Securityleverancier Kaspersky Lab heeft de uiterst kwaadaardige Flame-infectie geanalyseerd en heeft de Command & Control (C&C)-infrastructuur in kaart gebracht. De malware wordt voor cyberspionage en het infecteren van computers gebruikt om zo data en gevoelige informatie te stelen. De gestolen gegevens werden vervolgens verstuurd naar een van Flame's C&C-servers. Kaspersky Lab heeft inmiddels de C&C-infrastructuur van Flame gemonitord.
Op 28 mei 2012 maakte Kaspersky Lab bekend dat het een zeer geavanceerd, kwaadaardig programma genaamd Flame heeft ontdekt, dat actief werd gebruikt als een cyberwapen gericht op entiteiten in verschillende landen. Flame werd ontdekt door Kaspersky-experts tijdens een onderzoek in opdracht van de Internationale Telecommunicatie-unie (ITU). De analyse van het kwaadaardige programma onthulde dat het om de grootste en meest complexe 'attack toolkit' tot nog toe gaat.
Ruim tachtig domeinen
In samenwerking met GoDaddy en OpenDNS is Kaspersky Lab erin geslaagd om het grootste deel van de malafide domeinen, die gebruikt werden door Flame's C&C's, te 'sinkholen'. De Flame C&C-infrastructuur, die al jaren actief was, ging meteen offline nadat Kaspersky Lab het bestaan van de malware vorige week bekend maakte. Momenteel zijn er meer dan tachtig bekende domeinen die door Flame gebruikt werden voor C&C-servers en de bijbehorende domeinen, die zijn geregistreerd tussen 2008 en 2012.
Tijdens de afgelopen vier jaar werden de servers, die als host dienden voor de C&C-infrastructuur, verplaatst tussen verschillende locaties, inclusief Hong Kong, Turkije, Duitsland, Polen, Maleisië, Letland, het Verenigd Koninkrijk en Zwitserland. De Flame C&C-domeinen zijn geregistreerd met een indrukwekkende lijst van valse identiteiten en met een verscheidenheid aan registrars, die teruggaan tot in 2008. Volgens Kaspersky Lab's sinkhole werden geïnfecteerde gebruikers geregistreerd in meerdere regio's, waaronder het Midden-Oosten, Europa, Noord-Amerika en Azië-Pacific.
Windows 7 64 bit
Flame-aanvallers lijken een grote interesse te hebben in pdf, Office en AutoCad-tekeningen. De gegevens die geüpload zijn naar Flame C&C's zijn versleuteld met behulp van relatief eenvoudige algoritmes. Gestolen documenten worden gecomprimeerd met behulp van open source Zlib en gemodificeerde PPDM-compressie. Windows 7 64 bit lijkt doeltreffend te zijn tegen Flame.
