Что такое вирус flame

Изощренный шпионский компьютерный вирус с недавних пор поражает компьютеры преимущественно в странах Ближнего и Среднего Востока. Не исключено, что Flame - новое изобретение спецслужб.

В реальном аналоговом мире рассудительные политики и дипломаты все еще призывают Иран опомниться и отказаться от планов производства ядерного оружия. "Ястребы" в правительстве Израиля давно и весьма конкретно угрожают нанести, в крайнем случае, превентивный удар по иранским атомным объектам. В цифровом же мире - в киберпространстве - военные действия уже идут полным ходом. Одна лексика чего стоит: "кибервойна", "кибероружие". При этом цифровой саботаж может иметь очень серьезные последствия и для аналогового мира. Так, обнаруженный в 2010 году компьютерный вирус Stuxnet очевидно был нацелен на то, чтобы вывести из строя центрифуги на иранских предприятиях по обогащению урана.

"Заинтересованные" спецслужбы

Президент Ирана на одном из ядерных объектов

До сих пор не ясно, кто тогда разработал и запустил в сеть этот чрезвычайно сложный вирус. Большинство экспертов считают автором одну из, как они выражаются, "заинтересованных" спецслужб. Неизвестно также, кто несет ответственность за то, что в конце апреля иранское министерство нефтяной промышленности и важнейшие нефтяные терминалы на берегу Персидского залива пришлось временно отключить от интернета после того, как вирус стер данные с жестких дисков ведомственных компьютеров.

Расследуя этот случай, эксперты всемирно известной антивирусной компании "Лаборатория Касперского" обнаружили на одном из зараженных компьютеров еще одного до тех пор неведомого вредителя. Его целью было не бесцеремонное уничтожение данных, а их незаметный сбор.

Изощренный шпион

По данным Виталия Камлука из фирмы Касперского, вирус Flame протоколирует удары по клавишам, делает скриншоты экрана, разыскивает через систему Bluetooth подключенные к компьютеру приборы. В сети он распространяется только по команде своего оператора в интернете, который при необходимости может его отключить.

Пресса: Кибербезопасность - торговля страхом

Немецкие газеты комментируют информацию об обнаружении вируса Flame.

CeBIT 2012: Касперский призывает создать международный пакт против кибертерроризма

Новые кибератаки - это лишь вопрос времени, убежден российский бизнесмен Евгений Касперский. На выставке CeBIT специалист по антивирусной защите призвал создать международное соглашение по борьбе с кибертерроризмом. (06.03.2012)

Германия готовится к отражению кибератак

Банкомат не выдает денег, в городах отключилось электроснабжение, в аэропорту не работает диспетчерская служба - Германия подверглась массированной атаке хакеров… Пока это только учебный сценарий. (01.12.2011)

Но почему до сих пор не удавалось обнаружить этот вирус? "Вторгаясь в компьютер, - поясняет Виталий Камлук, - он для начала изучает установленную на нем антивирусную защиту и воздерживается от операций, которые могли бы его выдать". А вторая причина - крайне ограниченное применение вируса. По первым оценкам Касперского, в Иране вирусом были заражены 189 компьютеров, затем его обнаружили на сотне компьютеров в палестинской автономии в Израиле. В Судане и Сирии было зарегистрировано примерно по 30 случаев. В сравнении с распространением обычных вирусов это почти ничто. Антивирусные же фирмы обращают внимание на новых вредителей только, когда становится известно о массовом заражении.

Целенаправленная сдержанность

Марк Феледьхази из лаборатории криптографии и системной безопасности технического университета в Будапеште считает, что такая целенаправленная сдержанность при использовании Flame свидетельствует о наличии хорошо продуманного плана. О возможном авторстве вредоносного софта Феледьхази, участвовавший в обнаружении преемника программы Stuxnet - вируса Duqu, предпочитает не гадать.

"Одно очевидно, - говорит он, - тут поработали далеко не любители". Издержки на разработку такого вируса огромны. И хотя техническое воплощение было иным, чем у Stuxnet, эксперт усматривает определенные параллели. "Согласно одной из гипотез, - заявил он, - это работа одной из государственных инстанций. Кто-то применил Flame для целенаправленной операции".

Возможно, шпионская программа Flame была разработана одновременно с вирусом Stuxnet для подготовки новых кибератак и по указанию одного и того же заказчика. Но это все домыслы. "Мы пытаемся отследить в интернете следы компьютера-оператора", - рассказал Виталий Камлук. Но пожелавшие остаться анонимными авторы не пожалели сил, чтобы их замести. По словам Камлука, нити ведут к десяткам серверов, расположенных в разных странах мира, а потому и установить хотя бы географическое происхождение, не говоря уже о том, чтобы вычислить конкретного производителя вируса невозможно.

Антивирусная компания "Лаборатория Касперского" опубликовала первые результаты исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, до самого последнего времени активно применялась в качестве кибероружия в ряде ближневосточных государств.

На прошлой неделе стало известно, что вредоносная программа была обнаружена экспертами ЛК во время исследования, инициированного Международным союзом электросвязи (МСЭ; International Telecommunications Union) после серии инцидентов с другой, пока еще неизвестной вредоносной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Ближнего Востока. Эту вредоносную программу еще только предстоит обнаружить; однако во время анализа инцидентов ЛК в сотрудничестве с Международным союзом электросвязи выявила новый вид вредоносной программы. По предварительным результатам, Flame активно используется как минимум с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Как сообщает ТАСС-Телеком, "Лаборатория Касперского" немедленно связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. Кроме того, совместно с компаниями GoDaddy и OpenDNS эксперты "Лаборатории Касперского" смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame.

По сообщению Русской службы BBC, исследователи ЛК пришли к выводу, что главным объектом нападения служил Иран, а также Израиль и территория Палестинской автономии. В первую очередь хакеров интересовала программа AutoCad - популярный инструмент инженеров и архитекторов.

"Хакеров интересовали чертежи механического и электрического оборудования, - пояснил британским журналистам специалист по компьютерам университета Суррея профессор Алан Вудвард. - Они либо хотели выяснить, насколько далеко продвинулся тот или иной проект, либо намеревались воровать чертежи с целью перепродажи на черном рынке".

Случаи заражения вирусом были зарегистрированы также в США, Великобритании и ряде европейских стран, однако, по мнению исследователей, это не означает, что данные страны были главной целью хакеров.

По своим характеристикам Flame сильно напоминает недавно обнаруженных монстров - "сложные вирусы" Stuxnet и Duqu, которые были задействованы в кибершпионаже.В частности, главной целью Stuxnet были урановые центрифуги в Иране. А, как следует из недавней статьи в газете New York Times, атаку Stuxnet санкционировал лично президент США Барак Обама.

Источник вируса по-прежнему неизвестен, однако результаты предварительного анализа указывают сразу на несколько возможных центров управления сетью. Такие центры управления вирусом Flame и сбора информации регулярно меняли дислокацию, передвигаясь из Гонконга в Турцию, Германию, Польшу, Малайзию, Латвию, Швейцарию и Великобританию.

Анализ вредоносной программы показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.

Эксперты пришли к выводу, что, во-первых, командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе ЛК раскрыла существование вредоносной программы.

Во-вторых, на данный момент известно более 80 доменов, задействованных для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 год.

В-третьих, за последние четыре года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.

В-четвертых, для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.

В-пятых, злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.

Вместе с тем эксперты пришли к выводу, что данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

Помимо этого, по предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована "Лабораторией Касперского" как одна из самых безопасных, оказалась не подвержена заражению Flame.

Someone is infecting Iran's computers with what experts call "the most powerful virus to date." Here are four things to know about the virus, dubbed Flame.

What is Flame and what does it do?

Flame is a computer virus that Tehran says is infecting its computers and which independent experts say is the most powerful virus yet seen. The virus appears to be a major escalation in the cyberwar that some governments concerned by Iran's nuclear program are suspected of waging against Tehran to sabotage its progress.

The virus infects computers in order to spy on users, steal classified information, and cause the mass deletion of data. It does this by sniffing network traffic, taking screenshots, recording audio conversations, and intercepting keyboard activity. The data it collects is relayed back to the virus's creators.

Just which computers Flame is targeting in Iran and what damage it has done so far is unknown. Iranian experts discovered the virus on computers in the Iranian Oil Ministry and National Oil Company in recent months and it only became publicly known this week after Tehran asked a UN agency to help investigate.

The agency asked a private Russian antivirus software company, Kaspersky Lab in Moscow, to look into the virus and the laboratory publicly described it as "one of the most complex threats ever discovered."

Flame may also be one of the sneakiest bits of malware – or malevolent software -- ever found.

"Its job seems to be to spy on computers, which is not super new, we have seen this with other malware, but what is so interesting is that it has been doing this for about two years now and no-one discovered that until now," say Magnus Kalkuhl of Kaspersky Lab.

What's New About Flame?

Flame comprehensively does with one virus what cyberwarriors have previously had to deploy many separate viruses to do. That completeness means it can deliver to operators a more integrated picture than ever before of what a computer is being used for.

Boldizsar Bencsath, a computer expert at Budapest University's Laboratory of Cryptography and Systems Security, has been analyzing the virus after some users also found Flame watching their computers in Hungary.

According to him, the individual things Flame does are not unique or unknown. But what is unique is putting all those functions in a single, enormously large software package.

"Generally speaking, [Flame's] functionality is similar to other malware components that for example, record keyboard activities," he says. "The unusual thing is that it is complex, highly complex. That means that there are lots of different functionality modules in the code and therefore the code is enormously large."

