Flame (вірус)

Flame — комп'ютерний хробак, що вражає комп'ютери під управлінням операційної системи Microsoft Windows версій XP , 7 , Vista.

Його виявив Роель Шувенберг, старший науковий співробітник з комп'ютерної безпеки Лабораторії Касперського під час дослідження вірусу Wiper, який атакував комп'ютери в Ірані, про що було оголошено 28 травня 2012 року. Найбільш постраждалими країнами є Іран, Ізраїль, Судан, Сирія, Ліван, Саудівська Аравія і Єгипет. Діє вірус приблизно з березня 2010 року. Програма має об'єм 20 МБ і значно перевершує в цьому відношенні вірус Stuxnet . Flame використовує бібліотеки zlib, libbz2, ppmd для стиснення, вбудовану СУБД, віртуальну машину Lua.

Деякі частини вірусу мали цифровий підпис, отриману за допомогою сертифіката з ієрархії Microsoft. Подібний сертифікат міг бути отриманий будь-яким власником сервера Terminal Licensing; однак Flame додатково використовувалася як нова атака для пошуку колізій у хеші MD5. Завдяки проведеній атаці сертифікат можна було використовувати для підписування оновлень Windows Update для ОС Windows XP, 7, Vista. Компоненти вірусу вперше посилалися на сервер Virustotal влітку 2009 року.

У 2012 році експерти лабораторії Касперського виявили, що розробники Flame співпрацювали з розробниками іншого складного хробака Stuxnet. У червні 2012 року газета Washington Post з посиланням на неназваних західних чиновників повідомила про те, що шпигунський вірус Flame розроблявся спільно фахівцями США та Ізраїлю для отримання інформації, яка могла б бути корисна в зриві іранської ядерної програми. 17 вересня 2012 лабораторія Касперського в своєму офіційному блозі опублікувала дослідження, згідно з яким вірус Flame почав розроблятися і впроваджуватися в 2006 році, записи командного сервера з управління заражених вірусом комп'ютерів, виявлені вірусними аналітиками, датуються 3 грудня 2006.

Розмноження та цілі вірусу

Ім'яОпис
Список кодових імен для модулів вірусу у вихідному коді Flame і їх можливої мети
Flame Модулі, які виконують функції атаки
Boost Модулі збору інформаціі
Jimmy Атакуючий модуль
Munch Модуль установки та поширення вірусу
Snack Модуль місцевого поширення
Spotter Модуль сканування
Transport Модуль дублювання
Euphoria Модуль збору даних
Headache Модуль параметрів атаки

Як раніше відомі віруси Stuxnet і Duqu, Flame використовується як ціленаправлений вірус і може ухилитися від поточної версії програмного забезпечення безпеки через руткит — функціонал. Після того, як система ушкоджена, Flame може поширитися на інші системи по локальній мережі або через USB флешку. Вірус здатний збирати файли даних, віддалено змінювати параметри комп'ютера, записувати звук, скріншоти і підключатися до чатів. Програма також записує Skype розмови і може перетворити заражені комп'ютери в маяки Bluetooth, які намагаються завантажити контактну інформацію з довколишніх Bluetooth включений пристроїв. Ці дані відправляються на один з декількох пунктів командування і управління серверами, які розкидані по всьому світу. Потім програма очікує подальших вказівок від цих серверів. На відміну від Stuxnet, який був розроблений, щоб саботувати виробничий процес , Flame був написаний виключно для шпигунства. Цей вірус не націлений на певну галузь, а скоріше є «повний інструментарієм, призначеним для загальних цілей кібер-шпигунства».

Провівши дослідження лабораторія Касперського показала, що більшість цілей були в межах Ірану (як згадувалося раніше), де програма виконувала збір тактично-воєнних даних. Мережа з 80 серверів в Азії, Європі та Північній Америці була використана для дистанційного доступу.

Див. також

Джерела

Хабрахабр: «Flame: что известно на данный момент»


This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.