis del contenido de varios servidores C&C utilizados por Flame. Esta información ha podido recuperarse a pesar de que la infraestructura de control de Flame fue puesta de inmediato en offline, tras el anuncio de Kaspersky Lab advirtiendo de la existencia de malware. Todos los servidores estaban corriendo en versión 64-bit del sistema operativo de Debian, virtualizado utilizando contenedores de Open VZ. La mayoría de los códigos de los servidores estaban escritos en lenguaje de programación PHP. Los creadores de Flame utilizaron ciertas medidas para hacer que los servidores de C&C parecieran simples controles de sistemas que burlaran los controles de los proveedores de hosting.
Se utilizaron métodos de cifrado muy complejos que sólo permitían a los atacantes obtener los datos cargados en los equipos infectados. El análisis de los scripts utilizados para manejar la transmisión de datos a las víctimas han derivado en el descubrimiento de cuatro protocolos de comunicación, y sólo uno de ellos es compatible con Flame. Esto significa que hay, al menos, otros tres tipos de malware utilizados en estos servidores de C&C que aún se desconocen. Existe evidencia suficiente para afirmar que al menos un malware relacionado con Flame está operando libremente.
“Fue muy complicado para nosotros estimar la cantidad de datos robados por Flame, incluso tras el análisis de sus servidores de comando y control. Los creadores de Flame han ocultado muy bien sus rastros, pero el error de uno de sus atacantes nos permitió descubrir más datos de los que guardaba el servidor. Basado en ello, hemos podido ver que cada semana se subían más de cinco gigabytes a este servidor, provenientes de más de 5.000 equipos infectados. Sin duda, estamos ante un claro ejemplo de ciberespionaje a gran escala", explica Alexander Gostev, Director de Seguridad de Kaspersky Lab.
Más información y acceso al Q&A de Flame en www.securelist.com