Flame-domein in Amsterdam geregistreerd

De nog onbekende makers van het Flame-virus hebben meer dan 80 valse domeinen gebruikt om de malware mee te besturen. Onderzoekers van Kaspersky presenteerden vanmiddag dit opvallende feit.

Voor spionage met malware zijn command & control-servers nodig. Deze c&c-servers sturen de geïnfecteerde computers opdrachten. Daarnaast fungeren de servers als ontvangstpunten voor gestolen data. Flame verstuurt onderschepte gegevens naar de servers waar ze door de opdrachtgevers verzameld kunnen worden. Onderzoekers van Kaspersky Lab hebben geprobeerd te achterhalen wie er achter de c&c-servers van Flame zit. In een blogpost op Securelist doet het bedrijf de resultaten uit de doeken.

Er blijken meer dan 80 domeinen geregistreerd te zijn om Flame mee aan te sturen en gegevens te ontvangen. Waar andere malware vaak geen eigen domeinen registreert, maar op gehackte servers van anderen draait, zijn voor malware echt eigen domeinen geregistreerd. De gegevens achter die domeinregistraties blijken in alle gevallen vals te zijn. Zo is een van de domeinen geregistreerd op de Koninginneweg 93, een Amsterdamse straatnaam. Opvallend genoeg vermeldt het registratieformulier Oslo als woonplaats, hoewel die straat daar niet bestaat. Andere domeinen zijn op gelijksoortige manieren geregistreerd, opvallend vaak op adressen van hotels.

Hoewel Kaspersky veel inzicht biedt in de domeinregistraties en de techniek achter de c&c-servers, is nog steeds niets te zeggen over de opdrachtgevers achter Flame. De malware richtte zich voornamelijk op het Midden-Oosten, wat inmenging van Amerika en Israël suggereert (à la Stuxnet), maar de valse domeinregistraties brengen de oplossing geen stap dichterbij.

Deel dit artikel
Voeg toe aan favorieten