A Kaspersky Lab anuncia os resultados de nova pesquisa relacionada à descoberta da sofisticada campanha de ciberespionagem Flame, patrocinada por governos. Durante a pesquisa, realizada pela Kaspersky Lab em parceria com o braço executor de cibersegurança IMPACT da International Telecommunication Union, CERT-Bund/BSI e Symantec, diversos servidores de comando e controle (C&C) usados pelos criadores do Flame foram analisados detalhadamente.
A análise revelou novos fatos revolucionários sobre o Flame. Especialmente, foram encontrados evidências de três programas maliciosos ainda desconhecidos, e descobriu-se que o desenvolvimento da plataforma Flame data de 2006.
Principais descobertas:
• O desenvolvimento da plataforma de comando e controle do Flame foi iniciado em dezembro de 2006.
• Os servidores C&C foram disfarçados para parecerem um sistema de gerenciamento de conteúdo comum, com a finalidade de ocultar a natureza real do projeto dos provedores de hospedagem ou de investigações aleatórias.
• Os servidores conseguiram receber dados de máquinas infectadas usando quatro protocolos diferentes; apenas um deles atendia computadores atacados pelo Flame.
• A existência de três protocolos adicionais não usados pelo Flame comprova a criação de pelo menos três outros programas maliciosos relacionados ao Flame; mas sua natureza é desconhecida até o momento.
• Atualmente, um desses objetos maliciosos desconhecidos relacionados ao Flame está sendo disseminado.
• Existem indícios de que a plataforma C&C ainda está em desenvolvimento; um esquema de comunicação chamado “Red Protocol” (protocolo vermelho, em inglês) é mencionado, mas ainda não foi implementado.
• Não há sinais de que os C&Cs do Flame tenham sido usados para controlar outros malwares conhecidos, como o Stuxnet ou o Gauss.
A campanha de ciberespionagem do Flame foi originalmente descoberta pela Kaspersky Lab em maio de 2012, durante uma investigação iniciada pela International Communication Union.
Em seguida a esta descoberta, a ITU-IMPACT agiu rapidamente na emissão de um alerta aos 144 países-membros, acompanhado da correção adequada e de procedimentos de limpeza. A complexidade do código e os links confirmados para desenvolvedores do Stuxnet sugerem que o Flame seja outro exemplo de operação virtual sofisticada patrocinada por governos.
Originalmente, estimou-se que o Flame tivesse iniciado suas operações em 2010, mas a primeira análise de sua infraestrutura de comando e controle (que abrange pelo menos 80 nomes de domínios conhecidos) transferiu essa data para dois anos antes.
As descobertas dessa investigação específica se baseiam em análises do conteúdo recuperado de vários servidores C&C usados pelo Flame. Essas informações foram recuperadas apesar de a infraestrutura de controle do Flame ter ficado offline imediatamente depois que a Kaspersky Lab divulgou a existência do malware.
Todos os servidores estavam em execução na versão de 64 bits do sistema operacional Debian, virtualizado usando contêiners OpenVZ. A maior parte do código dos servidores foi escrito na linguagem de programação PHP. Os criadores do Flame tomaram determinadas medidas para fazer o servidor C&C parecer um sistema de gerenciamento de conteúdo comum, a fim de evitar a atenção do provedor de hospedagem.
Foram utilizados métodos de criptografia sofisticados de forma que ninguém, além dos invasores, pudesse obter os dados carregados dos computadores infectados. A análise dos scripts usados para manipular as transmissões de dados para as vítimas revelou quatro protocolos de comunicação e apenas um deles era compatível com o Flame. Isso significa que pelo menos três outros tipos de malware usavam esses servidores de comando e controle. Há evidências suficientes para provar que pelo menos um malware relacionado ao Flame está operando em campo. Esses programas maliciosos desconhecidos ainda não foram descobertos.
Outro resultado importante da análise é que o desenvolvimento da plataforma C&C do Flame foi iniciado em dezembro de 2006. Há indícios de que a plataforma ainda esteja em processo de desenvolvimento, pois foi encontrado nos servidores um novo protocolo ainda não implementado, chamado “Red Protocol”. A modificação mais recente do código dos servidores foi feita em 18 de maio de 2012 por um dos programadores.
“Foi um problema para nós estimar a quantidade de dados roubados pelo Flame, até mesmo após a análise de seus servidores de comando e controle. Os criadores do Flame encobriram seus rastros muito bem. Mas um erro dos invasores nos ajudou a descobrir mais dados que um servidor pretendia manter. Baseado nisso, pudemos ver que mais de cinco gigabytes de dados foram carregados neste servidor específico em uma semana, de mais de 5.000 máquinas infectadas. Certamente esse á um exemplo de ciberespionagem realizada em escala massiva”, comentou Alexander Gostev, especialista chefe em Segurança da Kaspersky Lab.
