«Лаборатория Касперского»: вирус Flame использовался для кибершпионажа

5 июня 2012 года

Антивирусная компания "Лаборатория Касперского" опубликовала первые результаты исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, до самого последнего времени активно применялась в качестве кибероружия в ряде ближневосточных государств.

На прошлой неделе стало известно, что вредоносная программа была обнаружена экспертами ЛК во время исследования, инициированного Международным союзом электросвязи (МСЭ; International Telecommunications Union) после серии инцидентов с другой, пока еще неизвестной вредоносной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Ближнего Востока. Эту вредоносную программу еще только предстоит обнаружить; однако во время анализа инцидентов ЛК в сотрудничестве с Международным союзом электросвязи выявила новый вид вредоносной программы. По предварительным результатам, Flame активно используется как минимум с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Как сообщает ТАСС-Телеком (Архивная копия от 17 сентября 2013 на Wayback Machine), "Лаборатория Касперского" немедленно связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. Кроме того, совместно с компаниями GoDaddy и OpenDNS эксперты "Лаборатории Касперского" смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame.

По сообщению Русской службы BBC, исследователи ЛК пришли к выводу, что главным объектом нападения служил Иран, а также Израиль и территория Палестинской автономии. В первую очередь хакеров интересовала программа AutoCad - популярный инструмент инженеров и архитекторов.

"Хакеров интересовали чертежи механического и электрического оборудования, - пояснил британским журналистам специалист по компьютерам университета Суррея профессор Алан Вудвард. - Они либо хотели выяснить, насколько далеко продвинулся тот или иной проект, либо намеревались воровать чертежи с целью перепродажи на черном рынке".

Случаи заражения вирусом были зарегистрированы также в США, Великобритании и ряде европейских стран, однако, по мнению исследователей, это не означает, что данные страны были главной целью хакеров.

По своим характеристикам Flame сильно напоминает недавно обнаруженных монстров - "сложные вирусы" Stuxnet и Duqu, которые были задействованы в кибершпионаже.В частности, главной целью Stuxnet были урановые центрифуги в Иране. А, как следует из недавней статьи в газете New York Times, атаку Stuxnet санкционировал лично президент США Барак Обама.

Источник неизвестен

Источник вируса по-прежнему неизвестен, однако результаты предварительного анализа указывают сразу на несколько возможных центров управления сетью. Такие центры управления вирусом Flame и сбора информации регулярно меняли дислокацию, передвигаясь из Гонконга в Турцию, Германию, Польшу, Малайзию, Латвию, Швейцарию и Великобританию.

Анализ вредоносной программы показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.

Эксперты пришли к выводу, что, во-первых, командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе ЛК раскрыла существование вредоносной программы.

Во-вторых, на данный момент известно более 80 доменов, задействованных для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 год.

В-третьих, за последние четыре года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.

В-четвертых, для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.

В-пятых, злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.

Вместе с тем эксперты пришли к выводу, что данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

Помимо этого, по предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована "Лабораторией Касперского" как одна из самых безопасных, оказалась не подвержена заражению Flame.