Kaspersky Lab je naznanil rezultate nove raziskave povezane z odkritjem zapletene kampanje programa Flame povezane s spletnim vohunjenjem, ki je financiran s pomočjo državne podpore. Med raziskavo, pod vodstvom Kaspersky Laba in v sodelovanju z izvršilnim delom Mednarodnega komunikacijskega združenja (ITU) – IMPACT za spletne varnosti, organizacijo CERT-Bund/BSIjem in Symantecom, je bila opravljena podrobna analiza ukaznih in nadzornih strežnikov, ki jih uporabljajo ustvarjalci programa Flame. Analiza je pokazala nova revolucionarna dejstva o programu Flame. Dokazane so bile sledi treh še neodkritih zlonamernih programov, poleg tega pa so ugotovili, razvoj osnove programa Flame sega v leto 2006.

Glavna odkritja:
- Razvoj ukaznega in nadzornega strežnika (Command and Control – C&C) programa Flame se je začel že decembra 2006.
- C&C so bili prikriti in so izgledali kot navadni sistemi za upravljanje vsebin. Tako so lahko pred ponudniki gostovanja ali pred raziskovalci skrili pravi namen projekta.
- Strežniki so bili zmožni prejemati podatke od okuženih naprav na podlagi štirih različnih protokolov. Samo eden izmed teh je vzdrževal računalnike napadene s programom Flame.
- Obstoj treh dodatnih protokolov, ki jih program Flame ni uporabljal, dokazuje, da so bili ustvarjeni najmanj trije drugi zlonamerni programi povezani s programom Flame. Njihov značaj je trenutno neznan.
- Eden izmed teh neznanih programov, s Flamom povezanih programov, trenutno operira nekje na prostosti.
- Obstajajo znaki, da je bil del C&C še vedno v razvoju, saj je bila ena komunikacijska shema »Red protocol«, omenjena ampak ni bila izvedena.
- Ni znano ali sta bila C&C programa Flame uporabljena za nadzor drugih zlonamernih programov kot so Stuxnet ali Gauss.

Kampanjo programa Flame o spletnem vohunjenju so v Kaspersky Labu odkrili maja 2012 skupaj ITU. Glede na odkritja iz raziskave so v ITU-IMPACT hitro odzvali in 144 državam članicam izdali opozorilo. Prav tako pa tudi navodila za ustrezno obnovitev sistema ter postopke čiščenja sistemov. Kompleksnost šifre in razvijalcev Stuxneta kaže na dejstvo, da je program Flame še en primer visoko razvitega spletnega projekta, ki je financiran s strani države. Po prvih podatkih je program Flame začel delovati leta 2008, a je prva analiza njegove ukazne in nadzorne infrastrukture (pokrita vsaj z 80-imi znanimi imeni domene) pokazala, da je bil sistem v uporabi že vsaj dve leti prej.

Ugotovitve v tej preiskavi temeljijo na podlagi analize pridobljenih vsebin iz več C&C, ki jih uporablja program Flame. Ta informacija je bila obnovljena, kljub temu da je bila nadzorna infrastruktura programa Flame brez povezave takoj potem ko so pri Kaspersky Labu odkrili zlonamerno programsko opremo. Vsi strežniki so delovali s 64-bitno različico operacijskega sistema Debian in so bili virtualizirani z OpenVZ. Večina strežniških kod je bila v programskem jeziku PHP. Ustvarjalci programa Flame so uporabili posebne ukrepe s katerimi so C&C strežnik prilagodili tako, da je izgledal kot navaden Content Management System. S tem so se preusmeril pozornost od gostujočega ponudnika.

Zapletene metode šifriranja so bile uporabljene tako, da nihče razen napadalcev ni mogel pridobiti podatkov naloženih iz okuženih računalnikov. Analiza skriptov, ki se uporabljajo za obvladovanje prenosa podatkov »žrtev« napada na programsko opremo, je razkrila 4 komunikacijske protokole. Samo eden od njih pa je bil kompatibilen s programom Flame. To pomeni, da so imele ostale tri zlonamerne programske opreme C&C strežnike. Prav zaradi tega obstaja dovolj dokazov, da je vsaj ena zlonamerna programska oprema, ki je povezana, s programom Flame, še na »prostosti«.

Druga pomembna točka te analize je ugotovitev, da se je razvoj osnove ukazni in nadzorni strežnik za Flame začel že decembra 2006. Obstajajo dokazi, da je ta osnova še vedno v razvoju, saj je bil na strežnikih odkrit nov, še neuporabljen protokol, imenovan "Red protocol". Kodo strežnika je nazadnje spremenil eden od programerjev, in sicer 18. maja 2012.