+11 голос |
«Лаборатория Касперского» исследовала инфраструктуру командных серверов вредоносной программы Flame, которая, по мнению экспертов, в настоящее время активно применяется в качестве кибероружия в ряде ближневосточных государств. Анализ показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.
Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории Касперского» смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. В результате детального анализа полученной таким образом информации, эксперты пришли к следующим выводам:
-
Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе «Лаборатория Касперского» раскрыла существование вредоносной программы.
-
На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг.
-
За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
-
Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 г.
-
Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.
-
Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.
-
По предварительным данным,
64-разрядная версия операционной системы Windows 7 оказалась не подвержена заражению Flame.
На прошлой неделе компания связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |