研究人員已經破解了保護一台控制Flame間諜僵屍網絡的服務器的口令,從而使研究人員能夠進入這個惡意軟件的控制台以便更多地了解這個僵屍網絡的工作原理和幕後人員。Flame惡意軟件在中東地區感染了數千台計算機。某機構在9月17日破解了這個口令的散列碼。
這個散列碼是27934e96d90d06818674b98bec7230fa。用純文本破解的口令是900gage!@#。
同時,研究人員稱,Flame惡意軟件至少在2006年就開始開發了,比這個惡意軟件的完成時間早4年,遠遠早於今年3月18日最初部署的第一台Flame指揮與控制服務器。
到今年5月,Flame惡意軟件被發現。伊朗和其它中東國家的被感染的計算機的用戶清除了這個惡意軟件。這個惡意軟件在5月份執行了一個自殺指令把自己從被感染的計算機中清除了。
這台指揮與控制服務器還例行性地刪除了它的記錄文件,成功地消除了這次攻擊幕後指揮者的證據。報告稱,考慮到這個記錄被關閉並且數據被完全刪除,剩余的線索也許不可能確定這次攻擊幕後的團體是誰。
這篇報告的結論稱,盡管Flame惡意軟件在今年早些時候已經被消除,但是,仍然存在更多的沒有發現的這種惡意軟件的變體。這個證據是指揮與控制模塊利用4個協議與被攻破的客戶機通訊,其中3個協議正在使用。3個支持的協議的存在以及1個協議正在開發之中表明這個指揮與控制服務器要求與多個W32.Flamer惡意軟件的變體或者其它的網絡間諜惡意軟件進行通訊。這些惡意軟件目前是大眾所不知道的。
報告稱,一個高級的支持團隊運行這個間諜網絡,從被感染計算機中收集數據並且把數據傳送到指揮服務器。這個團隊有三個獨特的角色:服務器管理員、向被感染的機器發送數據和接收數據的操作員、計劃攻擊和收集被竊數據的協調員。
這篇報告的作者做出結論稱,這種運營與攻擊者可見性和角色的分離表明,這是一個組織嚴密的和高級的團伙所做的工作。
這些服務器收集加密的數據,然後把這些數據發送到線下進行解密。每一台被感染的計算機都有自己的密鑰。