Komplette Analyse von Flames Command & Control Server: Kaspersky in Zusammenarbeit mit Symantec, ITU-IMPACT und CERT-Bund/BSI
Also das ist ein unglaubliches Stück Arbeit, was Kaspersky, Symantec, ITU-IMPACT und CERT-Bund/BSI da veröffentlicht haben. Im Prinzip haben die das Botnet komplett in die Einzelteile zerlegt und eine wirklich genaue Analyse zur Verfügung gestellt. Wer der englischen Sprache mächtig ist – unbedingt lesen!
Interessant ist, dass Flame so fortgeschritten ist, dass nach Kasperkys Meinung nur die Top-Kryptographen dieser Erde dieses Stück Malware auf den Weg gebracht haben können. Es gebe klare Hinweise, dass man Kontakt zum Stuxnet-Team gehabt habe. Dies sei ein weiterer Hinweis, dass da nicht nur ein paar Script-Kiddies am Werk waren, sondern das Projekt Unterstützung von einer Regierung hatte.
Was ich ganz witzig finde ist, dass die Bösewichte ihre Server komplett mit Open-Source betreiben:
- Betriebssystem: 64-bit Debian 6.0.x
- Virtualisierung: meist OpenVZ
- Verwendete programmiersprachen: PHP (Großteil des Codes), Python, Bash
- Datenbanken: MySQL mit InnoDB-Tabellen
- Web-Server: Apache 2.x mit eigenen Zertifikaten
Was lernen wir daraus? Open-Source hilft, dass Top-Sicherheitsfirmen zusammenarbeiten … 🙂