По мнению экспертов "Лаборатория в данный момент Flame активно применяется в качестве кибероружия в ряде ближневосточных государств. Анализ вредоносной программы показал, что на момент обнаружения Flame использовалась для кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов. Эксперты выяснили, что командные серверы Flame действовали на протяжении нескольких лет. По словам главного антивирусного эксперта "Лаборатории Касперского" Александра Гостева, Flame не могли обнаружить, потому что вредоносная программа оказалась очень большого размера, в то время как все современные вредоносные программы в основном совсем небольшие. "Модули Flame вместе составляют более 20 Мб. Многие из них являются библиотеками, предназначенными для обработки SSL-трафика, SSH-соединений, контроля сообщений, передаваемых по сети связи, с целью выявления конфиденциальной информации, проведения атак, перехвата сообщений и т.п", - уточнил Гостев. "Нам потребовалось несколько месяцев, чтобы проанализировать 500-килобайтовый код Stuxnet. А на то, чтобы полностью понять 20-мегабайтный код Flame, вероятно, потребуются годы", - добавил он.
Помимо этого, эксперты пришли к выводу, что данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия. По мнению Гостева, атакующие испытывают повышенный интерес к документам MS Office, PDF и файлам AutoCAD. "Кроме того, вредоносная программа может регулярно делать скриншоты, в том числе в процессе работы некоторых "интересных" приложений, например, службы обмена мгновенными сообщениями. Скриншоты сохраняются в сжатом формате и регулярно отправляются на сервер C&C, так же как и аудиозаписи", - пояснил он. По словам эксперта, последствием использования данной вредоносной программы является шпионаж или кража конфиденциальной информации.
На данный момент экспертам известно более 80 доменов, использовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг. За последние 4 года они попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию. Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы.
"Flame представляет собой весьма хитрый набор инструментов для проведения атак, значительно превосходящий по сложности Duqu - другой печально известный образец кибероружия наряду со Stuxnet. Без сомнения, Flame является одной из самых сложных киберугроз за всю историю их существования. Программа имеет большой размер и невероятно сложную структуру", - уверен Гостев.
Комментарии