Gli esperti di Kaspersky Lab forniscono un’analisi dettagliata dell’infrastruttura C&C di Flame
Il 28 maggio 2012, Kaspersky Lab ha annunciato la scoperta di un sofisticato programma nocivo, conosciuto con il nome di Flame, utilizzato come arma informatica per attaccare una serie di obiettivi in diversi paesi. Flame, scoperto dagli esperti di Kaspersky Lab durante un’indagine commissionata dall’International Telecommunication Union (ITU), è risultato, dopo un’analisi del programma nocivo, il più grande e complesso strumento di attacco scoperto fino ad oggi.
Dall’analisi di Kaspersky Lab, emerge che questo malware è stato utilizzato per il cyber-spionaggio ed è in grado di infettare i computer e rubare dati e informazioni sensibili. I dati rubati vengono successivamente inviati ai server di Command & Control (C&C) di Flame.
Kaspersky Lab ha monitorato attentamente l’infrastruttura di C&C di Flame e ha pubblicato un post dettagliato sui risultati della ricerca.
In collaborazione con GoDaddy e OpenDNS, Kaspersky Lab è riuscita a bloccare la maggior parte dei domini nocivi utilizzati dall’infrastruttura di C&C di Flame, grazie ad una operazione di sinkholing. Questi i risultati dell’analisi:
• L’infrastruttura di C&C di Flame, che era attiva da anni, è stata messa offline subito dopo che Kaspersky Lab ha annunciato la scoperta dell’esistenza di questo malware la settimana scorsa.
• Attualmente sono presenti più di 80 domini conosciuti, utilizzati dai server di C&C di Flame e domini collegati, registrati tra il 2008 e il 2012.
• Nel corso degli ultimi quattro anni, i server di C&C di Flame si sono spostati attraverso diversi paesi quali Hong Kong, Turchia, Germania, Polonia, Malaysia, Lettonia, Regno Unito e Svizzera.
• I domini C&C di Flame sono stati registrati con una impressionante lista di identità false e con una varietà di enti di registrazione a partire dal 2008.
• Grazie all’operazione di sinkhole di Kaspersky Lab, è emerso che gli utenti infetti sono stati registrati in più regioni tra cui il Medio Oriente, Europa, Nord America e Asia-Pacifico.
• I criminali di Flame sembrano avere un grande interesse per documenti PDF, Office e AutoCad.
• I dati caricati sul server C&C di Flame vengono crittografati utilizzando algoritmi relativamente semplici. I documenti sottratti vengono compressi tramite Zlib come open source e una compressione PPDM modificata.
• Windows 7 64 bit, che era già stato consigliato come una buona soluzione contro le infezioni dei malware, si conferma efficace anche contro Flame.
Kaspersky Lab ringrazia William MacArthur e il “GoDaddy Network Abuse Department” per la tempestività e il supporto all’indagine. Kaspersky Lab ringrazia anche “OpenDNS Security Research Team”, che ha messo a disposizione la propria esperienza.
Durante la scorsa settimana Kaspersky Lab ha contattato il CERT presente in diversi paesi, per fornire informazioni ai domini utilizzati dai C&C di Flame. Kaspersky Lab ringrazia tutte le persone che hanno contribuito a questo risultato.
