Actualidad Info Actualidad

Al menos uno de los programas maliciosos relacionados con Flame sigue funcionando libremente

Comunicaciones Hoy18/09/2012

kasperskyKaspersky Lab ha presentado los resultados de una nueva investigación relacionada con el descubrimiento de la sofisticada campaña de ciberespionaje Flame. Esta investigación se ha llevado a cabo por Kaspersky Lab en colaboración con la IMPACT Alliance de ITU (International Telecommunication Union), CERT_Bund/BSI y Symantec. En el transcurso de dicha investigación se han analizado un número de servidores de comando y control (C&C) utilizados por los creadores de Flame han sido analizados en detalle. Este análisis ha sacado a la luz nuevos y reveladores datos sobre Flame. Por un lado, se han localizado rastros de tres programas maliciosos aún desconocidos y, además, se ha fechado en 2006 la creación y desarrollo de la plataforma de Flame.

Principales hallazgos:
• El desarrollo de la plataforma de comando y control (C&C) comenzó en diciembre de 2006
• Los servidores C&C se disfrazaron para parecer sistemas ordinarios de control y así ocultar a los proveedores de hosting y a los investigadores la verdadera naturaleza del proyecto
• Los servidores eran capaces de recibir datos de máquinas infectadas utilizando cuatro protocolos distintos, aunque sólo uno de ellos atacaba con Flame.
• La existencia de los tres protocolos restantes no utilizados por Flame prueba la creación de al menos otros tres programas maliciosos relacionados con Flame. Su naturaleza es aún desconocida.
• Uno de esos objetos maliciosos sigue actuando libremente.
• No hay ninguna evidencia que señale que los C&C de Flame se hayan utilizado para controlar otro malware como Stuxnet o Gauss.

La campaña de ciberespionaje de Flame fue originalmente descubierta por Kaspersky Lab en mayo de 2012 durante una investigación que inició International Communication Union. La complejidad del código y la confirmación de vínculos con los desarrolladores de Stuxnet apuntan a que Flame es otro sofisticado ejemplo de ciberespionaje nación-estado. En un principio se estimó que las operaciones de Flame habían comenzado en 2010, pero el primer análisis de la infraestructura del C&C (utilizado por, al menos, 80 nombres de dominios conocidos) lo fechaba dos años antes.

Los hallazgos de esta investigación están basados en el análisis del contenido de varios servidores C&C utilizados por Flame. Esta información ha podido recuperarse a pesar de que la infraestructura de control de Flame fue puesta de inmediato en offline, tras el anuncio de Kaspersky Lab advirtiendo de la existencia de malware. Todos los servidores estaban corriendo en versión 64-bit del sistema operativo de Debian, virtualizado utilizando contenedores de Open VZ. La mayoría de los códigos de los servidores estaban escritos en lenguaje de programación PHP. Los creadores de Flame utilizaron ciertas medidas para hacer que los servidores de C&C parecieran simples controles de sistemas que burlaran los controles de los proveedores de hosting.

Se utilizaron métodos de cifrado muy complejos que sólo permitían a los atacantes obtener los datos cargados en los equipos infectados. El análisis de los scripts utilizados para manejar la transmisión de datos a las víctimas han derivado en el descubrimiento de cuatro protocolos de comunicación, y sólo uno de ellos es compatible con Flame. Esto significa que hay, al menos, otros tres tipos de malware utilizados en estos servidores de C&C que aún se desconocen. Existe evidencia suficiente para afirmar que al menos un malware relacionado con Flame está operando libremente.
“Fue muy complicado para nosotros estimar la cantidad de datos robados por Flame, incluso tras el análisis de sus servidores de comando y control. Los creadores de Flame han ocultado muy bien sus rastros, pero el error de uno de sus atacantes nos permitió descubrir más datos de los que guardaba el servidor. Basado en ello, hemos podido ver que cada semana se subían más de cinco gigabytes a este servidor, provenientes de más de 5.000 equipos infectados. Sin duda, estamos ante un claro ejemplo de ciberespionaje a gran escala”, explica Alexander Gostev, Director de Seguridad de Kaspersky Lab.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

NEWSLETTERS

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    14/11/2024

  • Newsletter Informática y Comunicaciones (Comunicaciones Hoy)

    07/11/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS