| 0 |
|
Федеральное управление ФРГ по реагированию на компьютерные инциденты, компании Symantec и «Лаборатория Касперского» провели детальный криминалистический анализ сервера управления атаками W32.Flamer – комплексного средства кибер-шпионажа, ориентированного на страны Ближнего Востока.
Исследование показало, что управление клиентами (зараженными ПК) осуществляется с помощью веб-приложения Newsforyou, которое обеспечивает взаимодействие клиентов с командным сервером и предоставляет злоумышленнику простую панель управления для загрузки дополнительного программного кода на ПК клиента и скачивания с него похищенной информации.
Причем, в приложении содержится функционал взаимодействия по различным протоколам с клиентами, зараженными множеством других вредоносных программ. Поэтому по всей вероятности оно создавалось не только для Flamer
Несколько вредоносов, поддерживаемых данной средой, все еще неизвестны. Это, скорее всего, не обнаруженные модификации Flamer, либо совершенно не связанные с ним другие вредоносные программы.
Сервер был настроен так, чтобы записывать лишь минимальные объемы информации, конфигурация системы предусматривала журналирование лишь необходимых событий, а записи базы данных регулярно удалялись. Файлы журналов невосстановимо вычищались с сервера также на регулярной основе. Все это было предпринято с целью затруднить расследование в случае непредусмотренного получения доступа к серверу.
Однако злоумышленники подошли к делу недостаточно тщательно – остался доступным файл, в котором был отражен весь процесс установки и настройки сервера. Кроме того, по оставшимся в базе данных зашифрованным записям удалось определить, что подключение зараженных клиентов осуществлялось преимущественно из стран Ближнего Востока.
Также установлены псевдонимы четырех авторов, работавших над созданием этого программного кода на разных стадиях и по различным аспектам, начиная еще с 2006 г. – DeMo, Hikaru, OCTOPUS и Ryan.
Структура проекта отражает четкое распределение ролей между злоумышленниками: одни занимались настройкой сервера (администраторы), другие отвечали за загрузку вредоносного кода и скачивание украденной информации через панель управления (операторы), а третьи обладали ключом для расшифровки полученной информации. При этом операторы могли совсем ничего не знать о характере украденной информации. Налицо использование злоумышленниками методов фрагментации (разделения на зоны безопасности) для обеспечения защиты информации. Использование подобного подхода характерно, прежде всего, для военных и разведывательных подразделений, хотя ими не ограничивается.
Кроме того, исследователям удалось обнаружить, что командный сервер распространил модуль, содержащий инструкции самоуничтожения Flamer в конце мая 2012 г.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
