Flame (вірус)
Flame — комп'ютерний хробак, що вражає комп'ютери під управлінням операційної системи Microsoft Windows версій XP , 7 , Vista.
Його виявив Роель Шувенберг, старший науковий співробітник з комп'ютерної безпеки Лабораторії Касперського під час дослідження вірусу Wiper, який атакував комп'ютери в Ірані, про що було оголошено 28 травня 2012 року. Найбільш постраждалими країнами є Іран, Ізраїль, Судан, Сирія, Ліван, Саудівська Аравія і Єгипет. Діє вірус приблизно з березня 2010 року. Програма має об'єм 20 МБ і значно перевершує в цьому відношенні вірус Stuxnet . Flame використовує бібліотеки zlib, libbz2, ppmd для стиснення, вбудовану СУБД, віртуальну машину Lua.
Деякі частини вірусу мали цифровий підпис, отриману за допомогою сертифіката з ієрархії Microsoft. Подібний сертифікат міг бути отриманий будь-яким власником сервера Terminal Licensing; однак Flame додатково використовувалася як нова атака для пошуку колізій у хеші MD5. Завдяки проведеній атаці сертифікат можна було використовувати для підписування оновлень Windows Update для ОС Windows XP, 7, Vista. Компоненти вірусу вперше посилалися на сервер Virustotal влітку 2009 року.
У 2012 році експерти лабораторії Касперського виявили, що розробники Flame співпрацювали з розробниками іншого складного хробака Stuxnet. У червні 2012 року газета Washington Post з посиланням на неназваних західних чиновників повідомила про те, що шпигунський вірус Flame розроблявся спільно фахівцями США та Ізраїлю для отримання інформації, яка могла б бути корисна в зриві іранської ядерної програми. 17 вересня 2012 лабораторія Касперського в своєму офіційному блозі опублікувала дослідження, згідно з яким вірус Flame почав розроблятися і впроваджуватися в 2006 році, записи командного сервера з управління заражених вірусом комп'ютерів, виявлені вірусними аналітиками, датуються 3 грудня 2006.
Розмноження та цілі вірусу
| Ім'я | Опис |
|---|---|
| Flame | Модулі, які виконують функції атаки |
| Boost | Модулі збору інформаціі |
| Jimmy | Атакуючий модуль |
| Munch | Модуль установки та поширення вірусу |
| Snack | Модуль місцевого поширення |
| Spotter | Модуль сканування |
| Transport | Модуль дублювання |
| Euphoria | Модуль збору даних |
| Headache | Модуль параметрів атаки |
Як раніше відомі віруси Stuxnet і Duqu, Flame використовується як ціленаправлений вірус і може ухилитися від поточної версії програмного забезпечення безпеки через руткит — функціонал. Після того, як система ушкоджена, Flame може поширитися на інші системи по локальній мережі або через USB флешку. Вірус здатний збирати файли даних, віддалено змінювати параметри комп'ютера, записувати звук, скріншоти і підключатися до чатів. Програма також записує Skype розмови і може перетворити заражені комп'ютери в маяки Bluetooth, які намагаються завантажити контактну інформацію з довколишніх Bluetooth включений пристроїв. Ці дані відправляються на один з декількох пунктів командування і управління серверами, які розкидані по всьому світу. Потім програма очікує подальших вказівок від цих серверів. На відміну від Stuxnet, який був розроблений, щоб саботувати виробничий процес , Flame був написаний виключно для шпигунства. Цей вірус не націлений на певну галузь, а скоріше є «повний інструментарієм, призначеним для загальних цілей кібер-шпигунства».
Провівши дослідження лабораторія Касперського показала, що більшість цілей були в межах Ірану (як згадувалося раніше), де програма виконувала збір тактично-воєнних даних. Мережа з 80 серверів в Азії, Європі та Північній Америці була використана для дистанційного доступу.