Pour la petite histoire, Flame est un trojan qui a été découvert en mai de cette année, a été actif pendant des années sans jamais être détecté et a été utilisé en grande majorité au Moyen-Orient. Il a été découvert plus tard que le fichier a été distribué avec un certificat valide de Microsoft et a été propagé à travers le mécanisme de mise à jour de Windows.
Il y a quelques jours, Kaspersky a publié un nouveau rapport sur le trojan Flame dans lequel il résume les recherches qu'il a mené en collaboration avec Symantec, la German Federal Office for Information Security (BSI) et la International Telecommunication Union.
L'enquête sur les serveurs C&C utilisés par les créateurs de Flame a révélée plusieurs nouvelles découvertes, y compris la découverte de trois nouveaux malwares encore non-identifiés. Les chercheurs ont également appris que le développement de Flame remonte à Décembre 2006.
En regardant les serveurs C&C, les chercheurs ont constaté qu'ils sont déguisés pour ressembler à des serveurs communs pour se cacher des hébergeurs. Les serveurs ont été virtualisés en exécutant une version de Debian 6 dans une image OpenVZ. La majorité du code contrôlé a été écrit en Python et PHP et le tout est connecté à une base de données MySQL. L'installation d'un serveur web Apache 2 a aussi été détecté mais ne servait que pour l'interface C&C dans un dossier /newsforyou/CP/. L'interface web elle-même avait l'air plutôt moche mais les chercheurs pensent que les créateurs de Flame voulaient surtout rester discrets.
Toutes les données recueillies par le trojan et envoyés aux serveurs C&C étaient chiffrées localement à l'aide d'une clé publique bien costaud. Ces données ne peuvent être déchiffrées qu'avec la clé privée du propriétaire du serveur. Les données chiffrées sont téléchargées chaque demi-heure puis supprimées du serveur. Selon le rapport, un serveur a envoyé 5,5Go de données saisies en une semaine. Ce serveur a été contacté par plus de 5.000 adresses IP au cours de cette semaine. 3.700 de ces adresses étaient iraniennes, tandis que 1.280 autres viendraient du Soudan. Les chercheurs estiment que Flame a infecté plus de 10.000 ordinateurs au total.
En analysant les protocoles de communication utilisés par Flame et ses serveurs C&C, les chercheurs ont découvert que les serveurs étaient en mesure de contrôler quatre clients différents. Les noms de code pour ces clients sont IP, SP, SPE et FL (l'acronyme du dernier étant utilisé par Flame lui-même). Cela pousse l'équipe de recherche à croire qu'il y a trois autres trojans qui ont été créé par les mêmes développeurs que Flame.
Kaspersky dit qu'il a trouvé des traces d'au moins un des dérivés de Flame : SPE qui opère actuellement mais qui ne peut être détecté. Il y aussi des signes qu'une cinquième variante soit en cours de développement, mais n'a pas put être achevée par ses auteurs au moment où Flame a provoqué l'attention du monde entier et fût arrêté. Les chercheurs ont conclu ceci à partir d'un schéma appelé "Red Protocol" qui est mentionné dans le code C&C mais pas encore appliqué. Selon Kaspersky, il n'y a aucun signe que les serveur C&C de Flame ont été déjà utilisés pour contrôler d'autres malwares connus tels que Stuxnet ou Gauss.
Des forensics ont extrait plus d'informations depuis les serveurs C&C, y compris les pseudos de quatre opérateurs de ces serveurs. Un rapport publié par Symantec montre une nette distinction entre les rôles de ces opérateurs et l'utilisation de techniques de cloisonnement des données suggère que les pirates appartenaient à une organisation bien financée et organisée. En gardant à l'esprit la configuration du chiffrement et la complexité de l'architecture des serveurs C&C, Kaspersky convient également qu'il est probable que Flame et ses variantes ont été élaborées par une nation. J'en profite pour faire une transition : selon un rapport antérieur publié par le Washington Post, Flame et Stuxnet auraient été développés avec le parrainage des États-Unis et Israël.
Une observation des chercheurs est que les développeurs des systèmes C&C de Flame semblent être familiers avec la plupart des systèmes Red Hat car ils utilisaient l'outil chkconfig qui est plutôt inhabituel sous Debian. Cela leur rappelait l'implémentation des serveurs C&C du trojan Duqu qui est basé sur CentOS, un clone de Red Hat. Cela pose un autre lien possible entre Flame et Stuxnet.
A suivre...