พบแล้วเซิร์ฟเวอร์C&Cเบื้องหลังวายร้ายมัลแวร์เฟลม

ข้อเท็จจริงสำคัญที่แคสเปอร์สกี้ แลป ค้นพบ:

- การพัฒนาเซิร์ฟเวอร์ C&C ของเฟลม เริ่มครั้งแรกเมื่อธันวาคม 2006

- เซิร์ฟเวอร์ C&C ของเฟลมแฝงตัวมาในรูปของ Content Management System เพื่อหลบการตรวจจับแบบสุ่มของผู้ให้บริการโฮสติ้ง

- เซิร์ฟเวอร์จะรับข้อมูลจากเครื่องคอมพิวเตอร์ที่ติดไวรัสโดยใช้โปรโตคอล 4 ชนิด หนึ่งในนั้นจะทำหน้าที่โจมตีคอมพิวเตอร์ด้วยเฟลม

- แม้จะยังไม่ทราบหน้าที่แท้จริงของโปรโตคอล 3 ชนิดที่เหลือ แต่ก็เป็นการยืนยันว่าเป็นโปรแกรมไม่พึงประสงค์ที่เกี่ยวข้องกับเฟลมจริง

- หนึ่งในโปรแกรมไม่พึงประสงค์นี้กำลังปฏิบัติการอย่างเงียบๆ

- แพลตฟอร์มของ C&C ยังอยู่ในขั้นตอนการพัฒนา มีการอ้างถึง “Red Protocol” แต่ยังไม่เปิดใช้งาน

- ไม่พบการนำ C&C ของเฟลมไปใช้ควบคุมมัลแวร์ตัวอื่นๆ อย่างสตักซ์เน็ต หรือ กอส

“เฟลม” มัลแวร์ตัวร้ายอาวุธจารกรรมไซเบอร์ถูกค้นพบโดยแคสเปอร์สกี้ แลป เมื่อเดือนพฤษภาคม 2012 ระหว่างโครงการตรวจสอบที่ร่วมกับไอทียู จากการค้นพบนี้ ITU-IMPACT ได้แจ้งเตือนประเทศสมาชิกกว่า 144 ประเทศ และแนะนำขั้นตอนการกำจักมัลแวร์ตัวนี้ ผู้เชี่ยวชาญค้นพบความซับซ้อนที่เชื่อมโยงไปยังผู้เขียนสตักซ์เน็ต และเป็นมัลแวร์ที่มีรัฐบาลบางประเทศหนุนหลัง เฟลมเริ่มปฏิบัติการครั้งแรกเมื่อปี 2010 แต่กว่าจะค้นพบโครงสร้างของ C&C ที่กระจายไปทั่วกว่า 80 โดเมนเนม ก็ปี 2012 แล้ว

หลังจากที่แคสเปอร์สกี้ แลป ค้นพบเฟลม โครงสร้างการควบคุมการทำงานของเฟลมก็ปิดตัวลงทันที เซิร์ฟเวอร์ทุกตัวเปลี่ยนไปทำงานในระบบ 64-บิตของระบบปฏบัติการดีเบียน โค้ดของเฟลมเขียนด้วยภาษา PHP และหลบเลี่ยงการตรวจจับด้วยการพรางตัวเป็น Content Management System

ด้วยลักษณะการเอ็นคริปชั่นของเฟลม ผู้เชี่ยวชาญค้นพบว่า เฉพาะผู้เขียนเฟลมเท่านั้นที่ได้รับข้อมูลจากเครื่องคอมพิวเตอร์ที่ติดเชื้อผ่านโปรโตคอล 4 ชนิด แต่มีเพียงโปรโตคอลเดียวที่เป็นตัวแพร่กระจายเฟลม นั่นหมายความว่า อีก 3 โปรโตคอลที่เหลือต่างก็ใช้เซิร์ฟเวอร์ C&C เดียวกันนี้เพื่อจุดประสงค์อื่นที่ยังไม่แน่ชัด

อเล็กซานเดอร์ กอสเตฟ ประธานคณะผู้เชี่ยวชาญด้านความปลอดภัยของแคสเปอร์สกี้ แลป กล่าวถึงเฟลมว่า “แม้ว่จะค้นพบเซิร์ฟเวอร์ C&C ของเฟลมแล้วก็ตาม ทีมผู้เชี่ยวชาญยังคงประสบปัญหาการประมาณการข้อมูลที่ถูกโจรกรรม แต่ความผิดพลาดแต่ละครั้งของผู้โจมตีก็ทำให้เราค้นพบข้อมูลเพิ่มขึ้นเรื่อยๆ ปัจจุบันเราค้นพบข้อมูลกว่า 5 กิกกะไบต์ที่ถูกอัพโหลดเข้าเซิร์ฟเวอร์นี้ใน 1 สัปดาห์ จากคอมพิวเตอร์กว่า 5000 เครื่อง ซึ่งนับว่าเป็นตัวอย่างของการโจรกรรมในโลกไซเบอร์ขนาดใหญ่ทีเดียว”

ค้นคว้าข้อมูลเพิ่มเติมเกี่ยวกับเฟลมได้ที่

https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลป บริษัทเอกชนผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ติดอันดับหนึ่งในสี่ผู้ให้บริการโซลูชั่นเพื่อการปกป้องผู้ใช้คอมพิวเตอร์ที่ใหญ่ที่สุดในโลกจากการสำรวจของศูนย์วิจัย IDC* ตลอดระยะเวลาสิบห้าปีที่ผ่านมา แคสเปอร์สกี้ แลป ยังคงความเป็นผู้นำนวัตกรรมความปลอดภัยด้านไอที และผู้ให้บริการโซลูชั่นเพื่อการปกป้องข้อมูลดิจิตอลที่มีประสิทธิภาพสำหรับผู้ใช้คอมพิวเตอร์ทั่วไป องค์กรขนาดเล็กและขนาดกลาง รวมถึงองค์กรขนาดใหญ่ ปัจจุบัน แคสเปอร์สกี้ แลป ปกป้องผู้ใช้กว่า 300 ล้านคน กว่า 200 ประเทศทั่วโลก รายละเอียดเพิ่มเติมเกี่ยวกับแคสเปอร์สกี้ แลป โปรดเยี่ยมชมเว็บไซต์ www.kaspersky.com

*แคสเปอร์สกี้ แลป ได้รับการจัดอันดับที่ 4 จากการสำรวจผู้ให้บริการโซลูชั่นเพื่อการปกป้องผู้ใช้คอมพิวเตอร์ทั่วโลกเมื่อปี 2010 โดยศูนย์วิจัย IDC รายงานผลการจัดอันดับนี้ได้รับการตีพิมพ์ใน “Worldwide IT Security Products 2011-2015 Forecast and 2010 Vendor Shares” เดือนธันวาคม 2011 รายงานนี้จัดอันดับบริษัทซอฟต์แวร์โดยวัดรายได้จากการขายโซลูชั่นเพื่อความปลอดภัยสำหรับผู้ใช้ในปี 2010