Flame : mot de passe du serveur de contrôle cracké

Flame, ou encore Flamer, skyWIper est un ver informatique qui a infecté des milliers d’ordinateurs pour des fins de cyber-espionnage.

Des chercheurs ont cracké le mot de passe protégeant un serveur qui contrôlait le botnet d’espionage Flame ; Ce qui leur a donné accès au panneau de contrôle du logiciel malicieux pour apprendre plus sur le fonctionnement du réseau, et qui serait derrière.

Dmitry Bestuzhev, un analyste chez Kaspersky, a cracké le hash du mot de passe le 17 septembre quelques heures après que Symantec avait publiée une requête d’aide pour atteindre le panneau de contrôle de Flame, qui a infecté des milliers d’ordinateurs au Moyen-Orient.

Le hash – 27934e96d90d06818674b98bec7230fa – a été résolu au mot de passe en plein texte 900gage!@# par Bestuzhev.

Symantec a affirmé avoir essayé de casser le hash avec des attaques forcées mais a échoué. En effet, Flame fut enquêté par les efforts joints de Symantec, ITU-IMPACT et CERT-Bund/BSI.

En attendant, les chercheurs à Symantec signalent que Flame fut développé au moins en 2006, 4 ans avant sa compilation en 2010, et bien avant son implémentation officielle (la première commande Flame et le contrôle serveur) le 18 mars de cette année.

En mai, Flame a été découvert et les propriétaires des ordinateurs infectés en Iran et dans d’autres pays du Moyen-Orient se sont mis au nettoyage de leurs machines. Le logiciel malicieux a exécuté lui-même une commande suicide en mai pour se purger des ordinateurs infectés.

Les chercheurs ont également découvert une série de commandes que le serveur pourrait exécuter y compris une qui nettoie les fichiers de connexion. Elle permet en plus d’effacer des fichiers de données volées afin de garder un espace de disque libre.