Pour la petite histoire, Flame est un trojan qui a été découvert en mai de cette année, a été actif pendant des années sans jamais être détecté et a été utilisé en grande majorité au Moyen-Orient. Il a été découvert plus tard que le fichier a été distribué avec un certificat valide de Microsoft et a été propagé à travers le mécanisme de mise à jour de Windows.

Il y a quelques jours, Kaspersky a publié un nouveau rapport sur le trojan Flame dans lequel il résume les recherches qu'il a mené en collaboration avec Symantec, la German Federal Office for Information Security (BSI) et la International Telecommunication Union.

L'enquête sur les serveurs C&C utilisés par les créateurs de Flame a révélée plusieurs nouvelles découvertes, y compris la découverte de trois nouveaux malwares encore non-identifiés. Les chercheurs ont également appris que le développement de Flame remonte à Décembre 2006.

En regardant les serveurs C&C, les chercheurs ont constaté qu'ils sont déguisés pour ressembler à des serveurs communs pour se cacher des hébergeurs. Les serveurs ont été virtualisés en exécutant une version de Debian 6 dans une image OpenVZ. La majorité du code contrôlé a été écrit en Python et PHP et le tout est connecté à une base de données MySQL. L'installation d'un serveur web Apache 2 a aussi été détecté mais ne servait que pour l'interface C&C dans un dossier /newsforyou/CP/. L'interface web elle-même avait l'air plutôt moche mais les chercheurs pensent que les créateurs de Flame voulaient surtout rester discrets.

Toutes les données recueillies par le trojan et envoyés aux serveurs C&C étaient chiffrées localement à l'aide d'une clé publique bien costaud. Ces données ne peuvent être déchiffrées qu'avec la clé privée du propriétaire du serveur. Les données chiffrées sont téléchargées chaque demi-heure puis supprimées du serveur. Selon le rapport, un serveur a envoyé 5,5Go de données saisies en une semaine. Ce serveur a été contacté par plus de 5.000 adresses IP au cours de cette semaine. 3.700 de ces adresses étaient iraniennes, tandis que 1.280 autres viendraient du Soudan. Les chercheurs estiment que Flame a infecté plus de 10.000 ordinateurs au total.

En analysant les protocoles de communication utilisés par Flame et ses serveurs C&C, les chercheurs ont découvert que les serveurs étaient en mesure de contrôler quatre clients différents. Les noms de code pour ces clients sont IP, SP, SPE et FL (l'acronyme du dernier étant utilisé par Flame lui-même). Cela pousse l'équipe de recherche à croire qu'il y a trois autres trojans qui ont été créé par les mêmes développeurs que Flame.

Kaspersky dit qu'il a trouvé des traces d'au moins un des dérivés de Flame : SPE qui opère actuellement mais qui ne peut être détecté. Il y aussi des signes qu'une cinquième variante soit en cours de développement, mais n'a pas put être achevée par ses auteurs au moment où Flame a provoqué l'attention du monde entier et fût arrêté. Les chercheurs ont conclu ceci à partir d'un schéma appelé "Red Protocol" qui est mentionné dans le code C&C mais pas encore appliqué. Selon Kaspersky, il n'y a aucun signe que les serveur C&C de Flame ont été déjà utilisés pour contrôler d'autres malwares connus tels que Stuxnet ou Gauss.

Des forensics ont extrait plus d'informations depuis les serveurs C&C, y compris les pseudos de quatre opérateurs de ces serveurs. Un rapport publié par Symantec montre une nette distinction entre les rôles de ces opérateurs et l'utilisation de techniques de cloisonnement des données suggère que les pirates appartenaient à une organisation bien financée et organisée. En gardant à l'esprit la configuration du chiffrement et la complexité de l'architecture des serveurs C&C, Kaspersky convient également qu'il est probable que Flame et ses variantes ont été élaborées par une nation. J'en profite pour faire une transition : selon un rapport antérieur publié par le Washington Post, Flame et Stuxnet auraient été développés avec le parrainage des États-Unis et Israël.