The Kaspersky Lab says the Flame software package totals almost 20 Mb in size when fully deployed. That is astonishingly big compared to most viruses, which usually depend on small amounts of software to make them easy to hide.

Who developed Flame and why?

It is too early to know. But the complexity of the software package indicates it was developed over a period of years and specifically by a government for espionage purposes, not by a criminal group or hackers.

Iran said on May 28 that Flame shows a "close relationship" to Stuxnet, a virus that attacked Iran's nuclear program in 2010 and which Tehran has previously accused Israel and the United States of deploying.

But the Kaspersky Lab, which calls Flame "20 times more complicated than Stuxnet, says there is no information in the virus' code that can tie Flame to any specific nation state.

Could Flame attack my home computer?

It's been reported that Flame has infected computers in Iran and the Kaspersky Lab has also detected it on the computers of some of its customers in Middle Eastern countries -- Israel, the Palestinian territories, Egypt, Sudan, and Syria.

It also has been found on some computers in Hungary, presumably with connections to the Middle East.

But all indications are that the infections are targeted attacks for a specific purpose.

"This is a targeted attack, says Bencsath. "This tool is used for targeted attacks; that means that normal home computers most likely are not at any risk."

Популярное

INFOX.SG

Эпидемиологическая ситуация по гриппу и ОРВИ в Москве спокойная. Об этом сообщает пресс-служба управления Роспотребнадзора по столице.

Экс-чемпион мира по боксу в первом тяжёлом весе по версиям WBA и IBF Денис Лебедев раскрыл секрет спортивного долголетия тяжеловеса Александра Поветкина.

Экс-чемпион мира по боксу в первом тяжёлом весе по версиям WBA и IBF Денис Лебедев ответил, подумывает ли о политической карьере.

Президент Союза биатлонистов России (СБР) Владимир Драчёв объяснил, почему голосовал против назначения Владимира Королькевича и Роберта Кабукова старшими тренерами женской и мужской сборных команд.

Сбербанк рассчитал, что пик эпидемии коронавируса в России придётся на первую половину мая. Об этом сообщил глава кредитного учреждения Герман Греф.

Нотариальные конторы исключили из списка организаций, работа которых в Москве приостановлена из-за распространения коронавирусной инфекции COVID-19.

В Москве ожидается усиление ветра с порывами до 17 м/с, сообщает Интерфакс со ссылкой на пресс-службу столичного главка МЧС.

Ведущий эксперт Института современного развития экономист Никита Масленников прокомментировал в беседе с RT падение цены на нефть марки Brent на 22%.

Чемпионка UFC в двух весовых категориях Аманда Нуньес заявила, что не будет выступать на турнире Абсолютного бойцовского чемпионата, запланированном на 9 мая.

Президент Союза биатлонистов России (СБР) Владимир Драчёв заявил, что голосовал против назначения Владимира Королькевича и Роберта Кабукова старшими тренерами женской и мужской сборных команд.

В Кировской области рассказали о режиме изоляции в 13 домах-интернатах из-за ситуации с коронавирусом.

Глава Федерации синхронного плавания России и Российской федерации прыжков в воду Алексей Власенко заразился коронавирусом.

Мужчина, заражённый коронавирусной инфекцией COVID-19, сбежал из больницы в Екатеринбурге. Он пойман.

Чемпионка России по велоспорту 2019 года в групповой гонке Александра Гончарова прокомментировала свою дисквалификацию за нарушение антидопинговых правил.

Федерация велосипедного спорта России (ФВСР) может лишить Александру Гончарову титула чемпионки страны из-за нарушения ею антидопинговых правил.

Зампред комитета Госдумы по вопросам семьи, женщин и детей Оксана Пушкина дала рекомендации по отношениям родителей с детьми во время режима самоизоляции.

Эксперт Финансового университета при правительстве России, ведущий аналитик Фонда национальной энергетической безопасности Игорь Юшков прокомментировал ситуацию с ценами на нефть.

Ленинский суд Владикавказа арестовал Вадима Чельдиева, который подозревается в применении насилия в отношении представителя власти и распространении ложной информации о санитарно-эпидемиологической ситуации в Северной Осетии, а также призывах к массовым акциям неповиновения.

Следователи возбудили уголовное дело после нападения пиратов на судно с россиянами в Нигерии, сообщает пресс-служба Следственного комитета России.

Верховный суд провёл первое слушание дела по видеосвязи, сообщили РИА Новости в пресс-службе суда.

Министерство здравоохранения Белоруссии сообщило, что в стране начался забор плазмы у людей, переболевших коронавирусом.

Депутат Тюменской областной думы Юрий Юхневич прокомментировал ситуацию на рынке труда в регионе.

Стилист и телеведущий Александр Рогов дал рекомендации для тех, кто в настоящее время находится в карантине или самоизоляции из-за ситуации с распространением коронавируса.

