NEWS

Kaspersky ค้นพบโปรแกรมไม่พึงประสงค์ที่เชื่อมโยงกับเฟลม

แก็ดเจ็ต (Gadget) | วันที่ : 27 กันยายน 2555

ปรับขนาดตัวอักษร - ก +ก

แชร์

แคสเปอร์สกี้ แลป ประกาศการค้นพบความเชื่อมโยงใหม่ของ “เฟลม” มัลแวร์ตัวร้ายอาวุธจารกรรมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลบางประเทศ ระหว่างการศึกษาวิจัยร่วมกับสหภาพโทรคมนาคมระหว่างประเทศ (International Telecommunication Union หรือไอทียู) โดยพบว่ามีโปรแกรมไม่พึงประสงค์ถึง 3 ตัวที่ใช้แพลตฟอร์มเดียวกันกับเฟลม

ข้อเท็จจริงสำคัญที่แคสเปอร์สกี้ แลป ค้นพบ:

การพัฒนาเซิร์ฟเวอร์ C&C ของเฟลม เริ่มครั้งแรกเมื่อธันวาคม 2006
เซิร์ฟเวอร์ C&C ของเฟลมแฝงตัวมาในรูปของ Content Management System เพื่อหลบการตรวจจับแบบสุ่มของผู้ให้บริการโฮสติ้ง
เซิร์ฟเวอร์จะรับข้อมูลจากเครื่องคอมพิวเตอร์ที่ติดไวรัสโดยใช้โปรโตคอล 4 ชนิด หนึ่งในนั้นจะทำหน้าที่โจมตีคอมพิวเตอร์ด้วยเฟลม
แม้จะยังไม่ทราบหน้าที่แท้จริงของโปรโตคอล 3 ชนิดที่เหลือ แต่ก็เป็นการยืนยันว่าเป็นโปรแกรมไม่พึงประสงค์ที่เกี่ยวข้องกับเฟลมจริง
หนึ่งในโปรแกรมไม่พึงประสงค์นี้กำลังปฏิบัติการอย่างเงียบๆ
แพลตฟอร์มของ C&C ยังอยู่ในขั้นตอนการพัฒนา มีการอ้างถึง “Red Protocol” แต่ยังไม่เปิดใช้งาน
ไม่พบการนำ C&C ของเฟลมไปใช้ควบคุมมัลแวร์ตัวอื่นๆ อย่างสตักซ์เน็ต หรือ กอส

“เฟลม” มัลแวร์ตัวร้ายอาวุธจารกรรมไซเบอร์ถูกค้นพบโดยแคสเปอร์สกี้ แลป เมื่อเดือนพฤษภาคม 2012 ระหว่างโครงการตรวจสอบที่ร่วมกับไอทียู จากการค้นพบนี้ ITU-IMPACT ได้แจ้งเตือนประเทศสมาชิกกว่า 144 ประเทศ และแนะนำขั้นตอนการกำจักมัลแวร์ตัวนี้ ผู้เชี่ยวชาญค้นพบความซับซ้อนที่เชื่อมโยงไปยังผู้เขียนสตักซ์เน็ต และเป็นมัลแวร์ที่มีรัฐบาลบางประเทศหนุนหลัง เฟลมเริ่มปฏิบัติการครั้งแรกเมื่อปี 2010 แต่กว่าจะค้นพบโครงสร้างของ C&C ที่กระจายไปทั่วกว่า 80 โดเมนเนม ก็ปี 2012 แล้ว

หลังจากที่แคสเปอร์สกี้ แลป ค้นพบเฟลม โครงสร้างการควบคุมการทำงานของเฟลมก็ปิดตัวลงทันที เซิร์ฟเวอร์ทุกตัวเปลี่ยนไปทำงานในระบบ 64-บิตของระบบปฏบัติการดีเบียน โค้ดของเฟลมเขียนด้วยภาษา PHP และหลบเลี่ยงการตรวจจับด้วยการพรางตัวเป็น Content Management System

ด้วยลักษณะการเอ็นคริปชั่นของเฟลม ผู้เชี่ยวชาญค้นพบว่า เฉพาะผู้เขียนเฟลมเท่านั้นที่ได้รับข้อมูลจากเครื่องคอมพิวเตอร์ที่ติดเชื้อผ่านโปรโตคอล 4 ชนิด แต่มีเพียงโปรโตคอลเดียวที่เป็นตัวแพร่กระจายเฟลม นั่นหมายความว่า อีก 3 โปรโตคอลที่เหลือต่างก็ใช้เซิร์ฟเวอร์ C&C เดียวกันนี้เพื่อจุดประสงค์อื่นที่ยังไม่แน่ชัด

อเล็กซานเดอร์ กอสเตฟ ประธานคณะผู้เชี่ยวชาญด้านความปลอดภัยของแคสเปอร์สกี้ แลป กล่าวถึงเฟลมว่า “แม้ว่จะค้นพบเซิร์ฟเวอร์ C&C ของเฟลมแล้วก็ตาม ทีมผู้เชี่ยวชาญยังคงประสบปัญหาการประมาณการข้อมูลที่ถูกโจรกรรม แต่ความผิดพลาดแต่ละครั้งของผู้โจมตีก็ทำให้เราค้นพบข้อมูลเพิ่มขึ้นเรื่อยๆ ปัจจุบันเราค้นพบข้อมูลกว่า 5 กิกกะไบต์ที่ถูกอัพโหลดเข้าเซิร์ฟเวอร์นี้ใน 1 สัปดาห์ จากคอมพิวเตอร์กว่า 5000 เครื่อง ซึ่งนับว่าเป็นตัวอย่างของการโจรกรรมในโลกไซเบอร์ขนาดใหญ่ทีเดียว”

ค้นคว้าข้อมูลเพิ่มเติมเกี่ยวกับเฟลมได้ที่ https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers