Spionagetrojaan Flame startte al in 2006
Nieuwe analyse wijst op een strakke organisatie achter Flame(r), en een lange voorgeschiedenis.
Nieuwe analyse wijst op een strakke organisatie achter Flame(r), en een lange voorgeschiedenis.
Wanneer in de eerste helft van dit jaar voor het eerst over de trojaan Flame of Flamer, naargelang de bron, werd bericht, werd al een vergelijking gemaakt met het infame Stuxnet, dat klaarblijkelijk als een wapen werd ontwikkeld en dat met de hulp van een overheid of overheden. Flame(r) bleek evenwel nog groter en flexibeler te zijn, en veeleer een framework te zijn waarmee verschillende vormen van aanval konden worden uitgevoerd.
Sindsdien hebben securityexperts van Symantec en Kaspersky, samen met Impact en de CERT-Bund/BSI (de Duitse overheidscyberdefensie) een paar controleservers (command&control, C&C) van Flame(r) verder uitgepluisd. Dat onderzoek ondersteunt de visie dat het over een uiterst gesofisticeerd ‘product’ gaat. Zo besteedden de bouwers heel wat aandacht aan het wissen en verbergen van de C&C-activiteiten op de besmette servers, zij het dat ze niet alle sporen hebben gewist (wat het onderzoek mogelijk maakte). Voorts bleek dat al in 2006 met de bouw van de malware was gestart, en dat er minstens door een viertal ontwikkelaars was aan meegewerkt. Ook bleken nog niet alle onderdelen van de malware al volledig te zijn uitgewerkt, terwijl het Flame(r)-team wel contacten hadden met de Stuxnet-ontwikkelaars.
Strakke organisatie Flame(r) is een trojaan die achterdeuren installeert, om vervolgens informatie te stelen uit de besmette eindgebruikerssystemen. De C&C-systemen die de informatie verzamelen, gedragen zich daarbij als legale content beheersystemen (cms), terwijl de gekaapte servers worden ‘beheerd’ zodat er maximale ruimte beschikbaar is voor de opslag van de gestolen gegevens. Op een van de servers werd in een back-up van 5,7 GB aan gestolen data aangetroffen.
Opmerkelijk is de strakke organisatie achter Flame(r). De werking is in handen van drie groepen, die blijkbaar strikt gescheiden functies hebben. Naast de ‘admin’ mensen die de systemen opzetten en beheren, zijn er de ‘attack operators’ die malware doorsturen naar besmette clients en de data stelen. Die data zijn evenwel sterk geëncrypteerd, en kunnen enkel door de ‘attack coordinators’ worden ontcijferd. Dat is een stringente verdeling van taken die niet gebruikelijk is voor meer ‘klassieke’ cybermisdadigers. De gebruikte middelen (zoals unieke zwakheden in certificaten), de sofisticatie van de malware en de ongewone organisatie verstevigen dan ook het inzicht dat Flame(r) het resultaat is van een of meerdere overheden en allicht bedoeld als spionagewapen in de blijkbaar opbloeiende cyberoorlog(en).
Meer info bieden Symantec en Kaspersky Lab op hun sites.
Fout opgemerkt of meer nieuws? Meld het hier