Пресс-секретарь президента России Дмитрий Песков прокомментировал прошедшую 20 апреля в центре Владикавказа акцию, в которой приняли участие те, кто выступает против введённого режима самоизоляции.

Экс-чемпион мира по боксу в первом тяжёлом весе по версиям WBA и IBF Денис Лебедев рассказал, что перед поединком с Табисо Мчуну не думал о возможной встрече с бывшим абсолютным чемпионом мира Александром Усиком.

Мосгорпарк объявил о запуске онлайн-лекций по истории парковой культуры.

МГУ имени М.В. Ломоносова открыл доступ к 27 научным журналам, которые издаёт университет. В них содержится около 25 тыс. статей.

Экс-чемпион мира по боксу в первом тяжёлом весе по версиям WBA и IBF Денис Лебедев рассказал, как стоило действовать пауэрлифтеру Михаилу Кокляеву в боксёрском поединке, чтобы победить бойца ММА Александра Емельяненко.

Виталий Норицын прокомментировал свою отставку с поста старшего тренера женской сборной России по биатлону.

Пресс-секретарь президента России Дмитрий Песков прокомментировал ситуацию с ценами на нефтяные фьючерсы.

Генеральный секретарь кабинета министров Японии Ёсихидэ Суга не подтвердил наличие договорённости с Международным олимпийским комитетом (МОК) по поводу покрытия дополнительных расходов из-за переноса Олимпийских игр в Токио с 2020 на 2021 год в связи с пандемией коронавируса.

Заместитель главы Минкомсвязи Алексей Волин заявил, что около 100 журналистов в России имеют подтверждённый диагноз COVID-19.

Международный олимпийский комитет (МОК) сообщил, что японская сторона покроет все дополнительные расходы из-за переноса Олимпийских игр в Токио в связи с пандемией коронавируса.

Экс-чемпион мира по боксу в первом тяжёлом весе по версиям WBA и IBF Денис Лебедев рассказал, что испытывал серьёзные проблемы в ходе подготовки к поединку с Табисо Мчуну.

Министерство юстиции России предложило отказаться от повышения штрафов в новом Кодексе об административных правонарушениях. Об этом сообщает пресс-служба ведомства.

Экс-чемпион мира по боксу в первом тяжёлом весе по версиям WBA и IBF Денис Лебедев рассказал, что стало причиной его поражения от Табисо Мчуну.

Министр иностранных дел России Сергей Лавров сообщил, что ростки нормальных отношений между Москвой и Варшавой сохраняются.

SAN FRANCISCO — Security experts have only begun examining the thousands of lines of code that make up Flame, an extensive, data-mining computer virus that has been designed to steal information from computers across the Middle East, but already digital clues point to its creators and capabilities.

Researchers at Kaspersky Lab, which first reported the virus Monday, believe Flame was written by a different group of programmers from those who had created other malware directed at computers in the Middle East, particularly those in Iran. But Flame appears to be part of the state-sponsored campaign that spied on and eventually set back Iran’s nuclear program in 2010, when a digital attack destroyed roughly a fifth of Iran’s nuclear centrifuges.

“We believe Flame was written by a different team of programmers but commissioned by the same larger entity,” Roel Schouwenberg, a security researcher at Kaspersky Labs, said in an interview Wednesday. But he would not say which governments he was speaking of.

Flame, these researchers say, shares several notable features with two other major programs that targeted Iran in recent years. The first virus, Duqu, was a reconnaissance tool that researchers say was used to copy blueprints of Iran’s nuclear program. The second, Stuxnet, was designed to attack industrial control systems and specifically calibrated to spin Iranian centrifuges out of control.

Because Stuxnet and Duqu were written on the same platform and share many of the same fingerprints in their source code, researchers believe both were developed by the same group of programmers. Those developers have never been identified, but researchers have cited intriguing bits of digital evidence that point to a joint American-Israeli effort to undermine Iran’s efforts to build a nuclear bomb.

For example, researchers at Kaspersky Lab tracked the working hours of Duqu’s operators and found they coincided with Jerusalem local time. They also noted that Duqu’s programmers were not active between sundown on Fridays and sundown on Saturdays, a time that coincides with the Sabbath when observant Jews typically refrain from secular work.

Intelligence and military experts have said that Stuxnet was first tested at Dimona, an Israeli complex widely believed to be the headquarters of Israel’s atomic weapons program.

According to researchers at Kaspersky Lab, which is based in Moscow, Flame may have preceded or been designed at the same time as Duqu and Stuxnet. Security researchers at Webroot, an antivirus maker, first encountered a sample of Flame malware in December 2007. Researchers believe Duqu may have been created in August 2007. The first variant of Stuxnet did not appear on computers until June 2009.

Like Duqu, Flame is a reconnaissance tool. It can grab images of users’ computer screens, record e-mails and instant-messaging chats, turn on microphones remotely, and monitor keystrokes and network traffic. Even if an infected device is not connected to the Internet, Flame is capable of spreading to other devices by looking for Bluetooth-enabled devices nearby or Internet-connected devices in a local network, according to researchers at Kaspersky Lab.

Flame also shares a quirkier trait with Duqu: an affection for American movie characters. Flame’s command for communicating with Bluetooth-enabled devices is “Beetlejuice.” An e-mail that infected an unnamed company with Duqu last year was sent by a “Mr. Jason B.” — which researchers believe is a reference to Jason Bourne of the Robert Ludlum spy tales.

It will take more time for computer security researchers around the world to discover more. Flame contains 20 times more code than Stuxnet and is much more widespread than Duqu. Researchers at Kaspersky Lab said they have detected Flame on hundreds of computers and predict that the total number of infections could be more than a thousand.

Unlike Duqu and Stuxnet, security researchers say, Flame is remarkable in that it has been able to evade discovery for five years — which was impressive given its size. Most malware is a couple hundred kilobytes in size. Flame is 20 megabytes. “It was hiding in plain sight,” said Mr. Schouwenberg. “It was designed in such a way that it was nearly impossible to track down.”

Researchers noted that Flame spreads through more conservative means. Researchers say that while Stuxnet had the ability to replicate autonomously, Flame can spread from machine to machine only when prompted by the attacker.

Iran confirmed Tuesday that computers belonging to several high-ranking officials appear to have been penetrated by Flame.

Researchers are still trying to figure out whether the virus has Stuxnet-like sabotage capabilities.

Already, some evidence suggests Flame may be capable of wiping out a computer’s hard drive. Researchers at Symantec, an American security firm that has also studied the virus, said Flame references a specific file previously associated with a separate virus, called Wiper, which Iranian officials said had erased data on hard drives inside its oil ministry last month. Researchers are trying to learn whether Wiper was not a virus but one of Flame’s command modules.

“This is the third such virus we’ve seen in the past three years,” Vikram Thakur, a Symantec researcher, said in an interview Tuesday. “It’s larger than all of them. The question we should be asking now is: How many more such campaigns are going on that we don’t know about?”

МОСКВА, 20 июн - РИА Новости. Разведывательные структуры США и Израиля стояли за разработкой обнаруженного весной вируса Flame, который, как выяснили эксперты по информационной безопасности, был нацелен на похищение промышленных чертежей с правительственных компьютеров в Иране и ряде других ближневосточных стран, сообщает газета Washington Post со ссылкой на несколько источников в правительстве США, пожелавших остаться анонимными.

В мае эксперты антивирусной компании "Лаборатория Касперского" совместно Международным союзом электросвязи объявили об обнаружении сложной вредоносной программы, которая, помимо прочего, искала на компьютерах жертв файлы с расширением PDF, в котором часто сохраняют документы, и файлы с расширением DWG, обычно созданные в программе AutoCAD, предназначенной для создания всевозможных чертежей.

Наибольшее распространение вирус получил на территории Ирана и ряда соседних стран, что позволило экспертам предположить, что Иран - основная цель атаки. Источник Washington Post подтвердил эту информацию, добавив, что за разработкой вируса стоят Агентство национальной безопасности США (АНБ), ЦРУ и израильские военные, а целью атаки является замедление развития иранской ядерной программы. Власти этой страны утверждают, что разрабатывают ядерные технологии исключительно в мирных целях, однако США и ряд других стран обвиняет Иран в попытках создать ядерное оружие.

"Все это - часть подготовки к секретной операции совершенно нового типа", - сказал корреспонденту газеты бывший высокопоставленный сотрудник одной из разведывательных структур США. Он подчеркнул, что Flame, а также Stuxnet - обнаруженный в 2010 году вирус, который выводил из строя центрифуги по обогащению урана на ряде иранских заводов - это все части операции, которая продолжается по сей день.

Как пишет Washington Post, представители АНБ и ЦРУ оставили без ответа запрос относительно комментариев.

Washington Post, ссылаясь на слова одного из своих источников, пишет, что Flame был разработан как минимум пять лет назад специально для атак на объекты иранской компьютерной инфраструктуры. Задачи по созданию самого вредоносного кода взяли на себя специалисты АНБ, а ЦРУ участвовало, в том числе, в операциях по внедрению первых образцов вредоносного кода в компьютерные сети, атакованные с помощью Flame и Stuxnet. Учитывая, что в случае с атакой Stuxnet, система SCADA, которую заражал вирус, не была подключена к интернету, такие операции были необходимы - вредоносный код в локальную сеть должен был внедрить человек. До сих пор у специалистов нет точной информации о том, как изначально в атакуемую локальную сеть попадал Flame, но собеседник Washington Post не исключает, что также, как и Stuxnet, - с помощью агента.

Flame стала четвертым образцом "кибероружия", известным специалистам по информационной безопасности. Первой такой программой стал Stuxnet. Вторым вирусом стал обнаруженный в 2011 году Duqu. Данное вредоносное ПО предназначалось для незаметного сбора конфиденциальных данных. Третий вирус под условным названием Wiper в конце апреля текущего года уничтожил всю информацию на нескольких серверах одной из крупнейших нефтяных компаний Ирана, чем на несколько дней полностью парализовал ее работу. Во время изучения этого инцидента специалисты "Лаборатории Касперского" и обнаружили Flame - четвертый вирус для "продвинутых" кибератак.

По мнению Александра Гостева - главного антивирусного эксперта "Лаборатории Касперского", шпионские вирусы, подобные Flame, действующие максимально незаметно и эффективно, получат широкое распространение уже в ближайшем будущем.

Глава компании Евгений Касперский считает, что бесконтрольное использование кибероружия может привести к последствиям, сравнимым с последствиями реальных военных действий, и поэтому мировому сообществу стоит создать международную организацию, в обязанности которой входило бы регулирование в сфере разработки и применения вредоносного ПО в военных и разведывательных целях.

Подробную информацию об этой изощренной угрозе читайте ниже.

Общие вопросы

Flame представляет собой весьма хитрый набор инструментов для проведения атак, значительно превосходящий по сложности Duqu. Это троянская программа — бэкдор, имеющая также черты, свойственные червям и позволяющие ей распространяться по локальной сети и через съемные носители при получении соответствующего приказа от ее хозяина.

Исходная точка входа Flame неизвестна — мы подозреваем, что первоначальное заражение происходит путем целевых атак, однако найти исходный вектор атаки нам пока не удалось. Подозреваем, что используется уязвимость MS10-033, однако в данный момент подтвердить это мы не можем.

После заражения системы Flame приступает к выполнению сложного набора операций, в том числе к анализу сетевого трафика, созданию снимков экрана, аудиозаписи разговоров, перехвату клавиатурных нажатий и т.д. Все эти данные доступны операторам через командные серверы Flame.

В дальнейшем операторы могут принять решение о загрузке на зараженные компьютеры дополнительных модулей, расширяющих функционал Flame. Всего имеется около 20 модулей, назначение большинства которых мы в данный момент изучаем.

Прежде всего, Flame — это огромный пакет, состоящий из программных модулей, общий размер которых при полном развертывании составляет почти 20 МБ. Вследствие этого анализ данной вредоносной программы представляет огромную сложность. Причина столь большого размера Flame в том, что в него входит множество разных библиотек, в том числе для сжатия кода (zlib, libbz2, ppmd) и манипуляции базами данных (sqlite3), а также виртуальная машина Lua.

Lua — это скриптовый язык, т.е. язык программирования, легко поддающийся расширению и интеграции с кодом, написанным на языке C. Для многих компонентов Flame логика верхнего уровня написана на Lua — при этом подпрограммы и библиотеки, непосредственно реализующие заражение, компилируются с C++.

По сравнению с общим объемом кода часть, написанная на Lua, относительно невелика. По нашей оценке, объем разработки на Lua составляет более 3000 строк кода. Для среднего разработчика на создание и отладку такого объема кода требуется около месяца.

Рис. 1. Декомпилированный код Flame на языке Lua

Кроме того, вредоносная программа использует для внутренних нужд локальные базы данных с вложенными SQL-запросами, применяет несколько методов шифрования, различные алгоритмы сжатия, создает скрипты с помощью Windows Management Instrumentation, использует пакетные скрипты и т.д.

Запуск и отладка вредоносного ПО — нетривиальная задача, поскольку вредоносная программа представляет собой не обычный исполняемый файл, а несколько DLL-библиотек, загружаемых при запуске операционной системы.

В целом можно констатировать, что Flame — одна из наиболее сложных угроз, обнаруженных на сегодняшний день.

Прежде всего, для вредоносного ПО нехарактерно использование Lua. Достаточно большой размер набора инструментов для проведения атак также нетипичен для вредоносного ПО. Как правило, современные вредоносные программы имеют небольшой размер и пишутся на языках программирования, обеспечивающих максимальную компактность, что помогает скрыть присутствие этих программ в системе. Сокрытие с помощью большого объема кода — это новая черта, реализованная в Flame.

Запись аудиоданных со встроенного микрофона — тоже достаточно новый прием. Конечно, существуют и другие вредоносные программы, способные записывать аудио, однако ключ в универсальности Flame — способности этой вредоносной программы красть данные столь разнообразными способами.

