Из искры возгорится пламя: кто стоит за вирусом flame?

Иран приходит в себя по окончании нанесённого по стране очередного удара точным цифровым оружием. Компьютерный вирус Flame, найденный русскими экспертами (Лаборатория Касперского), предположительно был нацелен на иранский нефтепром, хоть в последние часы и поступила информация, что заражению подверглись кроме этого компьютеры вне стен организаций и компаний, которые связаны с нефтью. лечения вируса и Средства выявления уже имеются, но готовься к продолжению истории, неожиданным новым резким поворотам и фактам сюжета: в «Касперском» Flame назвали одной из сложнейших цифровых зараз за всю историю существования вирусов — и западные специалисты с этим диагнозом в общем согласны.

В случае если кратко, Flame — компьютерный вирус, талантливый инфицировать персоналки под управлением Микрософт Windows 7, Vista и XP с полным комплектом установленных патчей. Разумеется, что для проникновения на машину употребляются до тех пор пока малоизвестные спецам по безопасности уязвимости. Обосновавшись на новом месте, он способен разрешить войти в движение и более ветхие трюки, распространяясь через USB-флэшки и локальную сеть.

Делать выводы о всех его возможностях рано: всецело укомплектованный вариант Flame занимает 20 мегабайт, другими словами в десятки раза больше простых вирусов. Это в высшей степени опытный, сложный программный продукт, на написание которого израсходованы многие месяцы труда многочисленного коллектива. Flame разбит на модули-библиотеки (фактически имя для вируса образовано от заглавия главного модуля), пользуется собственной базой данных, деятельно использует криптографию, компрессию, скриптовое программирование, задействует элементы свободного (open source) ПО.

Эпидемическая карта вируса Flame. Центр активности — Иран (фото: Лаборатория Касперского).

Тяжело поверить в то, что эта многоголовая гидра имела возможность оставаться незамеченной пара лет. Но — факт: совершённый в «Касперском» анализ разрешает утверждать, что первые заражения произошли ещё весной 2010 года, а косвенные свидетельства, показывающие на вероятное применение Flame, восходят и вовсе к 2007-му. Вероятная обстоятельство таковой незаметности — узкая специализация: по крайней мере в известном виде Flame предназначается только для шпионажа. Он не стирает файлы, не пробует жечь оборудование, как один из его предшественников, а также распространяется лишь по команде «сверху» (загадочные авторы руководят вирусом через десятки серверов в мире).

Flame всего лишь высасывает данные, но делает это с таковой эффективностью, что его уподобляют пылесосу. На инфицированном компьютере он осуществляет контроль практически всё до последнего бита. Фиксирует каждую надавленную клавишу, разбирает содержимое офисных документов, машинально делает снимки экрана и включает микрофон, дабы подслушать, о чём треплются в помещении, вчитывается в трафик а также (в то время, когда вероятно) сканирует Bluetooth-эфир для извлечения данных из расположенных рядом сотовых телефонов.

В соответствии с «Касперскому», инфицированы вирусом предположительно около тысячи компьютеров, причём находятся они в основном на Ближнем Востоке и в Северной Африке, с центром в Иране. Другие исследователи дают похожую оценку, но заявляют и о случаях заражения персоналок в других государствах (Symantec, к примеру, распознал случаи в Российской Федерации). Ничего необычного, что целью Flame считается Иран, авторство же приписывают разведслужбам Израиля либо США.

Тем самым, каковые, как предполагается, выпустили известный Stuxnet (повредивший центрифуги для обогащения урана на заводе в Натанзе) и его «брата », вирус-шпион Duqu (см. «Duqu и национальный терроризм»). С позиций кода, Flame не имеет практически ничего общего с данной парочкой, но сложность, высокий уровень качества выполнения, применение малоизвестных уязвимостей в MS Windows и явный прицел на Иран — всё это разрешает высказать предположение, что за новым вирусом стоит как минимум тот же клиент.

В случае если отвлечься от неординарной сложности Flame, он — всего лишь один из сотен компьютерных вирусов, созданных с целью шпионажа (и значительно чаще это шпионаж промышленный). Прогноз о смещении активности на точные вирусы, нацеленные на конкретную компанию, географический регион либо группу пользователей, наверное, начинает сбываться (фото: Лаборатория Касперского).

Сама идея о том, что автором Flame мог быть какой-нибудь любитель, думается специалистам забавной. Полный анализ Stuxnet занял полгода. Flame в двадцать раз сложнее. Уже того, что известно о нём на данный момент, достаточно, дабы выделить новый вирус в отдельную категорию — по причине того, что он совмещает в себе черты нескольких известных вирусных разновидностей: это и червь, и троян, и средство дистанционного управления — а вдруг обобщить, получается комплексный инструмент для цифровой атаки. Создать подобное из озорства, любопытства, несложного жажды кому-нибудь «насолить» чуть ли вероятно. Авторами Flame двигало что-то большее.

До тех пор пока предположительной целью его заброски считается сбор информации об иранском нефтепроме (среди них и с целью более глубокого внедрения в его компьютерные совокупности). Высшее военное руководство Ирана официально подтвердило, что компьютеры на ведомствах и заводах были «краткосрочно» вирусом поражены. Но утверждать точно, для чего употреблялся и для чего мог быть применён Flame, не в силах никто. Способности вируса смогут расширяться за счёт подключения новых функций: до тех пор пока известны лишь два десятка «расширений», но кто знает какое количество их в запасе у авторов?

Рассуждая об авторстве, западная пресса приходит к выводу, что квалификацией и ресурсами, нужными для Flame, владеют только четыре страны: Соединённые Штаты, Израиль, Россия и Китай. Израиль, повторюсь, есть главным подозреваемым. Его трения с Ираном общеизвестны, а трудящиеся на израильское правительство спецы не исключают возможности применения компьютерных вирусов против собственного соседа. В случае если же отыскать в памяти, что это уже третий подобный инцидент всего за два года, в самый раз сказать о начале в ближневосточном регионе полномасштабной цифровой войны.

Но имеется и вторая версия. В соответствии с «Касперскому», сейчас разработчиков вирусов возможно подразделить на три категории: энтузиастов-хактивистов (пишут из любви к мастерству), киберкриминал (получают деньги, эксплуатируя инфицированные автомобили) и национальные структуры (политика!). Но что в случае если показалась четвёртая несколько авторов — инвесторы, добывающие так инсайдерскую данные? Сведения, тайком извлечённые из компьютеров Министерства нефтяной индустрии Ирана, Национальной иранской других ведомств и нефтяной компании и фирм, поражённых Flame, смогут быть достаточными для громадной биржевой игры.

На Иран приходится двадцатая часть всемирный нефтедобычи, отрасль национализирована, так что зацепки во внутренних документах иранских министерств смогут послужить основанием для спекуляций на миллиарды долларов. Из-за чего бы одному либо группе больших инвесторов не вложиться в создание аналогичного вируса? Легальность проекта, само собой разумеется, вызывающа большие сомнения. Но — посмотрите хотя бы на Facebook и её IPO — кого тревожат законы, в то время, когда речь заходит о солидных деньгах?

И возгорится пламя. Новелла


Похожие статьи: