Tenminste acht Nederlandse organisaties zijn door het zeer geavanceerde Flame-virus geïnfecteerd geraakt. Dat blijkt uit onderzoek van Kaspersky Lab, Symantec, ITU-IMPACT en CERT-Bund/BSI. Het spionagevirus werd eind mei ontdekt en bleek al jaren actief te zijn. In eerste instantie werd aangenomen dat Flame uit 2008 stamde, maar uit nieuwe informatie blijkt dat de eerste bestanden waarschijnlijk eind 2006 zijn gemaakt.

Later werd ook duidelijk dat Flame en Stuxnet banden met elkaar hadden, wat volgens Kaspersky Lab een teken is dat Flame door een staat is ontwikkeld. Dat is mede gebaseerd op de manier waarop Flame zich via het LNK-lek verspreidde. Daarnaast infecteerde het ook computers via de Windows Update-functie. Een voor zover bekend nog nooit eerder vertoonde manier om computers over te nemen.

Image
Van één van de Command & Control servers waarmee de aanvallers de besmette machines aanstuurden, werd een image gemaakt. Die image leverde een schat aan informatie op. Zo zijn de nicknames van vier van de ontwikkelaars gevonden, alsmede interne timestamps. Daaruit concluderen de anti-virusbedrijven dat de eerste bestanden van deze Flame C&C-server op 3 december 2006 zijn gemaakt. Ook zijn sporen aangetroffen van drie nog niet ontdekte schadelijke programma's.

De C&C-servers draaiden op een 64-bit versie van Debian 6.0.x. In de meeste gevallen werd er gevirtualiseerd met OpenVZ. Verder werden PHP, Python en bash als programmeertalen gebruikt. De database draaide op MySQL met InnoDB tabellen en Apache 2.x werd als webserver gebruikt.

Aan de hand van de gemaakte code-aanpassingen stellen de onderzoekers vast dat vier mensen voor de ontwikkeling van deze C&C verantwoordelijk zijn. Daarbij zou de auteur met de nickname die begint met H de meest ervaren programmeur zijn. "Hij programmeerde een aantal slimme patches en implementeerde complexe logica; daarnaast lijkt hij een meester van encryptie algoritmen. We denken dat H waarschijnlijk de teamleider was", zo stellen de onderzoekers.

Op één van de servers waren de aanvallers vergeten om de HTTP logs te wissen, waardoor de onderzoekers konden zien uit welke landen de slachtoffers kwamen. De meeste infecties bevinden zich in Iran, gevolgd door Sudan. Er zijn echter ook infecties in Nederland gemeten, zo blijkt uit cijfers van Kaspersky Lab.

De servers waren in staat om gegevens te ontvangen van geïnfecteerde machines door gebruik te maken van vier verschillende protocollen; waarvan slechts één de door Flame aangevallen computers bediende.

"Het bestaan van drie aanvullende protocollen die niet door Flame werden gebruikt, bewijst dat ten minste drie andere Flame-gerelateerde kwaadaardige programma's werden gecreëerd. De aard hiervan is op dit moment nog onbekend", aldus Kasperksy Lab.

Eén van deze Flame-gerelateerde onbekende kwaadaardige programma's is momenteel nog actief. Er zijn tekenen dat het C&C-platform nog steeds in ontwikkeling is. Zo is er sprake van een communicatieschema met de naam "Red Protocol" dat nog niet is geïmplementeerd.

Inlogscherm
Wat de onderzoekers vooral verbaasde was het inlogscherm waarmee de aanvallers inlogden om de besmette machines aan te sturen. "Onze eerste indruk was dat het controlepaneel door scriptkiddies was gemaakt. Het zag eruit als een vroege versie van een C&C controlepaneel", aldus Kaspersky Lab. Waarschijnlijk hebben de aanvallers dit bewust gedaan om de ware aard van het project voor hostingproviders of willekeurige onderzoeken te verbergen.

Het is niet mogelijk om vanaf het C&C-paneel opdrachten naar besmette computers te sturen. Iets wat verschilt met traditionele botnets. Om een opdracht naar de besmette computer te sturen, werd er een speciaal gemaakt tar.gz archief geüpload, dat op de server werd verwerkt.

Volgens Symantec zijn de beheerders van de C&C-servers mogelijk een groep individuen met een lagere rang die op een 'need to know' basis opereren, aangezien de beheerder geen toegang heeft om de waarde of het doel van inkomende gegevens te bepalen. Alleen de aanvallers hebben de mogelijkheid om deze gegevens in te zien en analyseren.

"Deze scheiding van operationele zichtbaarheid en rollen geeft aan dat dit het werk van een zeer georganiseerde en geraffineerde groep is", aldus Symantec.

Update 17:05
De onderzoekers vonden op één van de servers ook de hash van het wachtwoord om op het controlepaneel in te loggen. Door de hash te vervangen konden ze met een eigen wachtwoord inloggen, maar de oorspronkelijke hash is nu ook gekraakt. Met het wachtwoord 900gage!@# logden de beheerders in.