Еще одна любопытная функция Flame — использование Bluetooth в устройствах, поддерживающих такой способ передачи данных. Если Bluetooth поддерживается зараженным компьютером и включен в настройках, программа собирает информацию об обнаруживаемых устройствах, находящихся вблизи зараженной машины. Если в конфигурации включены соответствующие настройки, Flame может превратить зараженную машину в радиомаяк, настроив разрешение на его обнаружения другими Bluetooth-устройствами и сообщая общие данные о состоянии заражения, зашифрованные в передаваемой по Bluetooth информации об устройстве.

Несмотря на то что мы еще не завершили анализ различных модулей Flame, уже сейчас можно утверждать, что программа способна записывать аудиосигнал через микрофон, если таковой имеется. Записанный звук хранится в сжатом формате, причем сжатие обеспечивается с помощью общедоступной библиотеки.

Записанные аудиоданные регулярно, по расписанию, скрытым образом пересылаются на командный сервер через SSL-канал. Мы еще не завершили анализ этой функции; более подробная информация скоро появится на нашем сайте.

Мы еще не завершили анализ этого компонента и будем сообщать новую информацию по мере ее поступления.

Авторы Flame специально изменили даты создания файлов таким образом, чтобы исследователи не смогли узнать, когда зловред был создан на самом деле. Файлы датированы годами 1992, 1994, 1995 и т. д. — очевидно, что эти даты не имеют отношения к действительности.

Мы полагаем, что проект Flame в основной части был создан не раньше 2010 года и до настоящего времени находится в активной разработке. Его авторы постоянно вносят изменения в разные модули, продолжая при этом использовать ту же архитектуру и имена файлов. Многие модули изменялись или создавались в 2011-2012 годах.

Что стоит за этим названием?

Flame — это большой набор инструментов, состоящий из нескольких модулей. Один из главных модулей был назван Flame — это модуль, отвечающий за проведение атак и заражение новых компьютеров.

Рис. 2. Модуль установки Flame

В настоящее время известно три вида игроков, разрабатывающих вредоносные программы и шпионское ПО: хактивисты, киберпреступники и государства. Flame не предназначен для кражи денег с банковских счетов. Он также явным образом отличается от довольно простых инструментов хакеров и зловредов, используемых хактивистами. Таким образом, после исключения киберпреступников и хактивистов, в списке остаётся только одна группа.

Наконец, если принять во внимание географию жертв (конкретные страны на Ближнем Востоке) и уровень сложности угрозы, не остаётся сомнений, что за ней стоит некое государство, которое и спонсировало его разработку.

В коде зловреда нет информации, которая указывала бы на конкретное государство. Анализ прочей доступной информации также не позволяет связать Flame с какой-либо конкретной страной. Таким образом, авторство остаётся неустановленным, как это было и в случае Stuxnet и Duqu.

Для систематического сбора информации о действиях конкретных стран на Ближнем Востоке, включая Иран, Ливан, Сирию, Израиль и др.

Вот семь стран, подвергшихся наибольшему количеству атак:

Первоначальный анализ указывает на то, что создатели Flame стремятся получить любые данные: электронные письма, документы, сообщения, разговоры на территории секретных объектов — практически всё. До сих пор мы не видели каких-либо указаний на конкретную цель Flame, скажем на энергетическую отрасль. Это позволяет нам считать, что Flame является универсальным набором инструментов для проведения атак, разработанным для кибершпионажа в широком смысле.

Как мы уже видели ранее, такие универсальные зловреды могут использоваться для загрузки модулей, предназначенных для атаки на специфические объекты, такие как, автоматизированные системы управления, критически важные объекты инфраструктуры и т.д.

Если анализировать организации, на которые нацелен Flame, то очевидной системы не наблюдается. Спектр жертв широк — от отдельных личностей до некоторых окологосударственных организаций и образовательных учреждений. Сбор информации о жертвах, естественно, затруднен, поскольку существует строгая политика конфиденциальности, которая направлена на защиту личных данных наших пользователей.

Кроме этого, Flame состоит из многочисленных и разнообразных программных модулей, число которых достигает 20 — которые выполняют специальные функции. При одном заражении Flame может иметь набор из 7 программных модулей, при другом — 15. Все зависит от того, какую информацию нужно получить от жертвы и как долго система уже была заражена Flame.

Существует несколько C&C-серверов, разбросанных по всему миру. Мы насчитали около дюжины различных C&C-доменов, управляемых на разных серверах. Возможно, есть другие домены, связанные с уже известными, и, предположительно, число доменов, используемых вредоносным ПО для связис C&C достигает 80. По этой причине действительно очень сложно отследить использование и развертывание C&C-серверов.

По размеру Flame почти в 20 раз больше Stuxnet и включает в себя много различных функций для проведения атак и кибершпионажа. У Flame нет большого сходства с Stuxnet/Duqu.

Например, когда был обнаружен Duqu, любому компетентному исследователю было ясно, что он был создан теми же людьми, которые придумали Stuxnet, и на той же платформе Tilded.

Похоже, Flame — это проект, который был запущен параллельно с Stuxnet/Duqu, но не использовал Tilded-платформу.

