Червь Flame — как новое оружие кибер-войн

6 Июн
2012

Сегодня посетил форум Positive Hack Days 2012.
Одним из интереснейших докладов сегодняшнего дня в рамках Positive Hack Days 2012 было выступление Александра Гостева из лаборатории Касперского. Доклад был заявлен как «Тайна Duqu». Но Александр решил рассказать о новом черве-вирусе под названием Flame.

Flame — принципиально новый вид вредоносного программного обеспечения, который сочетает в себе функции червя и трояна с огромным количеством функций.

Александр обрисовал действия Flame на фоне современной политической ситуации в Иране, так как основная масса зараженных систем была именно в этой стране. Напомню, что мировое сообщество высказало свое отношение к разработкам «мирного атома» Ираном, как к попытке создать ядерное оружие. После того, как Иран ответил запретом продаж нефти Европейским странам, в его системах был обнаружен тот самый Flame. Случайность это или таргетированная атака, Александр рассуждал на протяжении всего своего доклада, но и не делал конкретных выводов, заставляя слушателя додумать концовку самому.

Александр рассказал о принципе действия данного вредоносного продукта впервые на данной конференции. До этого момента официальные СМИ знали только о существовании данного трояна, но не о его функционале.

Суть данного вредоносного программного обеспечения состоит в поражении систем управления нефтяной промышленности стран Ближнего Востока, а в частности, Ирана.

Локализовав данный троян, в лаборатории Касперского пришли к выводу о нестандартности используемого хакерами решения. Первое, что, по рассказу Александра, бросилось в глаза — это размер исполняемого файла Flame. Он составлял 6 Мб, в то время как ближайший ориентир лаборатории Касперского — всем известный червь Stuxnet — имел размер 1 Мб. Но это еще не все! Распаковывая свое тело, Flame разрастался до 20 Мб, сохраняя за собой возможность подключиться к сети и докачать необходимые модули.

Действие Flame заключалось в основном в шпионаже. Закончив распаковку, Flame создавал собственную базу данных, в которую заносился каталог файлов зараженной машины. Помимо этой функции, червь имел возможность делать скриншоты исполняемых на компьютере процессов и, после опроса оборудования, если к компьютеру был подключен микрофон, мог записывать разговоры в данном помещении.

Видимо, в пассивном режиме работы данного малвари значился только сбор значимой информации о зараженной машине. В активом режиме Flame уничтожал важные данные, связанные с нефтяной промышленностью. Разрушительной деятельностью являлось затирание баз данных поставок нефти, номеров счетов, списков клиентов и другой важной для данной отрасли информации, в результате чего Ираном был остановлен главный терминал отгрузки нефти (так как не было понятно кому и сколько выдать). Помимо этого, он мог красть связку логин-пароль для существующих пользователей посредством поднятия на зараженной машине сниффера. Так же, в список функций Flame входило создание Bluetooth-меток на зараженном компьютере (возможно с целью его дальнейшей идентификации в местах общего пользования).

Зараженных систем было немного. Основываясь на работе с Стакснет, лаборатории Касперского удалось обнаружить следы пребывания нового червя в исследуемых системах.

Так как классифицировать Flame? Ближе всего к истине, говорит Александр, назвать его кибер-оружием (как и Stuxnet с Duqu). ПО было направленно на очень узкий диапазон систем, фактором для заражения которых, вероятно, являлось отношение системы к странам Ближнего Востока и нефтяной промышленности. Более 500 систем были заражены в этом регионе (Ближний Восток, 200 из них — Иран, потом Палестина и Сирия, Седан и Египет).
Чтобы найти корни этой проблемы, лаборатория Касперского обратилась к данным 2010 года. В августе 2010 (последняя версия Стакснета) эти файлы существовали в том же регионе мира. Хотя в коде и архитектуре нет сходства с Стакснетом, Флейм работает на заражение флешек только по команде (как и Стакснет, и только он). Так же он использует распространение через сетевые принтеры (опять же как Стакснет).

Подводя итог, Александр сказал следующее: все вышеупомянутые черви-вирусы (Стакснет — остановка центрифуги обогащения урана, Duqu и Flame — промышленные шпионы, Viper — логические бомбы и уничтожение данных без возможности восстановления), несомненно, являются кибер-оружием, возможное применение которого сравнимо с ударом по врагу реальных сил и серьезными потерями с его стороны.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх