Symantec publie les conclusions de l’analyse des serveurs C&C hébergeant le maliciel Flamer
septembre 2012 par Symantec
Dans le cadre d’une opération menée conjointement avec des industriels, deux des serveurs utilisés pour perpétrer des attaques à l’aide du maliciel W32.Flame ont été examinés sous toutes les coutures.
Symantec rend publics les résultats de cette analyse poussée dans un rapport, disponible dans son intégralité sur cette page : http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_flamer_newsforyou.pdf
Principales conclusions :
– Les auteurs du maliciel, qui sont au moins au nombre de 4, ont commencé à le développer en 2006.
– Le serveur a très vraisemblablement été un tremplin pour lancer d’autres attaques, pas uniquement celles exploitant le maliciel Flamer.
– Les pirates ont eu recours à différentes techniques de chiffrement et ont pris soin, de façon concertée, d’effacer leurs traces en supprimant périodiquement toutes les données stockées sur le serveur.
Autant d’éléments qui mettent en évidence le niveau élevé de connaissances du groupe à l’origine des attaques, ainsi que l’arsenal de ressources dont il dispose pour ses agissements. Il semblerait donc que le maliciel Flamer et les serveurs C&C que nous avons passés au crible proviennent d’un groupe qui compte sur un solide appui financier.