Kaspersky Lab anuncia os resultados de nova pesquisa relacionada à descoberta da sofisticada campanha de ciberespionagem Flame, patrocinada por governos.
Durante a pesquisa, realizada pela Kaspersky Lab em parceria com o braço executor de cibersegurança IMPACT da International Telecommunication Union, CERT-Bund/BSI e Symantec, diversos servidores de comando e controle (C&C) usados pelos criadores da empreitada espiã foram analisados detalhadamente.
A análise revelou novos fatos revolucionários sobre o Flame. Especialmente, foram encontrados evidências de três programas maliciosos ainda desconhecidos, e descobriu-se que o desenvolvimento da plataforma criminosa data de 2006.
A campanha de ciberespionagem do Flame foi originalmente descoberta pela empresa de segurança em maio de 2012, durante uma investigação iniciada pela International Communication Union. Em seguida a esta descoberta, a ITU-IMPACT agiu rapidamente na emissão de um alerta aos 144 países-membros, acompanhado da correção adequada e de procedimentos de limpeza.
A complexidade do código e os links confirmados para desenvolvedores do Stuxnet sugerem que o Flame seja outro exemplo de operação virtual sofisticada patrocinada por governos. Originalmente, estimou-se que o spyware tivesse iniciado suas operações em 2010, mas a primeira análise de sua infraestrutura de comando e controle (que abrange pelo menos 80 nomes de domínios conhecidos) transferiu essa data para dois anos antes.
As descobertas dessa investigação específica se baseiam em análises do conteúdo recuperado de vários servidores C&C usados pelo Flame. Essas informações foram recuperadas apesar de a infraestrutura de controle ter ficado offline imediatamente depois que a Kaspersky Lab divulgou a existência do malware.
Foram utilizados métodos de criptografia sofisticados de forma que ninguém, além dos invasores, pudesse obter os dados carregados dos computadores infectados. A análise dos scripts usados para manipular as transmissões de dados para as vítimas revelou quatro protocolos de comunicação e apenas um deles era compatível com o Flame. Isso significa que pelo menos três outros tipos de malware usavam esses servidores de comando e controle.
Há evidências suficientes para provar que pelo menos um malware relacionado ao vírus está operando em campo. Esses programas maliciosos desconhecidos ainda não foram descobertos.
Outro resultado importante da análise é que o desenvolvimento da plataforma C&C do Flame foi iniciado em dezembro de 2006. Há indícios de que a plataforma ainda esteja em processo de desenvolvimento, pois foi encontrado nos servidores um novo protocolo ainda não implementado, chamado “Red Protocol”. A modificação mais recente do código dos servidores foi feita em 18 de maio de 2012 por um dos programadores.
