Sadarbībā ar uzņēmumiem GoDaddy un OpenDNS Kaspersky Lab eksperti spēja pārņemt lielākās daļas Flame vadības serveru izmantoto kaitīgo domēnu pārvaldību. Pēc šādā veidā iegūtās informācijas detalizētas analīzes eksperti nonāca pie šādiem secinājumiem:
Flame vadības serveri, kas darbojās jau vairākus gadus, tika atvienoti uzreiz pēc tam, kad pagājušajā nedēļā Kaspersky Lab atklāja šo kaitīgo programmatūru. Pašlaik ir zināmi vairāk nekā 80domēni, kas tika izmantoti datu pārraidei Flame vadības serveriem. Tie ir reģistrēti laikposmā no 2008. līdz 2012.gadam. Pēdējo četru gadu laikā Flame vadības serveri pārmaiņus ir bijuši izvietoti vairākās valstīs, tostarp Honkongā, Turcijā, Vācijā, Polijā, Malaizijā, Latvijā, Apvienotajā Karalistē un Šveicē. Flame vadības serveru reģistrēšanai ir izmantoti viltoti reģistrācijas dati un dažādi reģistrācijas uzņēmumi, turklāt šīs darbības ir uzsāktas jau 2008.gadā. Uzbrucējus, kas informācijas zagšanai izmanto Flame, īpaši interesē biroja dokumenti, PDF datnes un AutoCAD rasējumi. Flame vadības serveros ielādējamās datnes tika šifrētas, izmantojot visai vienkāršus algoritmus. Nozagtie dokumenti tika saspiesti, izmantojot Zlib bibliotēku ar atvērtu pirmkodu un pārveidotu PPDM saspiešanas algoritmu. Saskaņā ar provizoriskiem datiem operētājsistēmas Windows 7 64bitu versija, kuru jau agrāk Kaspersky Lab ir ieteicis kā vienu no drošākajām, nebija inficēta ar Flame.
Kaspersky Lab izsaka pateicību Viljamam Makarturam (William MacArthur), domēna vārdu reģistratora GoDaddy Tīmekļa ļaunprātīgas izmantošanas novēršanas nodaļai, kā arī grupai OpenDNS Security Research par operatīvu atsaucību un nenovērtējamu palīdzību izmeklēšanā.
Pagājušajā nedēļā Kaspersky Lab sazinājās ar daudzu valstu datortrauksmes reaģēšanas komandām (CERT) un sniedza tām informāciju par Flame vadības serveru izmantotajiem domēniem un kaitīgo serveru IPadresēm. Kaspersky Lab pateicas visiem tiem, kas piedalījās izmeklēšanā.
Ja jūs pārstāvat valsts datortrauksmes reaģēšanas komandu un vēlaties saņemt vairāk informācijas par Flame serveriem, lūdzu, sazinieties ar mums pa e-pastu [email protected].
Pilnīga Flame vadības serveru infrastruktūras analīze un pētījuma tehniskā informācijas ir pieejama vietnē www.securelist.com/.