Para peneliti di Kaspersky telah berhasil mengetahui password ke "server" yang mengontrol botnet Flame, hingga memberikan para peneliti akses ke control panel malware tersebut yang dapat mempelajari lebih jauh tentang bagaimana jaringan Flame itu berfungsi dan mungkin mengungkap dalang dibalik itu semua.
Kaspersky Analis 'Dmitry Bestuzhev' mencrack hash password pada 17 September lalu,hanya berselang beberapa jam setelah Symantec mengeluarkan permintaan untuk masuk ke panel kontrol Flame, yang menginfeksi ribuan komputer di Timur Tengah.
Hash - 27934e96d90d06818674b98bec7230fa - itu didecrypt menjadi password teks biasa 900gage!
@# oleh Bestuzhev.
Symantec mengatakan pernah mencoba untuk memecahkan hash itu dengan serangan brute force tapi gagal. flame telah diteliti bersama oleh Symantec, ITU-IMPACT dan CERT-Bund/BSI.
Sementara itu, peneliti di Symantec melaporkan bahwa FLAME sedang dikembangkan setidaknya selama tahun 2006, empat tahun sebelum tanggal kompilasi Flamer-nya di 2010.
Pada bulan Mei 2012, Flame telah ditemukan oleh pemilik komputer yang terinfeksi di Iran dan di negara-negara Timur Tengah lainnya. Malware itu juga mendapat command 'bunuh diri" pada bulan Mei untuk membersihkan dirinya dari komputer yang terinfeksi.
Server command and controlnya juga rutin menyapu log file, yang mampu melenyapkan bukti yang mungkin berada di balik serangan. "Mengingat logging yang telah didisable dan datanya telah dibersihkan sedemikian rupa, maka petunjuk yang tersisa membuat hampir tidak mungkin untuk mengungkap entitas dibalik serangan ini," Symantec melaporkan.
Meskipun flame telah dinetralkan tahun ini, varian yang belum di temukan mungkin masih ada, laporan tersebut menyimpulkan. Bukti untuk kesimpulan ini adalah bahwa modul command dan control flame dapat mempekerjakan 4 protokol untuk berkomunikasi dengan klien yang telah ditaklukkan, 3 di antaranya sedang digunakan.
Sebuah tim "canggih" berperan dalam jaringan mata-mata ini yang mengumpulkan data dari komputer yang terinfeksi lalu menguploadnya ke server command, Symantec melaporkan. Tim ini memiliki tiga peran yang berbeda - beda .Admin server, Operator yang mengirim dan menerima data dari komputer klien yang terinfeksi dan Koordinator yang merencanakan serangan dan mengumpulkan data-data yang telah dicuri. "Pemisahan visibilitas operasional dan penyerang serta peran menunjukkan bahwa ini adalah karya dari kelompok yang sangat terorganisir dan canggih," para penulis menyimpulkan laporan.
Server Flame mengumpulkan data yang dienkripsi kemudian diserahkan bersama untuk didekripsi secara offline. Setiap mesin yang terinfeksi memiliki kunci enkripsinya sendiri.
Pencapaian Flame ini juga berkat aplikasi Web serbaguna yang disebut "Newsforyou" yang didukung oleh database MySQL yang bisa digunakan sebagai komponen untuk serangan lainnya.
Para peneliti juga menemukan satu set perintah server yang bisa mengeksekusi termasuk salah satunya yaitu menghapus file log dalam upaya untuk meminimalkan bukti forensik,juga menghapus file data yang dicuri untuk menjaga kapasitas ruang disk.
"Aplikasi Newsforyou ditulis dalam PHP dan berisi fungsi perintah-dan-kontrol utamanya terbagi menjadi dua bagian," kata laporan itu, "modul utama dan panel kontrol." Modul utama meliputi pengiriman paket enkripsi untuk klien yang terinfeksi, meng-upload data dari klien, dan pengarsipan ketika unloading file.
Aplikasi ini menyerupai aplikasi berita atau blog, mungkin dalam upaya untuk menghindari deteksi melalui pemeriksaan otomatis atau kausal, kata para peneliti.
Source code PHP untuk Newsforyou (termasuk notes) yang mengidentifikasi empat penulisnya - D ***,H*****, O ****** dan R *** . D *** dan H ***** mengedit file dan menjadi pihak yang paling banyak berperan. "O****** dan R *** ditugaskan mengurus database dan operasi pembersihan," kata laporan itu. Kemungkinan D *** dan O ****** adalah saling kenal, karena keduanya bekerja pada file yang sama dan dalam periode waktu yang sama pada bulan Desember 2006."
Newsforyou bekerja pada enkripsi public key dan symmetric key tergantung pada jenis data yang ingin dienkripsi. Berkas berita yang ditujukan untuk klien dienkripsi dengan symmetric sedangkan data yang dicuri dienkripsi menggunakan public/private key.
Meskipun Flame baru terkenal pada bulan Mei ini,dari bukti yang tertinggal di server command and control menunjukkan praktek mematai-mata secara keseluruhan itu masih hidup. "Ada sedikit kekhawatiran, bahwa proyek besar yang melibatkan alat cyber-spionase, seperti Flamer, akan terus berkembang dan mengambil informasi dari target yang telah ditentukan," kata laporan itu.