Coders Behind the #Flame Malware Left Incriminating Clues on Control Servers | Wired
http://www.wired.com/threatlevel/2012/09/flame-coders-left-fingerprints
http://www.wired.com/images_blogs/threatlevel/2012/09/flame_c2_server_devs_timeline_nonames.png
Je préfère référencer l’article original, très bien écrit : ►http://seenthis.net/messages/88035
Et le tag #Stuxnet est là à tort. L’analyse montre que le contrôleur de #Flame ne travaille pas pour Stuxnet (mais pour Flame et trois autres botnets encore inconnus).
Après le désormais célèbre Stuxnet, le virus ou plutôt le ver qui avait été implanté dans les installations nucléaires iraniennes, notamment pour interférer et obtenir des informations sur le programme d’enrichissement nucléaire du pays qui faisait polémique en 2010, et après le moins connu DuQu, un dérivé de Stuxnet, c’est au tour de Flame aujourd’hui d’apparaître.
►http://neosting.net/actualite/flame-le-cyber-espionnage-a-la-sauce-gouvernementale.html
Et, sur l’analyse du contrôleur des machines infectées par Flame, ►http://seenthis.net/messages/88035
Le sujet du jour en #sécurité_informatique est le malware #Flame, un ensemble logiciel apparemment très complexe qui a infecté pas mal de machines Windows au Moyen-Orient (notez que, parmi les nombreux articles dans les médias consacrés à Flame, quasiment aucun n’ose dire que seule les machines Windows étaient vulnérables ; les avocats de Microsoft veillent).
Sa complexité (pas à la portée de Jean-Kevin dans son garage) et le fait que Flame ne semble pas essayer de voler de l’argent donnent à penser qu’il s’agit d’un outil d’espionnage conçu par un État puissant (comme son prédécesseur #DuQu, alors que #Stuxnet, lui, était offensif, il essayait de casser des machines).
L’analyse technique détaillée par Kaspersky :
http://www.securelist.com/en/blog?weblogid=208193522
Et une autre par le laboratoire CrySyS (Wiper est l’autre nom de Flame), bien plus détaillée :
http://www.crysys.hu/skywiper/skywiper.pdf
Une analyse critique de ces analyses :
http://www.circleid.com/posts/20120522_a_closer_look_at_the_flame_flamer_skywiper_malware
L’article du CERT iranien :
http://www.certcc.ir/index.php?name=news&file=article&sid=1894
Bon article de synthèse de Wired, si vous voulez donner quelque chose de correct à lire à des non-experts :
http://www.wired.com/threatlevel/2012/05/flame
Un article en français très trollant (pas tort sur le fond mais insupportable d’arrogance) :
Bien, je n’ai peut-être qu’un blog perso, mais j’ai rajouté lors de la création de mon article cette accusation sur Windows (on verra bien si j’ai une missive d’un avocat ^^), en me demandant même, si une telle attaque pouvait être possible avec un bon linux. Linux n’est pas invulnérable mais rendrait la tâche plus difficile. ►http://neosting.net/actualite/flame-le-cyber-espionnage-a-la-sauce-gouvernementale.html
Powerful ’Flame’ cyber weapon found in Iran
http://in.reuters.com/article/2012/05/28/cyberwar-flame-idINDEE84R0B120120528
Evidence suggest that the virus, dubbed #Flame, may have been built on behalf of the same nation or nations that commissioned the Stuxnet worm that attacked Iran’s nuclear program in 2010, according to Kaspersky Lab, the Russian cyber security software maker that claimed responsibility for discovering the virus.
Kaspersky researchers said on Monday they have yet to determine whether Flame had a specific mission like Stuxnet, and declined to say who they think built it.
Iran has accused the United States and Israel of deploying #Stuxnet.
New computer virus hits Iran, West Bank in unprecedented cyberattack - Haaretz
http://www.haaretz.com/news/diplomacy-defense/new-computer-virus-hits-iran-west-bank-in-unprecedented-cyberattack-1.43300
According to [Symantec], the worm had been operating discreetly for at least two years and was likely written by “an organized, well-funded group of people working to a clear set of directives.”