PHDays 2012: на форуме раскрыты новые подробности о супервирусе Flame

01 июня 2012, 08:11

На форуме Positive Hack Days, организованном компанией Positive Technologies, были раскрыты подробности о троянской программе Worm.Win32.Flame. Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», выступая с анализом вируса Duqu и его аналогов, заявил, что Flame – это, вероятно, не единственный представитель нового поколения «кибернетического супероружия»: существуют и другие, не менее опасные черви.

PHDays 2012

Александр Гостев также рассказал, что Flame был обнаружен случайно. В конце апреля 2012 года власти Ирана заявили, что с компьютеров местной нефтяной компании неизвестными были удалены все данные о клиентах, объемах поставок и другие документы. Чтобы исключить возможности восстановления рабочей информации, поверх нее были несколько раз записаны «мусорные» данные.

Специалисты «Лаборатории Касперского» приступили к изучению проблемы по заказу Международного союза электросвязи (ITU). Тогда и был обнаружен Flame, хотя, как позже выяснилось, в его функциональности отсутствует возможность удаления файлов. Интересная особенность: размер троянской программы в распакованном виде составляет 20 Мбайт: это почти в 20 раз больше, чем у Stuxnet. Новинка была установлена примерно на 500 машинах, 200 из которых были размещены в Иране, а также на израильских, палестинских, суданских и сирийских компьютерах.

По словам Гостева, разведывательная операция неизвестных создателей Flame велась в течение нескольких лет. Для ее осуществления были зарегистрированы несколько десятков доменов. После обнаружения следов вируса реакция владельцев троянской программы была моментальной: уже через несколько часов узлы, с которых управляли «флеймом», были недоступны.

Описывая возможную тактику атаки, Александр Гостев предположил эксплуатацию уязвимости в Windows Media Player, позволяющей вместо проигрывания видеоролика запускать на атакуемом ПК произвольный код. Подобно промышленному ПО установленный бэкдор разворачивает базу данных Mini SQL (mSQL), в которую заносит все информационные активы пораженного хоста. Скриншоты большинства процессов, включая переписку в мессенджерах, шифруются и отправляются на управляющие троянской программой серверы. Существует также «черный список» процессов, запрещающий изготовление скриншотов, в который в первую очередь входят антивирусы. Функциональность Flame включает также сетевой сниффер, запись аудиофрагментов, поиск соседних устройств по Bluetooth и их специальное переименование для быстрого обнаружения, запуск HTTP-сервера и распространение через «расшаренные» папки.

Большинство специалистов отмечают разносторонность нового цифрового шпиона. Предыдущие аналоги, Stuxnet и Duqu, изначально были менее функциональны. Напомним, что в этом году наблюдается тенденция к появлению все более сложных червей, созданных для целевого нападения на информационную систему компании или промышленного объекта.

Далеко не все эксперты разделяют точку зрения о том, что мир встретился с абсолютно новой угрозой. К примеру, технический директор Positive Technologies считает, что в Flame нет ничего революционного. «Основное отличие Flame от ряда кустарных аналогов – качество проектирования, соответствующее промышленному или корпоративному уровню, – говорит Сергей Гордейчик. – Это современный продукт со специфическим набором функций, заточенный под определенные цели. Если бы существовала Нобелевская премия для создателей вирусов, или приз за самый оригинальный промышленный дизайн троянской программы, то разработчики Flame вряд ли оказались бы в числе лауреатов».

Ранее редакция THG.ru подготовила отчёт о первом дне Международного форума по информационной безопасности Positive Hack Days, спонсором которого является.