Flame: супер-шпион для Skype с поддержкой Bluetooth - это Harbi

Новости от исследователей кибербезопасности в этот День памяти звучали как сюжетное устройство из научно-фантастического фильма. Сверхсекретная программа наблюдения в течение многих лет бездействовала на компьютерах по всему миру, тайно включала микрофоны, делала скриншоты, копировала файлы, записывала нажатия клавиш, играла по Bluetooth и отправляла всю информацию неизвестным лицам. По запросу Международного союза электросвязи Организации Объединенных Наций об открытии было объявлено об открытии Flame - самого совершенного в мире оружия кибервойны. Многие из зараженных компьютеров принадлежали намеренно целевым домашним пользователям; Изящно созданное программное обеспечение на протяжении многих лет избежало уклонения от лучших в мире наборов антивирусных программ.

По словам Александра Гостева из Лаборатории Касперского, один из первые эксперты, чтобы исследовать Flame , продукт «[нюхает] сетевой трафик, снимает скриншоты, записывает аудио разговоры, перехватывает клавиатуру и так далее. Все эти данные доступны операторам по ссылке на серверы управления и контроля Flame. Позже операторы могут загрузить дополнительные модули, которые расширяют функциональность Flame. Всего около 20 модулей, и цель большинства из них все еще исследуется ». Другие части Flame активируют функцию Bluetooth и информацию о имени / номере телефона / адресе сифона с телефонов с поддержкой Bluetooth рядом с зараженными компьютерами. Flame был написан с использованием Lua, языка программирования, наиболее известного своим использованием в Angry Birds .

Из-за целей Flame по сбору информации, сложной конструкции, множественных избыточностей, чтобы скрыться от детекторов вирусов и вредоносных программ, и того факта, что он не используется для финансовой выгоды, большинство экспертов классифицируют продукт как оружие для кибервойн. Что делает Flame особенно интересным (и жутким), так это тот факт, что многие зараженные компьютеры являются домашними компьютерами с подключением к Интернету, чьи методические шпионы в Skype и папки с документами отслеживались.

Мы до сих пор не знаем (или нам не говорят), как Flame был выпущен в дикую природу и каковы основные методы заражения. Анонимное заявление от Symantec утверждает, что большинство обнаруженных случаев происходит на Западном берегу, в Венгрии, Иране и Ливане с меньшим количеством зараженных компьютеров в Австрии, России, Гонконге и Объединенных Арабских Эмиратах. Список целевых стран, по-видимому, указывает на соучастие Израиля в кибератаке.

Один израильский чиновник уже сделал смешное заявление, которое может предположить местную причастность к Flame. В интервью радио израильской армии министр по стратегическим вопросам Моше Яалон сказал, что «Те, кто рассматривает Иран как серьезную угрозу, вероятно, используют различные способы, в том числе этот, чтобы атаковать его. […] Израиль был наделен элитными технологиями, и эти инструменты, которыми мы гордимся, открывают для нас всевозможные варианты ». Однако заявление Яалона также может быть хвастливой дезинформацией.

Исследователи в CrySyS Lab в Будапештском университете, который написал один из первые технические отчеты по Flame (который они назвали sKyWIper), идентифицировал более дюжины уникальных слов или строк текста, используемых неизвестными программистами продукта. Все эти слова были английскими или испанскими, такими как Boost, Flame, Flask, Euphoria, BUENO_FLAME_DLL_KEY, Головная боль, Beetlejuice, Microbe и Weasel.

Команда CrySyS, которая не оставила своих имен в своем техническом отчете (и отметила, что они «провели расследование в сотрудничестве с несколькими сторонами, участвующими в реагировании на инциденты ... Некоторые из этих участвующих сторон могут пожелать остаться анонимными, поэтому ссылки в документ заведомо неверен, чтобы избежать идентификации источника какой-либо информации, данных, образца, кода, прототипа и т. д. »), заявил, что самая ранняя дата заражения была в Европе в декабре 2007 года, в Объединенных Арабских Эмиратах в апреле 2008 года. и в Иране в марте 2010 года.

В апреле Иранское студенческое информационное агентство (через New York Times ) заявило, что соответствующая программа называется Стеклоочиститель использовался в массовых нападениях на министерство нефти Ирана , Согласно заявлению Касперского, «червь кибершпионажа Flame привлек внимание наших экспертов в Лаборатории Касперского после того, как Международный союз электросвязи ООН обратился к нам за помощью в поиске неизвестного вредоносного ПО, которое удаляло конфиденциальную информацию на Ближнем Востоке. При поиске этого кода по прозвищу Wiper мы обнаружили [Flame] ».

Хотя «Касперский» не раскрывал подробности о конкретных зараженных компьютерах, Гостев утверждает, что жертвами являются частные «конкретные» лица, образовательные учреждения и организации, связанные с государством. В то же время в заявлении Symantec загадочно говорится, что многие жертвы, похоже, становятся жертвами отдельных личных действий, а не компании, в которой они работают ». Питер Сзор и Гильерме Венере из McAfee также обнаружили несколько инфекций Flame в США

Кибервойна и корпоративный шпионаж - это улицы с двусторонним движением. Пламя - удивительно сложная технология. Даже если за проектом не стоит Израиль или Соединенные Штаты, это все еще вершина скрытой кибервойны в 2012 году. Однако сегодняшняя новинка в области высоких технологий - обычное оружие завтрашнего дня. По мере того как Flame детально изучается и подвергается обратной разработке, уникальные аспекты продукта будут воспроизведены и улучшены другими заинтересованными сторонами. Это будет означать значительную головную боль для фирм по компьютерной безопасности.

Программы, черви и вредоносные программы не создаются в вакууме. Это очень безопасное предположение, что есть другие продукты, подобные Flame, которые сейчас прячутся на компьютерах, скрытно следят за каждым движением пользователей или удаляют стратегические файлы… и уклоняются от обнаружения антивирусными программами, на которые персональные и корпоративные пользователи полагаются для обеспечения безопасности. , Помимо Соединенных Штатов и Израиля, свои программы кибервойны имеют Китай, Россия, Франция, Великобритания, Индия, Пакистан, Бразилия и целый ряд других стран. Появляющиеся угрозы кибервойны являются частью повседневной жизни - от Пламени до опасений, что Китай размещение бэкдоров в компьютерных чипах, проданных американским военным , Тогда, конечно, есть все кибероружия, которые мы регулярно обнаруживаем, о которых мы не слышим, потому что правительства и корпорации хотят молчать.

Flame - это что-то из научно-фантастического фильма или сюжета из последней « Невозможной миссии» . Высокая странность - это фактическое предположение, когда мы имеем дело с кибервойнами и технологиями в наши дни. Сегодняшний слежка за академиками и нефтяными объектами Ирана может стать завтрашним жутким корпоративным инструментом сбора информации.

Чтобы узнать больше подобных историй, следуйте @fastcompany в Твиттере. Напишите Нилу Унгерлейдеру, автору этой статьи, Вот или найти его на щебет а также Google+ ,

[ Основное изображение: пользователь Flickr Том Лин , Сверху, в середине изображения: Лаборатория Касперского / Нижнее изображение: McAfee ]

Похожие