Spionprogrammet Flame brugte 80 domæner og var fire år under opsejling

Spionprogrammet Flame er blevet kørt i stilling i løbet af fire år og brugte 80 forskellige domæner, som var registreret med falske navne hos helt almindelige hostingfirmaer.

Der er gået en hidtil uset storstilet forberedelse forud for det arbejde, som spionprogrammet Flame skulle udføre. Det afslører en analyse foretaget af sikkerhedsfirmaet Kaspersky i samarbejde med OpenDNS og Godaddy.com.

Allerede i 2008 blev de første af mindst 86 domænenavne, som bruges til de servere, som Flame-programmet kontakter, nemlig registreret og aktiveret.

Ifølge OpenDNS' analyse er der i løbet af de fire år blevet brugt 22 forskellige registratorer til at registrere domænerne og bagmændene har gjort en ekstra indsats for at krybe under sikkerhedsfirmaernes radarhøjde.

Selve Flame-programmet er ikke forsøgt sløret i traditionel forstand, men ligner i stedet et legitimt stykke software, som kommunikerer med nogle tjenester via internettet. Samtidig er selve programmet betydeligt større end normal malware og ligner derfor heller ikke noget, antivirussoftwaren normalt leder efter.

Læs også: Microsoft udsender anti-Flame-opdatering til Windows

Registreringen af de mange domæner er sket ved hjælp af falske adresser, som blot fører til hoteller, lægeklinikker eller ikke eksisterer. Men registreringen er sket hos almindelige hostingfirmaer og ikke hos firmaer, som er berygtede for at se gennem fingre med ulovlige aktiviteter.

»Ingen af de involverede registranter, IP-adresser eller udbydere har været involveret i tidligere angreb,« fortalte teknisk Dan Hubbard fra OpenDNS på et pressemøde mandag.

Dermed skiller Flame sig ud fra spionprogrammet Duqu, som ellers ser ud til at være skabt af tilsvarende interessenter til det samme formål: Industrispionage. Bagmændene bag Duqu brugte nemlig hackede servere til at styre spionprogrammet.

»Fremgangsmåden for Flame giver god mening, fordi man gerne vil have kontrol over de servere, man bruger,« sagde sikkerhedsekspert Roel Schouwenberg fra Kaspersky på pressemødet.

De fleste af domænenavne var også konstrueret, så de ikke ville vække opsigt i en logfil ved eksempelvis at pege på domæner, der kunne forveksles med en opdateringstjeneste med software til Nvidia-produkter.

OpenDNS har analyseret de tilgængelige logfiler så langt tilbage som muligt for at kortlægge Flame. Det viser, at langt hovedparten af opslagene fra en Flame-inficeret maskine til en server gennem OpenDNS stammer fra Mellemøsten og især Iran.

Læs også: USA og Israel skabte Stuxnet-ormen, men mistede kontrollen

»Det har været en Big Data-opgave. Vi taler om en tidsperiode på fire år, og vi får fire milliarder opslag om dagen, og Flame-opslagene udgjorde blot 300 om dagen,« sagde Dan Hubbard.

Sammen med GoDaddy og OpenDNS opsatte Kaspersky et såkaldt 'sinkhole' for at lede trafikken fra Flame-inficerede pc'er til en server under sikkerhedsfirmaet kontrol, så kommunikationen kunne analyseres. Den analyse viste blandt andet, at Flame specifikt går efter at finde dokumenter i eksempelvis Office-formater og PDF samt AutoCAD-filer.

AutoCAD-filer bruges til tekniske tegninger af alt fra maskindele til bygninger, og de kan være interessante og værdifulde for mange parter. Endnu er der heller ingen, der tør gætte på, hvem der står bag Flame.

Flere har spekuleret i, at Stuxnet, Duqu og Flame er skabt af de samme, men selvom der er ligheder, så er der også mange tekniske forskelle mellem fremgangsmåderne. Eksempelvis gik Duqu også efter AutoCAD-filer, men brugte kun én enkelt server pr. angreb, hvor Flame altså har brugt mindst 86, og hvor der var indbygget redundans mellem IP-adresser og domæner.

»Infrastrukturen bag Flame er enorm i forhold til, hvad vi har set hidtil, og den har været etableret i fire år. Vi mener, Stuxnet, Duqu og Flame er parallelle operationer,« sagde Roel Schouwenberg.

Illustration: Kaspersky
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere