02.12.2022

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Новый код кибер-шпион атакует страны Ближнего Востока

«Лаборатория Касперского» проинформировала об обнаружении новой сложной вредоносной программы, которая в настоящий момент активно используется в ряде стран в качестве кибер-оружия. По сложности и функционалу вредоносная программа превосходит все ранее известные виды угроз.

Вредоносная программа была обнаружена антивирусной компанией во время исследования, инициированного Международным союзом электросвязи. Программа, детектируемая продуктами самой «Лаборатории Касперского» как Worm.Win32.Flame, разработана для ведения кибер-шпионажа. Она позволяет похищать важные данные, в том числе информацию, выводимую на монитор, информацию о системах – объектах атак, файлы, хранящиеся на компьютере, контактные данные пользователей и даже аудиозаписи разговоров.

Независимое исследование было начато по инициативе МСЭ и «Лаборатории Касперского» после серии инцидентов с другой, пока еще неизвестной вредоносной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Западной Азии. Эту вредоносную программу еще только предстоит обнаружить; однако во время анализа инцидентов специалисты выявили новый вид вредоносной программы, сейчас известной как Flame. По предварительным результатам этот зловред активно используется уже более двух лет, с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Хотя Flame отличается по своим характеристикам от зловредов Duqu и Stuxnet, ранее использовавшихся в качестве кибер-оружия, такие факты как география атак, использование специфичных уязвимостей в ПО, а также то, что целью атак становятся только определенные компьютеры, указывают на то, что Flame относится к той же категории сложного кибер-оружия.

«Уже на протяжении нескольких лет опасность военных операций в кибер-пространстве  является одной из самых серьёзных тем информационной безопасности. Stuxnet и Duqu были звеньям одной цепи кибер-атак; их применение вызвало озабоченность в связи возможной перспективой развязывания кибер-войн во всем мире. Зловред Flame, по всей вероятности, является еще одним этапом такой войны. Важно понимать, что подобное кибер-оружие легко может быть обращено против любого государства. Кроме того, в кибер-войнах, в отличие от традиционных, развитые страны оказываются наиболее уязвимыми», – говорит Евгений Касперский.

Согласно имеющимся данным, основная задача Flame – кибер-шпионаж с использованием информации, украденной с зараженных машин. Похищенные данные передаются в сеть командных серверов, размещенных в разных частях света. Вредоносная программа рассчитана на кражу широкого спектра данных: документов, снимков экрана, аудио-записей, а также на перехват сетевого трафика. Это делает ее одним из наиболее сложных и полнофункциональных средств проведения кибер-атак из обнаруженных на сегодняшний день. Вопрос об использованном вредоносной программой векторе заражения пока остается без ответа. Однако уже сейчас ясно, что Flame может распространяться по сети несколькими способами, в том числе путем эксплуатации той же уязвимости в службе диспетчера печати и того же метода заражения через USB-устройства, который использует червь Stuxnet.

«Предварительные выводы исследования, проведенного по срочному запросу МСЭ, подтверждают целевой характер этой вредоносной программы. Один из наиболее тревожных фактов относительно кибер-атаки, проводимой с помощью Flame, состоит в том, что она в данный момент находится в активной стадии, и те, кто ее проводят, постоянно ведут наблюдение за зараженными системами, собирают информацию и выбирают новые объекты для достижения своих, неизвестных нам целей», – комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Эксперты «Лаборатории Касперского» в настоящее время проводят углубленный анализ Flame. На данный момент известно, что вредоносная программа содержит несколько модулей, насчитывающих в общей сложности несколько мегабайт исполняемого кода, что почти в 20 раз больше, чем размер червя Stuxnet. Это означает, что для анализа данного кибер-оружия потребуется большая команда высокопрофессиональных экспертов по безопасности со значительным опытом в области кибер-защиты.

МСЭ будет использовать возможности сети IMPACT, состоящей из 142 стран и нескольких крупных игроков отрасли, включая «Лабораторию Касперского», для информирования государственных органов и технического сообщества о данной кибер-угрозе и обеспечения скорейшего завершения технического анализа угрозы.