Уже несколько антивирусных компаний и независимых центров по сетевой безопасности признали существование нового супервируса невиданной сложности. В классификации «Лаборатории Касперского» и Международного союза электросвязи ITU при ООН он носит название Worm.Win32.Flame (по названию одной из активно используемых внутренних библиотек), в других классификациях он также называется Flamer (иранская группа быстрого реагирования по компьютерным инцидентам МАХЕР), а венгерская лаборатория шифрования и безопасности CrySyS (Laboratory of Cryptography and System Security) при Будапештском технико-экономическом университете дала ему название SkyWiper.
Сейчас уже признано, что все эти названия относятся к одному и тому же «супервирусу», размер которого со всеми дополнительными модулями превышает 20 Мбайт. Каждый отдельный модуль Flame может иметь размер до 6 Мбайт, что необычно для вируса, но в полной мере отражает его огромные возможности — вплоть до записи переговоров рядом с компьютером через подключенный микрофон наушников или веб-камеры, либо захвата информации из телефонных книг в смартфонах, расположенных недалеко от ПК, через Bluetooth-адаптер.
Первые случаи обнаружения вируса Flame в «диком виде» зафиксированы в 2010 году в Иране (в августе) и Ливане (в марте). Кроме того, эксперты журнала Wired обнаружили, что файлы, схожие с компонентами вируса Flame, были найдены в Европе (декабрь 2007 г.) и Объединенных Арабских Эмиратах (апрель 2008 г.). Сейчас случаи заражения отмечены во многих странах, хотя большинство пострадавших компьютеров находятся в Иране, на территории Израиля и Палестины, в Сирии, Египте и Судане.
Что касается функций вируса, это крупный модульный комплекс с централизованным управлением по защищенным SSL-каналам. В зависимости от состава установленных модулей он поддерживает похищение засекреченных файлов по заданным признакам, может вести аудиозаписи с отправкой на управляющий сервер, делает снимки экрана (каждые 60 секунд в обычном режиме или каждые 15 секунд, если запущено важное приложение вроде Skype или электронной почты) и подключается к сотовым телефонам в зоне видимости через Bluetooth для копирования телефонных книг. Также вирус умеет менять свое поведения в зависимости от того, какой антивирус обнаружен на зараженной машине. Например, если обнаружен антивирус McAfee, то расширение файлов с исполняемым кодом вируса меняется с .OCX на .TMP.
Большинство экспертов сходится во мнении, что настолько крупный и мощный вирус мог быть создан только при поддержке какого-то государства. Более того, несмотря на отсутствие явных аналогий с вирусами Stuxnet (был направлен на срыв ядерной программы Ирана) и Duqu (считается вспомогательным инструментом, родственным Stuxnet), есть ряд признаков, указывающих на то, что вирус был создан другой командой разработчиков, но в один период и в одной организации. В частности, эксперты нашли в вирусе Flame использование тех же уязвимостей, которые 5 лет назад применялись для распространения вирусов Stuxnet и Duqu через USB-флэшки (с помощью механизма автозапуска и через файлы ярлыков .LNK) и по локальным сетям (с использованием давно закрытой проблемы с переполнением буфера печати в среде Windows). Хотя все эти проблемы давно исправлены, специалисты до сих пор гадают, как именно вирус выполняет начальное заражение компьютеров – есть доказательства, что он может присутствовать в операционной системе Windows 7 со всеми актуальными обновлениями и антивирусами. При этом механизм автоматического распространения и заражения в вирусе отключен, насколько известно.
Технически вирус Flame представляет собой настоящий шедевр вредоносного программирования. Полностью установленный и работающий вирус содержит множество модулей и библиотек, включая СУБД-модуль SQLite3, алгоритмы шифрования с разным уровнем стойкости, средства сжатия и упаковки для захваченной информации, а также более 20 плагинов, которые можно комбинировать в произвольном сочетании. Внутри вируса реализована даже виртуальная машина для исполнения программ на языке LUA, что вообще крайне редко встречается во вредоносном ПО. По умолчанию в коде жестко прописаны адреса пяти управляющих серверов, однако, по команде «из центра» этот перечень можно расширить.
Почему вирус Flame пять лет ускользал от широкого внимания? Возможно, из-за того, что в обычном состоянии он почти не ведет разрушительной деятельности, если не считать накопление и отправку собираемой информации в самых крупных объемах. Чаще всего этот вирус встречается на компьютерах организаций, имеющих отношение к нефтедобывающей и нефтеперерабатывающей отрасли, энергетике и банковским структурам Ближнего Востока и Африки.
В настоящий момент уже несколько антивирусных компаний, включая частные Symantec, Sophos и «Лабораторию Касперского», а также управление компьютерной безопасности Ирана, выпустили соответствующие средства для обнаружения и уничтожения основных компонентов Flame. В то же время, с учетом неизвестной природы распространения вируса, остается непонятным, как именно вирус попал на зараженные машины, почему не проявлял значительной активности до сих пор, и какие последствия может вызвать его «боевое применение». Термин «боевое применение» в данном случае не случаен — по мнению специалистов из разных стран, вирус Flame имеет прямое отношение к военным разработкам для ведения военных действий в киберпространстве.
По материалам сайтов Wired, The Register, The Verge, Sophos и PC World.
|
