Вирус «Флейм» на службе у разведок

Интернет переполнен сообщениями о том, что компьютерный вирус «Флейм», жервами которого стали многочисленные пользователи Сети, создан при участии американских и израильских спецслужб, пытавшихся таким образом проникнуть в систему управления ядерными объектами Ирана. О том, что это за вирус, рассказал глава международного отдела аналитической организации HostExploit & CyberDefco, известный «охотник за хакерами» Джарт Армин.

— Что такого особенного в вирусе «Флейм»? Почему вокруг него такая шумиха?

— «Флейм» — это одна из наиболее интересных вредоносных программ, обнаруженных за последнее время в Сети. При этом, хотя его называют потенциально наиболее опасным на сегодняшний день вирусом, «Флейм» является примером комбинированной атаки, использующей несколько проникающих методологий. При этом каждая такая атака отличается от всех остальных, хотя у них могут быть общие компоненты.

Если же говорить о новых качествах «Флейма», то можно выделить следующие. Во-первых, «Флейм» обладает возможностью записывать аудио через микрофон.

Сам факт записи, конечно, не нов, но это первый вирус, который помимо всего прочего также записывает аудио. Во-вторых, он может снимать скриншоты и может обмениваться информацией через Bluetooth с помощью приложения, известного под названием Beetlejuice.

В-третьих, собранные данные посылаются в центр управления через скрытый SSL канал. К тому же есть данные о том, что «Флейм» продолжает эпопею с «карманными ботнетами», когда взломанные смартфоны используются в качестве ботов-зомби для анонимной передачи данных в другие персональные компьютерные устройства. В-четвертых, «Флейм» написан с помощью редкого языка Lua, что делает его более сложным и продвинутым, чем другие троянские вирусы.

Кроме того, при его написании использовался большой набор инструментов, и большая часть кода является скрытой. В-пятых, этот вирус может копировать себя в локальной сети с помощью уязвимости в службе диспетчера очереди печати MS10-061. И, наконец, программа использует коллизию хэш-функции, которая позволяет создать действующий сертификат для регистрации в Windows, в том числе, в наиболее последних версиях программы, что позволяет в дальнейшем наносить удары без необходимости взламывать каждый раз программу.

— Каков масштаб урона, нанесенного «Флеймом»? Удалось ли тем, кто его запустил, собрать нужную им информацию?

— На начало лета 2012 года нам известно об атаках с помощью «Флейма» против следующих стран: Иран – 189 атак, Израиль – 88 атак, Судан – 32 атаки, Сирия – 30 атак, Ливан – 18 атак, Саудовская Аравия – 10 атак, Палестина – 10 атак, Египет – 5 атак. По сути, «Флейм» – это программа, собирающая разведданные. Однако анализ «Флейма» не позволяет выделить какую-то конкретную отрасль: атаки были нанесены как по отдельным людям, так и по государственным компаниям и университетам.

— Появились публикации, что вирусные программы «Флейм» и Stuxnet, использовавшиеся против Ирана, были созданы если не одной командой, то, как минимум, в результате сотрудничества. Насколько верно это заявление?

— Действительно, проделанный анализ приводит именно к таким выводам. Более того, «Флейм» был создан на несколько месяцев раньше Stuxnet. Часть кода Stuxnet, которая раньше была неизвестна — Resource 207 – позволила соединить две программы, по крайней мере, на первых этапах Stuxnet эти программы писались вместе. Но с 2009 года программы были разделены. Однако я хотел бы подчеркнуть, что речь может идти о сотрудничестве между двумя командами, над каждой программой работала отдельная группа людей. Кроме того, «Флейм» в двадцать раз объемней, чем Stuxnet.

— Насколько обоснованы заявления о том, что Stuxnet был создан США и Израилем для того, чтобы наносить кибер-атаки по Ирану, причем сделано это было якобы по прямому указу Барака Обамы? Используют ли современные государства такие средства в своей политике и насколько они эффективны?

— В каком-то смысле «Флейм» можно назвать очередной заурядной программой, которая была усилена новыми инструментами, о которых я говорил раньше – скриншоты, запись аудио, контролирование клавиатуры, и т.д. В целом, такого рода вредоносное компьютерное оборудование использовалось и раньше – например, немецкий вирус BKA, который годами использовался немецкими федеральными правоохранительными органами.

В этой череде «правительственных» вирусов еще один под названием FinFisher. О нем мы узнали из документов, найденных в штаб-квартире Отделения расследований государственной безопасности Египта во время протестов в марте прошлого года. В них содержалась информация о вредоносных программах, которые были предложены правительству Мубарака для приобретения. Речь шла о продукте под названием FinFisher — программе, которая позволяет собирать данные. Программа была создана англо-немецкой компанией Gamma International UK Ltd.

У компании, кстати, есть сайт, на котором подробно описано, какие именно услуги она предлагает. У программы FinFisher тоже есть свой сайт, где написано, что она может позволить получить доступ к интересуемым системам, перехватить зашифрованные данные и сообщения, а в сочетании с инфицируемыми программами, правительственные организации смогут удаленно заразить нужные им системы. Просто и понятно. И в случае с Finfisher, и в случаях с «Флеймом» и Stuxnet, эти программы были написаны фирмами, которые работают на правительства. А вся эта шумиха – это идеальная рекламная кампания продукта, который эти фирмы сделали.

В момент, когда Stuxnet был обнаружен, США отрицали какое-либо участие в создании и использовании программы. Сейчас, по прошествии времени, у американского правительства появились причины, чтобы косвенно признать свое участие: ведь иранскую ядерную программу удалось приостановить, а это большой козырь, который стоит того, чтобы сделать поворот на сто восемьдесят градусов.

Беседовала Юлия Нетесова, Росбалт

You may also like...