Уже несколько антивирусных компаний и независимых центров по
сетевой безопасности признали существование нового супервируса невиданной
сложности. В классификации «Лаборатории Касперского» и Международного союза
электросвязи ITU при ООН он носит название Worm.Win32.Flame (по названию одной
из активно используемых внутренних библиотек), в других классификациях он также
называется Flamer (иранская группа быстрого реагирования по компьютерным инцидентам
МАХЕР), а венгерская лаборатория шифрования и безопасности CrySyS (Laboratory
of Cryptography and System Security) при Будапештском технико-экономическом
университете дала ему название SkyWiper.
Сейчас уже признано, что все эти
названия относятся к одному и тому же «супервирусу», размер которого со всеми
дополнительными модулями превышает 20 Мбайт. Каждый отдельный модуль Flame может
иметь размер до 6 Мбайт, что необычно для вируса, но в полной мере отражает его
огромные возможности — вплоть до записи переговоров рядом с компьютером через
подключенный микрофон наушников или веб-камеры, либо захвата информации из
телефонных книг в смартфонах, расположенных недалеко от ПК, через Bluetooth-адаптер.
Первые случаи обнаружения вируса Flame в
«диком виде» зафиксированы в 2010 году в Иране (в августе) и Ливане (в марте).
Кроме того, эксперты журнала Wired обнаружили, что файлы, схожие с компонентами
вируса Flame, были найдены в Европе (декабрь 2007 г.) и Объединенных Арабских Эмиратах (апрель 2008 г.). Сейчас случаи заражения отмечены во
многих странах, хотя большинство пострадавших компьютеров находятся в Иране, на
территории Израиля и Палестины, в Сирии, Египте и Судане.
Что касается функций вируса, это крупный модульный комплекс
с централизованным управлением по защищенным SSL-каналам. В зависимости от
состава установленных модулей он поддерживает похищение засекреченных файлов по
заданным признакам, может вести аудиозаписи с отправкой на управляющий сервер,
делает снимки экрана (каждые 60 секунд в обычном режиме или каждые 15 секунд,
если запущено важное приложение вроде Skype или электронной почты) и
подключается к сотовым телефонам в зоне видимости через Bluetooth для
копирования телефонных книг. Также вирус умеет менять свое поведение в
зависимости от того, какой антивирус обнаружен на зараженной машине. Например,
если обнаружен антивирус McAfee, то расширение файлов с исполняемым кодом
вируса меняется с .OCX на .TMP.
Большинство экспертов сходится во мнении, что настолько
крупный и мощный вирус мог быть создан только при поддержке какого-то
государства. Более того, несмотря на отсутствие явных аналогий с вирусами Stuxnet
(был направлен на срыв ядерной программы Ирана) и Duqu (считается
вспомогательным инструментом, родственным Stuxnet), есть ряд признаков,
указывающих на то, что вирус был создан другой командой разработчиков, но в
один период и в одной организации. В частности, эксперты нашли в вирусе Flame использование
тех же уязвимостей, которые 5 лет назад применялись для распространения вирусов
Stuxnet и Duqu через USB-флэшки (с помощью механизма автозапуска и через файлы
ярлыков .LNK) и по локальным сетям (с использованием давно закрытой проблемы с
переполнением буфера печати в среде Windows). Хотя все эти проблемы давно исправлены,
специалисты до сих пор гадают, как именно вирус выполняет начальное заражение
компьютеров – есть доказательства, что он может присутствовать в
операционной системе Windows 7 со всеми актуальными обновлениями и
антивирусами. При этом механизм автоматического распространения и заражения в
вирусе отключен, насколько известно.
Технически вирус Flame представляет собой настоящий шедевр
вредоносного программирования. Полностью установленный и работающий вирус
содержит множество модулей и библиотек, включая СУБД-модуль SQLite3, алгоритмы
шифрования с разным уровнем стойкости, средства сжатия и упаковки для
захваченной информации, а также более 20 плагинов, которые можно комбинировать
в произвольном сочетании. Внутри вируса реализована даже виртуальная машина для
исполнения программ на языке LUA, что вообще крайне редко встречается во
вредоносном ПО. По умолчанию в коде жестко прописаны адреса пяти управляющих
серверов, однако, по команде «из центра» этот перечень можно расширить.
Почему вирус Flame пять лет ускользал от широкого внимания?
Возможно, из-за того, что в обычном состоянии он почти не ведет разрушительной
деятельности, если не считать накопление и отправку собираемой информации в
самых крупных объемах. Чаще всего этот вирус встречается на компьютерах
организаций, имеющих отношение к нефтедобывающей и нефтеперерабатывающей
отрасли, энергетике и банковским структурам Ближнего Востока и Африки.
В настоящий момент уже несколько антивирусных компаний,
включая частные Symantec, Sophos и «Лабораторию Касперского», а также
управление компьютерной безопасности Ирана, выпустили соответствующие средства
для обнаружения и уничтожения основных компонентов Flame. В то же время, с
учетом неизвестной природы распространения вируса, остается непонятным, как именно
вирус попал на зараженные машины, почему не проявлял значительной активности до
сих пор, и какие последствия может вызвать его «боевое применение». Термин
«боевое применение» в данном случае не случаен — по мнению специалистов из
разных стран, вирус Flame имеет прямое отношение к военным разработкам для
ведения военных действий в киберпространстве.
По материалам сайтов Wired, The Register, The Verge, Sophos и
PC World.
|
