Especialistas em segurança divulgaram os resultados da investigação na infraestrutura usada pelo vírus Flame, programado para roubar dados de computadores, principalmente do Irã.
A pesquisa mostra que a criação do “Flame” começou em dezembro de 2006, que a praga pode ter capturado centenas de gigabytes de dados e que provavelmente há três outras pragas digitais “irmãs” do Flame e que ainda não foram descobertas pelos pesquisadores antivírus.
O estudo foi realizado em uma parceria de especialistas das fabricantes de antivírus Kaspersky e Symantec, do ITU-IMPACT – um time de resposta a ameaças digitais da União Internacional de Telecomunicações (UIT), da ONU – e do CERT-Bund, grupo de segurança ligado ao governo alemão.
Os provedores de hospedagem que abrigavam os servidores do Flame deram aos especialistas acessos aos dados, o que permitiu uma análise da infraestrutura. A pesquisa ainda mostrou novas ligações entre o Flame e o Stuxnet, vírus sofisticado que atacou usinas nucleares do Irã, e também com o Duqu, também programado para roubar informações.
Vírus ‘irmãos’
Os servidores de controle do Flame são capazes de lidar com quatro “clientes”, ou seja, vírus diferentes. Eles são identificados pelas letras SP, SPE, FL e IP. “FL” refere-se ao Flame. Não se tem conhecimento dos outros três e pode ser que eles nem existam.
Os pesquisadores determinaram durante a investigação que o vírus denominado “SPE” está ativo. Ele tentou se comunicar com os servidores de controle enquanto estes já estavam sendo operados pelos especialistas.
Entre os quatro, o “irmão mais novo” é o de nome “IP”.
Dezembro de 2006
Antes de ser descoberto, o vírus “Flame” estava ativo por pelo menos dois anos. Datas nos arquivos presentes no servidor indicam que o código de controle do Flame começou a ser desenvolvido em dezembro de 2006. É possível, portanto, que a praga digital tenha conseguido ficar ainda mais tempo despercebida do que se pensava.
Quatro programadores
Arquivos deixados nos servidores de controle indicam que quatro programadores colaboravam no desenvolvimento dos códigos. Os arquivos incluem os “nicknames” dos indivíduos, que não foram divulgados pelas empresas de segurança.
Sem maldade
O painel de controle do Flame não faz nenhuma referência aos termos normalmente associados com pragas digitais, como “bot”, “botnet”, “dados roubados” ou “infecção”, preferindo utilizar termos usados em contextos legítimos, como “clientes”, “backup” e “dados”. Os especialistas acreditam que isso foi uma escolha consciente dos desenvolvedores para que nenhuma ferramenta de segurança dos provedores detectasse algo suspeito.
Trabalho em progresso
O servidor de controle fazia referência a um protocolo de comunicação chamado “RedProtocol”, porém a função ainda não estava completa. Os especialistas entendem que a infraestrutura estava em contínuo desenvolvimento.
A última modificação nos arquivos ocorreu no dia 18 de maio, dez dias antes de a descoberta do Flame ser anunciada publicamente pela Kaspersky Lab.
Rotina de limpeza
Os servidores de controle do Flame tinham vários códigos que apagavam relatórios para esconder o histórico de operação. Os arquivos capturados pelo vírus eram baixados e apagados pelos autores da praga a cada 30 minutos, o que significa que não se sabe quanta informação foi roubada pelo Flame.
No entanto, quando os servidores foram tomados pelas empresas antivírus, os especialistas conseguiram determinar que 5.5 GB de dados compactados eram recebidos pelo servidor por semana. Nos pelo menos dois anos de operação, esses dados descompactados somariam centenas de gigabytes descompactados.
Os dados recebidos são criptografados com um esquema de chave pública e privada. Esse sistema requer muitos cálculos para ser quebrado, podendo levar anos. Na prática, por enquanto não há meio de ler os arquivos capturados.
Duqu e Stuxnet
A operação dos servidores do Duqu, Stuxnet e Flame tem características em comum. A limpeza de dados do servidor do Flame era feita com a ferramenta “shred”, que foi utilizada nos servidores do Duqu.
Os servidores do Flame usam o sistema Debian Linux, enquanto o Stuxnet e o Duqu usavam CentOS Linux. No entanto, os servidores do Flame eram configurados com uma ferramenta chamada Chkconfig, que é da Red Hat, e portanto, usada no CentOS Linux. Para os especialistas, isso indica que os operadores do servidor tinham mais familiaridade com sistemas baseados em Red Hat Linux, como o CentOS, do que Debian.
Fonte: http://g1.globo.com/tecnologia/