Une observation des chercheurs est que les développeurs des systèmes C&C de Flame semblent être familiers avec la plupart des systèmes Red Hat car ils utilisaient l'outil chkconfig qui est plutôt inhabituel sous Debian. Cela leur rappelait l'implémentation des serveurs C&C du trojan Duqu qui est basé sur CentOS, un clone de Red Hat. Cela pose un autre lien possible entre Flame et Stuxnet.

A suivre...

Architecture du trojan Gauss

Au cours de leur enquête sur le super worm Flame de 20MB, des chercheurs en sécurité de Kaspersky Lab ont découvert un de ses cousins appelé Gauss. Ce trojan aurait déjà infecté des dizaines de milliers d'ordinateurs au Liban, en Israël et en Palestine.

Son objectif est de voler les données utilisateurs, y compris les mots de passe (de comptes bancaires principalement), les cookies, l'historique du navigateur, et d'autres données confidentielles. Celui-ci installe également, pour une raison inconnue, une police d'écriture personnalisée appelée "Narrow palida".

Vous avez sûrement déjà entendu parler de Gauss ? Et bien ce nom viendrait probablement du célèbre mathématicien allemand Carl Friedrich Gauss qui est le nom du module principal de ce trojan. D'autres noms de mathématiciens réputés ont également été utilisés pour nommer des sous-modules.

Pour l'instant il est difficile de déterminer quelle faille de sécurité a été exploitée pour accéder aux systèmes. La seule chose que savent les chercheurs, c'est que le trojan s'est propagé via clé USB et a utilisé le même exploit qui reconditionne les fichiers .lnk comme pour Flame ou Stuxnet. Ensuite Gauss stocke dans un fichier caché les données récupérées.

Relation entre Stuxnet, Duqu, Flame et Gauss

Gauss est assez similaire à Flame, tant par sa composition que par la structure de ses modules ainsi que l'architecture du code et des moyens pour accéder aux serveurs C&C. Cela donne comme hypothèse qu'ils sont originaires de la même source. Rappelez-vous de Flame et Stuxnet qui ont été attribué aux services secrets Israéliens et Américains.

Alors si on se place dans ce contexte, il est particulièrement inhabituel que des trojans comme Gauss aient pour cible des données bancaires d'utilisateurs. Kaspersky note d'ailleurs que ce trojan faisait des recherches de données spécifiques sur la Bank of Beirut, la Banque Libano-Française (EBLF), la Blom Bank, la Byblos Bank, le Credit Libanais et Fransabank. Il est également soupçonné d'avoir intercepté des données provenant de Citibank et Paypal.

Gauss a été aperçu la première fois par Kaspersky en Septembre 2011 et a été identifié comme Trojan-Spy.Win32.Gauss en Juin 2012. Les créateurs du trojan ont vite pris conscience de la découverte lorsque leurs serveurs C&C ont été mis hors ligne en Juillet. Depuis, d'autres systèmes infectés contiennent encore le trojan mais celui-ci s'est apparemment mis en mode hibernation. Kaspersky Security Network (KSN) a compté plus de 2.500 infections depuis Mai 2012 mais cela comprend seulement les systèmes ayant Kaspersky d'installé. En revanche, Kaspersky avait compté seulement 700 infections par Flame.

Comme Duqu et Flame, Gauss contient un système d'auto-destruction : au bout de 30 exécutions du payload à partir d'une clé USB, le trojan se supprime automatiquement pour éviter d'être détecté par les anti-virus.

Des chercheurs de Symantec ont découvert une nouvelle variante du malware W32.Duqu qui a été conçu pour échapper à certaines détections d'antivirus. C'est la première version modifiée de Duqu trouvée en 2012.

Le fichier analysé contient seulement une des composantes de la menace Duqu. Cependant le fichier du chargeur permet de charger le reste du malware lorsque l'ordinateur redémarre.

Après analyse du rapport, la date de compilation sur le nouveau composant est du 23 Février 2012 donc cette nouvelle version n'est pas restée très longtemps dans la nature.

Cette nouvelle variante est livrée avec un nouvelle algorithme de chiffrement pour chiffrer un autre composant sur le disque dur de la victime. Une autre différence notable est que cette variante a été signé avec un certificat valide alors que l'original en possédait un volé. A ce niveau là, il fait semblant d'être un pilote Microsoft Class.

Cette découverte nous indique clairement que les auteurs de Duqu poursuivent toujours leur opération.