giovedì 7 giugno 2012

Virus Flame, analisi infrastruttura server C&C fornita da Kaspersky Lab


Il 28 maggio 2012, Kaspersky Lab ha annunciato la scoperta di un sofisticato programma nocivo, conosciuto con il nome di Flame, utilizzato come arma informatica per attaccare una serie di obiettivi in diversi paesi. Flame, scoperto dagli esperti di Kaspersky Lab durante un’indagine commissionata dall’International Telecommunication Union (ITU), è risultato, dopo un’analisi del programma nocivo, il più grande e complesso strumento di attacco scoperto fino ad oggi.

Dall’analisi di Kaspersky Lab, emerge che questo malware è stato utilizzato per il cyber-spionaggio ed è in grado di infettare i computer e rubare dati e informazioni sensibili. I dati rubati vengono successivamente inviati ai server di Command & Control (C&C) di Flame. Kaspersky Lab ha monitorato attentamente l'infrastruttura di C&C di Flame e ha pubblicato un post dettagliato sui risultati della ricerca.

In collaborazione con GoDaddy e OpenDNS, Kaspersky Lab è riuscita a bloccare la maggior parte dei domini nocivi utilizzati dall’infrastruttura di C&C di Flame, grazie ad una operazione di sinkholing. Questi i risultati dell’analisi:

  • L’infrastruttura di C&C di Flame, che era attiva da anni, è stata messa offline subito dopo che Kaspersky Lab ha annunciato la scoperta dell'esistenza di questo malware la settimana scorsa.
  • Attualmente sono presenti più di 80 domini conosciuti, utilizzati dai server di C&C di Flame e domini collegati, registrati tra il 2008 e il 2012.
  • Nel corso degli ultimi quattro anni, i server di C&C di Flame si sono spostati attraverso diversi paesi quali Hong Kong, Turchia, Germania, Polonia, Malaysia, Lettonia, Regno Unito e Svizzera.
  • I domini C&C di Flame sono stati registrati con una impressionante lista di identità false e con una varietà di enti di registrazione a partire dal 2008.
  • Grazie all’operazione di sinkhole di Kaspersky Lab, è emerso che gli utenti infetti sono stati registrati in più regioni tra cui il Medio Oriente, Europa, Nord America e Asia-Pacifico.
  • I criminali di Flame sembrano avere un grande interesse per documenti PDF, Office e AutoCad.
  • I dati caricati sul server C&C di Flame vengono crittografati utilizzando algoritmi relativamente semplici. I documenti sottratti vengono compressi tramite Zlib come open source e una compressione PPDM modificata.
  • Windows 7 64 bit, che era già stato consigliato come una buona soluzione contro le infezioni dei malware, si conferma efficace anche contro Flame.


Kaspersky Lab ringrazia William MacArthur e il “GoDaddy Network Abuse Department” per la tempestività e il supporto all’indagine. Kaspersky Lab ringrazia anche “OpenDNS Security Research Team”, che ha messo a disposizione la propria esperienza. Durante la scorsa settimana Kaspersky Lab ha contattato il CERT presente in diversi paesi, per fornire informazioni ai domini utilizzati dai C&C di Flame. Kaspersky Lab ringrazia tutte le persone che hanno contribuito a questo risultato.

Le istituzioni GovCERT interessate a ricevere ulteriori informazioni possono contattare: theflame@kaspersky.com. Per maggiori informazioni http://www.securelist.com/en/blog?weblogid=208193540

Kaspersky Lab
Kaspersky Lab è una delle aziende in più rapida crescita nel settore della sicurezza informatica a livello mondiale. Nel 2012 Kaspersky Lab compie quindici anni e non c’è dubbio che il suo bene più prezioso sia costituito dalle approfondite conoscenze acquisite nel corso degli anni dedicati alla lotta ai virus e alle altre minacce informatiche. Questo consente all’azienda di anticipare le tendenze nello sviluppo dei malware e di essere sempre un passo avanti rispetto alla concorrenza.

Oggi è saldamente posizionata tra i quattro principali fornitori di software di sicurezza per utenti finali al mondo e nel 2011 ha registrato una crescita del fatturato globale pari al 14% rispetto all’anno precedente, superando i 600 milioni di dollari. I prodotti Kaspersky offrono il massimo livello di protezione contro le minacce alla sicurezza informatica quali virus, spyware, crimeware, hacker, phishing e spam.



Fonte: Kaspersky Newsroom

Nessun commento:

Posta un commento