Nowy szkodliwy program miniFlame

Przeczytaj także: Program Flame nadal aktywny

Wnioski

Podczas analizy kodu C&C Flame'a wykryliśmy cztery różne części szkodliwego oprogramowania, które są znane serwerowi: SP, SPE, FL i IP. Szkodliwe oprogramowanie o nazwie kodowej FL to Flame. W dniu dzisiejszym ogłaszamy wykrycie szkodnika SPE.

Na podstawie naszej analizy udało się połączyć kilka głównych wątków działania szkodliwego oprogramowania SPE, które nazywamy również „miniFlame” lub „John” (taka nazwa figuruje w konfiguracji Gaussa):

• Szkodliwe oprogramowanie miniFlame nie jest szeroko rozpowszechnione. Zostało ono wdrożone u niewielkiej ilości ściśle wyselekcjonowanych ofiar.
• W odróżnieniu od Gaussa, SPE / miniFlame implementuje pełną wersję backdoora typu klient / serwer, który pozwala operatorowi na pełny zdalny dostęp do systemu ofiary.
• Kod C&C Flame'a, który analizowaliśmy, wydaje się nie mieć specyficznych modułów do kontrolowania klientów SPE; zakładamy, że istnieje (lub istniał) specjalny serwer C&C SPE, z własnym, unikalnym kodem.
• Rozwój projektu SPE przeprowadzany był równolegle z Flamem i Gaussem w okresie 2010 – 2011.
• Zarówno Flame, jak i Gauss , może używać miniFlame'a / SPE jako własnego modułu.
• Najświeższym wariantem SPE jest wersja 5.00; wersja 4.00 jest wariantem najstarszym.
• Dokładny wektor infekcji SPE nie jest znany; przypuszczamy, że szkodnik zostaje wdrożony z serwera centrum kontroli podczas infekcji Flame'a lub Gaussa.
• Binarna wersja szkodnika o sygnaturze 4.20 zawiera ścieżkę debugowania, która prowadzi do lokalizacji: „C:projectseSP4.2general_vobspReleaseicsvnt32.pdb”. Wskazuje to, że autor nazwał swoje szkodliwe oprogramowanie „SP4.2”, jednak w języku kodu C&C używa klienta typu “SPE”. Bardzo możliwe jest, że „SP” to po prostu wcześniejsza wersja miniFlame'a / SPE (wersja od 1.00 do 3.xx).
• SPE / miniFlame konsoliduje teorię silnego powiązania pomiędzy zespołami pracującymi nad Flamem i Gaussem. miniFlame stanowi wspólny moduł, używany w obu projektach.
• Wszystkie znane wersje 4.xx „SPE” zawierają sekcję informacji o wersji, która odnosi się do strony kodowej 3081, ENG_AUS, Angielski (Australia).

Flame i Gauss były masowymi operacjami cyberszpiegowskimi, infekującymi tysiące użytkowników. SPE / miniFlame jest wysoce precyzyjnym narzędziem szpiegowskim. Liczba ofiar tego szkodliwego oprogramowania jest porównywalna do ofiar infekcji Duqu.

Możemy założyć, że miniFlame był częścią operacji Flame i Gauss, które odbyły się w kilku fazach. Pierwsza faza: zainfekowanie jak największej liczby potencjalnie interesujących ofiar. Druga faza: zbieranie danych od ofiar, pozwalające atakującemu określić profile ofiar i znaleźć najciekawsze cele. Finalna faza: dla „wybranych” celów zastosowanie wyspecjalizowanego narzędzia szpiegowskiego, takiego jak SPE / miniFlame, do prowadzenia nadzoru / monitoringu.

Wewnątrz kodu C&C Flame'a istnieje odniesienie do dwóch dotąd nieznanych części szkodliwego oprogramowania: „SP” i „IP”. „SP” to NAJPRAWDOPODOBNIEJ starszy wariant szkodnika opisanego w tym artykule. „IP” to NAJPRAWDOPODOBNIEJ odrębna część, która do tej pory pozostaje nieznana. Zgodnie z kodem źródłowym C&C, „IP” jest również najnowszym szkodliwym programem z całego pakietu.

Analizując Flame'a, Gaussa i miniFlame'a najprawdopodobniej odkryliśmy czubek góry lodowej masowych operacji cyberszpiegowskich, mających miejsce na Bliskim Wschodzie. Ich prawdziwy cel pozostaje niejasny, a tożsamość ofiar i napastników pozostaje nieznana.