Najnowsze odkrycia ujawniły, że infrastruktura wykorzystywana do kontrolowania Flame’a była przenoszona między kilkoma krajami i działała między innymi w Polsce.
Analiza przeprowadzona przez Kaspersky Lab wykazała, że Flame był aktywnie wykorzystywany do cyberszpiegostwa i infekował komputery w celu kradzieży danych oraz poufnych informacji. Skradzione zasoby były przesyłane do jednego z serwerów kontroli nadzorowanych przez cyberprzestępców.
Analitykom udało się, we współpracy z organizacjami GoDaddy oraz OpenDNS, odłączyć większość szkodliwych domen wykorzystywanych przez infrastrukturę serwerów kontroli Flame’a. Szczegółowe badanie ujawniło następujące informacje:
• Działająca od kilku lat infrastruktura serwerów kontroli Flame’a została wyłączona natychmiast po tym, jak eksperci z Kaspersky Lab wykryli istnienie zagrożenia w ubiegłym tygodniu.
• Obecnie istnieje ponad 80 znanych domen wykorzystywanych przez serwery kontroli Flame’a. Domeny te zostały zarejestrowane w latach 2008 - 2012.
• W ciągu ubiegłych czterech lat serwery przechowujące infrastrukturę kontrolującą Flame’a były przenoszone między wieloma państwami, łącznie z Polską, Hong Kongiem, Turcją, Niemcami, Malezją, Łotwą, Wielką Brytanią oraz Szwajcarią.
• Do rejestracji domen wykorzystywanych do kontrolowania Flame’a korzystano z ogromnej ilości fałszywych tożsamości.
• Z najnowszych danych Kaspersky Lab wynika, że zainfekowani użytkownicy zostali zidentyfikowani w wielu częściach świata, łącznie z Bliskim Wschodem, Europą, Ameryką Północną oraz Azją.
• Atakujący korzystający z Flame’a wydają się być szczególnie zainteresowani plikami PDF, dokumentami pakietu Office oraz projektami z aplikacji AutoCad.
•. Dane przesyłane przez robaka Flame do serwerów kontroli są zaszyfrowane przy użyciu prostych metod. Skradzione dokumenty są kompresowane przy użyciu biblioteki Zlib (open source) oraz zmodyfikowanej kompresji PPDM.
Źródło: Kaspersky Lab