Un nouveau rapport de Symantec dévoile que l’existence de Flame remonterait à 2006 et qu’il existerait plusieurs variantes de celui-ci ayant parfois des fonctionnalités totalement différentes.

On suppose toujours que Flame a été créé par un effort commun entre les Etats-Unis et Israël pour espionner et compromettre des machines principalement en Iran.

Flame utilise de nombreux serveurs pour commander et contrôler ses activités mais les chercheurs n'ont pu en examiner que deux. L’analyse de ces deux serveurs du centre de commande du malware montre qu’il a commencé à infecter des machines dès décembre 2006 soit 6 ans avant d’avoir été découvert. Plus de 10 000 machines auraient été infectées.

Au moins 4 programmeurs ont développé le code présent sur les serveurs et ont laissé leur surnom dans le code source. On a pu identifier 3 groupes distincts :

  • Ceux qui s’occupent de la configuration du serveur : les administrateurs.
  • Ceux qui uploadent le code malveillant et téléchargent les informations volées.
  • Ceux qui détiennent la clé privée pour décrypter les données volées.

Cette structure compartementalisée laisse penser qu’ils faisaient probablement partie d’une opération complexe, disposant de beaucoup de fonds. Par ailleurs, le rapport montre aussi que d’autres malwares aux propriétés inconnues étaient présents sur les serveurs :

 

Les programmeurs ont pris de nombreuses mesures pour effacer les preuves de leur activité sur les serveurs. Ils utilisaient plusieurs scripts comme LogWiper.sh pour empêcher la tenue d’un journal des connexions. Toutefois des erreurs dans ces scripts ont permis à Symantec et Kasperky Lab d’analyser le fonctionnement des serveurs du centre de contrôle.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143949
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI