По сообщению иранской компьютерной службы быстрого реагирования MAHER, в последних инцидентах с утечкой данных в Иране повинна новая вредоносная программа, получившая название Flame. Есть основания полагать, что она непосредственно связана связана с известными средствами ведения кибершпионажа Stuxnet и Duqu.
Аналитики вредоносного кода «Лаборатории Касперского» также изучили эту программу и пришли к выводу, что по географическому охвату и нацеленности она очень похожа на Stuxnet и Duqu. Вместе с тем, Flame поддерживает другие функции и во многих отношениях является более сложной и изощренной, нежели обе перечисленные угрозы.
По словам исследователей из «Лаборатории Касперского» Flame представляет собой весьма разносторонний набор инструментов для проведения атак, состоящий из множества отдельных модулей. Он позволяет выполнять огромное число операций, большая часть которых связана с кражей данных и кибершпионажем.
Программа умеет использовать микрофон компьютера для записи разговоров, получать снимки экрана в момент запуска определенных приложений, сохранять нажатия клавиш, прослушивать сетевой трафик и поддерживать взаимодействие с находящимися поблизости устройствами Bluetooth.
«Одна из первых версий этого набора инструментов была создана в 2010 году, – отметил старший вирусный аналитик "Лаборатории Касперского" Виталий Камлюк. – Впоследствии ее функциональность была расширена за счет использования модульной архитектуры».
По своему объему программный код Flame значительно больше программ Duqu и Stuxnet, которые при размерах порядка 500 Кбайт считаются специалистами по безопасности достаточно большими. Общий объем всех компонентов Flame превышает 20 Мбайт, а один файл имеет размер более 6 Мбайт.
Еще одна интересная особенность Flame заключается в том, что некоторые части программного обеспечения написаны на языке Lua, который фактически не используется при создании вредоносных программ. Обычно Lua находит применение в индустрии компьютерных игр. До появления Flame в «Лаборатории» не встречали ни одной вредоносной программы, написанной на этом языке.
Flame попадает на другие компьютеры, копируя свое тело на портативные USB-устройства и используя уже ликвидированную в Microsoft Windows уязвимость подсистемы печати, через которую в систему проникала и программа Stuxnet.
Каких-либо признаков использования неизвестных доселе уязвимостей (уязвимостей нулевого дня) исследователи из «Лаборатории Касперского» не обнаружили, однако известно, что программа Flame сумела проникнуть на машину, где были установлены все обновления операционной системы, поэтому полностью исключать такую возможность нельзя.
При заражении компьютеров, защищенных антивирусными программами, Flame избегает выполнения некоторых действий и не запускает вредоносный код, который мог бы вызвать срабатывание проактивной защиты средств безопасности. Это одна из причин того, что вредоносной программе до сих пор удавалось оставаться незамеченной.
Проведенная в «Лаборатории Касперского» проверка данных, которые были собраны мировой сетью средств обнаружения вредоносных программ, показала, что случаи распространения Flame в прошлом и настоящем были зарегистрированы в Африке и на Ближнем Востоке, особенно в таких странах как Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия и Египет.
Компания Symantec, занимающаяся разработкой антивирусных технологий, зафиксировала следы Flame в Венгрии, Австрии, России, Гонконге и Объединенных Арабских Эмиратах. Компания не исключает того, что отчеты, информирующие о заражении, были составлены на основе анализа портативных компьютеров, которые временно были завезены в эти страны туристами.
Трудно сказать, за какой конкретно информацией охотятся авторы Flame. Вредоносные программы могут похищать и пересылать на командные и управляющие серверы самые разные сведения. Решение о том, какие модули и функции вредоносной программы для этого следует задействовать, принимается атакующим для каждой цели индивидуально.
Организации, против которых направлена атака, тоже не подпадают под какой-то отраслевой шаблон. Вредоносная программа уже успела заразить компьютеры, принадлежащие правительственным агентствам, образовательным институтам, коммерческим предприятиям и частным лицам.
Сравнивая программу с Duqu и Stuxnet, сложно сказать, кто стоит за Flame. Однако с учетом сложности этой программы и большого объема ресурсов, требуемых для ее создания, исследователи вопросов безопасности полагают, что она разрабатывалась при поддержке государства.
Исследователи из «Лаборатории Касперского» не нашли свидетельств, которые позволили бы связать вредоносную программу с какой-то конкретной страной или хотя бы регионом. Однако внутри программного кода присутствует текст на английском языке.
Изучив код, в Symantec пришли к выводу, что программа была написана разработчиком, для которого английский является родным языком. Дальнейший анализ, который позволил бы выяснить более точное происхождение вредоносной программы, здесь не проводился.
Исследователи из лаборатории криптографии и системной безопасности Будапештского университета технологий и экономики, сыгравшие важную роль в процессе обнаружения и анализа вредоносной программы Duqu, представили отчет под заголовком sKyWIper, посвященный Flame.
«Результаты технического анализа подтвердили гипотезу о том, что программа sKyWIper была разработана правительственным агентством какого-то государства, обладающим значительным бюджетом и возможностями, – говорится в отчете. – Возможно, это связано с ведением кибервойны. Без сомнения, sKyWIper – самая сложная и изощренная вредоносная программа, которую нам доводилось встречать в своей практике. Пожалуй, это самый запутанный вредоносный код из всех, что были обнаружены когда-либо ранее».