«Лаборатория Касперского»: обнаружен новый вид кибероружия, действующий с 2010 года

29 мая 2012 года

Антивирусная компания "Лаборатория Касперского" сообщила об обнаружении сложной вредоносной программы, которая, по данным экспертов, по сложности и опасности превосходит все известное ранее и, видимо, активно используется в качестве кибероружия.

Вирус, получивший название Worm.Win32.Flame, чаще упоминается просто как Flame (от англ. "пламя"). Программа разработана для похищения важных данных, в том числе информации, выводимой на монитор, информации о системах - объектах атак, файлах, хранящихся на компьютере, контактных данных пользователей и даже аудиозаписей разговоров. По данным агентства Reuters, общее число зараженных программой машин не превышает 5 тыс. Больше всего их выявлено в Иране, Израиле, Палестине, Судане и Сирии.

Вредоносная программа была обнаружена экспертами ЛК во время исследования, инициированного Международным союзом электросвязи (МСЭ; International Telecommunications Union) после серии инцидентов с другой, пока еще неизвестной вредоносной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Ближнего Востока.

Эту вредоносную программу еще только предстоит обнаружить; однако во время анализа инцидентов ЛК в сотрудничестве с Международным союзом электросвязи выявила новый вид вредоносной программы. По предварительным результатам, Flame активно используется уже более двух лет, с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Теперь МСЭ будет использовать возможности сети Международной организации многостороннего сотрудничества против кибертерроризма (IMPACT), объединившей 142 государства и нескольких крупных игроков отрасли, включая ЛК, для информирования государственных органов и технического сообщества о данной киберугрозе и обеспечения скорейшего завершения технического анализа угрозы.

Хотя Flame отличается по своим характеристикам от вирусов Duqu и Stuxnet, ранее использовавшихся в качестве кибероружия, такие факты, как география атак, использование специфичных уязвимостей в ПО, а также его целевая направленность только на определенные компьютеры, указывают на то, что Flame относится к той же категории сложного кибероружия.

Flame может распространяться в Сети через эксплуатацию уязвимостей в службе диспетчера печати, а также через USB-устройства - метод, который использует Stuxnet.

На данный момент известно, что вредоносная программа содержит несколько модулей, насчитывающих в общей сложности несколько мегабайт исполняемого кода, что почти в 20 раз больше, чем размер червя Stuxnet. Это означает, что для анализа данного кибероружия потребуется большая команда высокопрофессиональных экспертов по безопасности со значительным опытом в области киберзащиты.