Au cours de l’enquête menée par Kaspersky Lab en partenariat avec l’alliance IMPACT de l’Union internationale des télécommunications (UIT), CERT-Bund/BSI et Symantec, un certain nombre de serveurs de commande et de contrôle (C&C) utilisés par les créateurs de Flame ont été analysés dans le détail. Cette analyse a révélé de nouveaux faits inédits au sujet de ce malware. En particulier, les traces de trois programmes malveillants encore non détectés jusque-là ont été relevées. Il apparaît en outre que le développement de la plate-forme Flame remonte à 2006.

Principaux résultats :

- Le développement de la plate-forme C&C de Flame a commencé dès le mois de décembre 2006.

- Les serveurs C&C ont été travestis de façon à ressembler à un banal système de gestion de contenu (CMS) et dissimuler ainsi la véritable nature du projet aux hébergeurs ou aux enquêtes aléatoires.

- Ces serveurs étaient en mesure de recevoir des données provenant des machines infectées via quatre protocoles différents, dont un seul a été employé pour communiquer avec les ordinateurs attaqués par Flame.

- L’existence de trois protocoles supplémentaires non utilisés par Flame apporte la preuve qu’au moins trois autres programmes malveillants liés à Flame ont été créés, leur nature étant pour l’instant indéterminée.

- L’un de ces objets malveillants inconnus en rapport avec Flame est actuellement en circulation.

- Des signes indiquent que la plate-forme C&C est toujours en cours de développement : ainsi un dispositif de communication nommé « Red Protocol » est mentionné mais pas encore mis en œuvre.

- Il n’existe aucune indication que les serveurs C&C de Flame aient été utilisés pour piloter d’autres malwares connus tels que Stuxnet ou Gauss.

La campagne de cyberespionnage Flame a été initialement découverte en mai 2012 par Kaspersky Lab lors d’une enquête déclenchée à l’initiative de l’Union internationale des télécommunications. La complexité du code et les liens confirmés avec les développeurs de Stuxnet sont autant d’indices que Flame est un autre exemple de cyberarme sophistiquée commanditée par un Etat. Au départ, la date des premières manifestations de Flame avait été estimée à 2010 mais la première analyse de son infrastructure C&C (couvrant au moins 80 noms de domaines connus) a permis de ramener cette date deux ans en arrière.

Les résultats de cette dernière enquête s’appuient sur l’analyse du contenu qui a pu être récupéré sur plusieurs serveurs C&C utilisés par Flame, en dépit du fait que l’infrastructure de commande du malware ait été déconnectée aussitôt après la révélation de son existence par Kaspersky Lab. Tous les serveurs fonctionnaient sous la version 64 bits du système d’exploitation Debian, virtualisée au moyen de conteneurs OpenVZ. Le code des serveurs est en majeure partie écrit en langage de programmation PHP. Les créateurs de Flame ont pris certaines précautions pour donner à chaque serveur l’apparence d’un simple système de gestion de contenu de manière à éviter d’attirer l’attention de l’hébergeur.

Des méthodes complexes de cryptage ont été employées de sorte que personne, hormis les auteurs de l’attaque, ne puisse obtenir les informations téléchargées à partir des machines infectées. L’analyse des scripts de gestion des échanges de données avec les victimes fait apparaître quatre protocoles de communication, dont un seul est compatible avec Flame. Cela signifie qu’au moins trois autres types de malware ont utilisé ces serveurs C&C. Il existe suffisamment d’indices pour démontrer qu’au minimum un programme malveillant lié à Flame est en circulation. Ces malwares inconnus n’ont pas encore été découverts.

Autre enseignement majeur de l’analyse : le développement de la plate-forme C&C Flame a débuté dès le moins de décembre 2006. Il existe des indications que ce développement se poursuit, dans la mesure où un nouveau protocole (« Red Protocol »), encore inutilisé, a été détecté sur les serveurs. La dernière modification du code des serveurs a été effectuée le 18 mai 2012 par l’un des programmeurs.

« Estimer le volume des informations dérobées par Flame, même après analyse de ses serveurs C&C n’a pas été simple. Les créateurs de Flame savent très bien masquer leurs traces. Toutefois, ils ont commis une erreur qui nous a permis de découvrir sur un serveur davantage de données que celui-ci était censé en conserver. Nous avons ainsi pu observer qu’au moins cinq gigaoctets de données ont été téléchargés chaque semaine vers ce serveur en particulier, à partir de plus de 5000 machines infectées. Il s’agit sans aucun doute d’un exemple de cyberespionnage mené sur une échelle massive », commente Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab.

Une analyse détaillée du contenu des serveurs C&C de Flame est publiée sur le site le Securelist.com, à l’adresse à préciser.