Guerra cibernética: Flame ainda é um perigo real

O Flame ainda é um perigo real para o mundo. Essa é a constatação feita por uma pesquisa, realizada pela Kaspersky Lab em parceria com o braço executor de cibersegurança IMPACT da International Telecommunication Union, CERT-Bund/BSI e Symantec.

O levantamento analisou detalhamente diversos servidores de comando e controle (C&C) usados pelos criadores do Flame, descoberto em maio desse ano. A análise revelou novos fatos, entre eles, evidências de três programas maliciosos ainda desconhecidos, e descobriu-se que o desenvolvimento da plataforma Flame data de 2006.

O Flame- que deflagrou uma campanha de ciberespionagem – foi descoberto durante uma investigação iniciada pela International Communication Union. Em seguida a esta descoberta, a ITU-IMPACT agiu rapidamente na emissão de um alerta aos 144 países-membros, acompanhado da correção adequada e de procedimentos de limpeza.

A complexidade do código e os links confirmados para desenvolvedores do Stuxnet sugerem que o Flame seja outro exemplo de operação virtual sofisticada patrocinada por governos. Originalmente, estimou-se que o Flame tivesse iniciado suas operações em 2010, mas a primeira análise de sua infraestrutura de comando e controle (que abrange pelo menos 80 nomes de domínios conhecidos) transferiu essa data para dois anos antes.

As descobertas dessa investigação específica se baseiam em análises do conteúdo recuperado de vários servidores C&C usados pelo Flame. Essas informações foram recuperadas apesar de a infraestrutura de controle do Flame ter ficado offline imediatamente depois que a Kaspersky Lab divulgou a existência do malware.

Todos os servidores estavam em execução na versão de 64 bits do sistema operacional Debian, virtualizado usando contêiners OpenVZ. A maior parte do código dos servidores foi escrito na linguagem de programação PHP. Os criadores do Flame tomaram determinadas medidas para fazer o servidor C&C parecer um sistema de gerenciamento de conteúdo comum, a fim de evitar a atenção do provedor de hospedagem.

Foram utilizados métodos de criptografia sofisticados de forma que ninguém, além dos invasores, pudesse obter os dados carregados dos computadores infectados. A análise dos scripts usados para manipular as transmissões de dados para as vítimas revelou quatro protocolos de comunicação e apenas um deles era compatível com o Flame.

Isso significa que pelo menos três outros tipos de malware usavam esses servidores de comando e controle. Há evidências suficientes para provar que pelo menos um malware relacionado ao Flame está operando em campo. Esses programas maliciosos desconhecidos ainda não foram descobertos.

Outro resultado importante da análise é que o desenvolvimento da plataforma C&C do Flame foi iniciado em dezembro de 2006. Há indícios de que a plataforma ainda esteja em processo de desenvolvimento, pois foi encontrado nos servidores um novo protocolo ainda não implementado, chamado “Red Protocol”. A modificação mais recente do código dos servidores foi feita em 18 de maio de 2012 por um dos programadores.

“Foi um problema para nós estimar a quantidade de dados roubados pelo Flame, até mesmo após a análise de seus servidores de comando e controle. Os criadores do Flame encobriram seus rastros muito bem. Mas um erro dos invasores nos ajudou a descobrir mais dados que um servidor pretendia manter. Baseado nisso, pudemos ver que mais de cinco gigabytes de dados foram carregados neste servidor específico em uma semana, de mais de 5.000 máquinas infectadas. Certamente esse á um exemplo de ciberespionagem realizada em escala massiva”, comentou Alexander Gostev, Especialista Chefe em Segurança da Kaspersky Lab.

 

Por Convergência Digital – Publicado em 17/09/2012

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s