С другой стороны, мы не можем исключать того, что текущие варианты Flame были разработаны уже после обнаружения Stuxnet. Возможно, авторы Flame использовали опубликованную информацию о способах распространения Stuxnet и реализовали аналогичные технологии в Flame.

Короче говоря, вероятнее всего, Flame и Stuxnet/Duqu разрабатывались двумя отдельными группами авторов. Мы бы оценили Flame как проект параллельный Stuxnet и Duqu.

Один из лучших советов при проведении любых операций — не класть все яйца в одну корзину. Поскольку киберпреступники понимали, что рано или поздно Stuxnet и Duqu будут обнаружены, для них имело смысл создать другие, аналогичные проекты, но на основе совершенно иной философии. Таким образом, если один из проектов будет раскрыт, другой может беспрепятственно продвигаться вперед.

Исходя из этого, мы полагаем, что Flame является параллельным проектом, созданным как запасной вариант на случай раскрытия какого-либо из других проектов.

Операция по сбору разведывательной информации, стоящая за Duqu, была не слишком крупномасштабной, сосредоточенной на определенных целях. Мы полагаем, что Duqu имел целью менее 50 объектов во всем мире — и все они были очень высокого уровня.

Похоже, что Flame имеет существенно более широкий охват, чем Duqu, с тысячами возможных жертв по всему миру. Кроме этого, его мишени гораздо более разнообразны, сюда входят и университеты и исследовательские центры, частные компании, определенные частные лица и т. д.

По нашим наблюдениям, хозяева Flame искусственно поддерживают количество зараженных систем на некоем постоянном уровне. Это можно сравнить с последовательной обработкой полей: — они заражают несколько десятков, затем проводят анализ данных, взятых на компьютерах жертв, деинсталируют Flame из систем, которые им неинтересны, и оставляют в наиболее важных, после чего начинают новую серию заражений.

Зловред Wiper, о котором сообщалось в нескольких средствах массовой информации, остается загадкой. И хотя Flame был обнаружен при расследовании нескольких атак Wiper, в настоящее время мы не располагаем информацией о том, какое отношение к этим атакам имеет Flame. Конечно, сложность Flame позволяет делать вывод, что модуль, уничтожающий данные, мог с легкостью быть развернут в любое время; однако на данный момент мы не наблюдали ничего подобного.

Кроме этого, системы, поврежденные зловредом Wiper, совершенно невозможно восстановить: объем повреждений настолько велик, что абсолютно не за что зацепиться, чтобы отследить атаку.

Информация об инцидентах с Wiper имеется только в Иране. Flame обнаружен нами в разных странах региона, не только в Иране

Вопросы по функционалy зловреда Flame

Помимо этого, Flame способен тиражироваться через локальную сеть, используя:

1. Уязвимость принтера, эксплуатируемую Stuxnet — при помощи специального MOF-файла, исполняемого в атакуемой системе посредством WMI.
2. Remote jobs .
3. Когда Flame исполняется пользователем, у которого есть права администратора на контроллер домена, Flame оказывается способен атаковать другие компьютеры сети: он создает backdoor пользовательский аккаунт (backdoor) с предустановленным паролем, который впоследствии использует при собственном копировании на эти компьютеры.

На настоящий момент мы не наблюдали использования уязвимостей нулевого дня; однако известны случаи заражения червем системы Windows 7 со всеми патчами через сеть, что может указывать на существование риска атак нулевого дня.

По всей видимости, распространением зловреда управляет оператор, как и в случае Duqu. Кроме того, процесс распространения контролируется с помощью конфигурационного файла бота. Большинство процедур заражения имеют счетчики выполненных атак и ограничены определенным числом разрешенных попыток заражения.

Именно из-за ее большого размера вредоносную программу так долго не могли обнаружить. Современные вредоносные программы в основном небольшие и имеют определенные цели. Легче спрятать небольшой файл, чем большой модуль. Кроме того, загрузка 100K через ненадежную сеть имеет гораздо больше шансов на успех, чем загрузка 6MB.

Модули Flame вместе составляют более 20 МБ. Многие из них являются библиотеками, предназначенными для обработки SSL-трафика, SSH-соединений, контроля сообщений, передаваемых по сети связи, с целью выявления конфиденциальной информации, проведения атак, перехвата сообщений и т.п. Возьмем такой пример: нам потребовалось несколько месяцев, чтобы проанализировать 500-килобайтовый код Stuxnet. А на то, чтобы полностью понять 20MБ код Flame, вероятно, потребуются годы.

На следующей неделе в серии блогов на Securelist мы сможем предложить вниманию технических специалистов полный список файлов и следов кода.

Мы будем очень признательны, если вы сможете связаться с нами по электронной почте по адресу, ранее созданному для исследования Stuxnet/Duqu stopduqu@kaspersky.com.