資安公司卡巴斯基與賽門鐵克針對Flame木馬進行深入的研究發現,其背後的開發者可能還另有三隻惡意程式未被發現。另外根據Flame木馬的控制伺服器記錄,該木馬可能自2006就已開發,受害的電腦數量可能上萬,非僅先前發現的數百部。
卡巴斯基五月底發現Flame木馬之後,協同聯合國國際電信聯盟(ITU)的資安團隊IMPACT、德國聯邦資訊安全局(BSI)安全與電腦緊急反應小組(CERT –Bund)及資安公司賽門鐵克,共同研究該木馬的細節。
在分析一台位於歐盟某資料中心的木馬控制伺服器時,發現該伺服器採標準的LAMP(Linux作業系統、Apache網頁伺服器、MySQL資料庫及PHP腳本語言)架構。但該伺服器的檔案系統使用OpenVZ,不能查看駭客刪除了哪些檔案,並使用自製軟體抹除記錄,因此在分析上增加不少困難。不過幸好駭客所製作的滅跡軟體並分完美,例如因為拼錯字而讓滅跡軟體無法找到該刪除的檔案,因此研究人員可以找到不少資訊。
經過分析之後,卡巴斯基認為Flame木馬客戶端所使用的通訊協定有四種,目前只辨識出Flame木馬所使用的FL協定,其他三種未知的協定IP、SPE、SP可能代表另外三種木馬。他們也發現,Flame木馬還在發展當中,因為這四種協定對應到伺服器端的三個通訊模組,但伺服器中還有一個新的通訊模組還未被用到。
最令分析人員意外的是,這些駭客在程式中留有署名及時間戳記,研究人員總共找出有四個駭客,並按照其程式設計的分工判斷每個人的職責。而藉由時間戳記,分析人員認為Flame木馬早從2006年就開始研發,遠早於先前資安公司的估算。
另外,由於駭客沒有刪除連線記錄,資安公司得以分析哪些IP與該伺服器連線過,進而得知伊朗有3702台電腦受感染。專家估計,Flame木馬的受害者應該有一萬以上,遠超過剛發現時已知的382台。
先前有媒體報導,Flame等多種中東地區的木馬是由美國與以色列聯手開發,這幾種木馬各自有專精的領域。研究單位也發現Flame與Stuxnet兩種木馬之間有直接關連。(編譯/沈經)
熱門新聞
2025-03-10
2025-03-07
2025-03-07
2025-03-07
