МОСКВА, 4 июн - ПРАЙМ. Шпионский вирус Flame, обнаруженный недавно экспертами по информационной безопасности, искал на компьютерах жертв файлы с расширением PDF, в котором часто сохраняют документы, и файлы с расширением DWG, обычно созданные в программе AutoCAD, предназначенной для создания всевозможных чертежей, рассказал РИА Новости эксперт российской антивирусной компании "Лаборатория Касперского" Виталий Камлюк.
Эксперты компании на минувшей неделе сообщили об обнаружении вредоносной программы Flame, которая, предположительно, была создана для незаметного похищения важной информации из компьютеров государственных ведомств и крупных компаний ряда ближневосточных стран. В беседе с корреспондентом РИА Новости Виталий Камлюк сообщил новую информацию, косвенно подтверждающую "шпионское" назначение вируса.
"Программа проявляет повышенный интерес к файлам PDF и DWG. DWG – это расширение файлов, созданных в программе AutoCAD, которая предназначается для создания и редактирования различных чертежей", - сказал РИА Новости Камлюк.
Данную информацию экспертам удалось выяснить после того, как они совместно с экспертами крупнейшего доменного регистратора GoDaddy и DNS-провайдером OpenDNS успешно провели операцию sinkhole. По итогам операции экспертам удалось подменить собственным сервером управления соответствующие серверы злоумышленников. С таких серверов злоумышленники отдавали команды зараженным с помощью Flame компьютерам и получали от них данные.
Также экспертам "ЛК" впервые удалось получить данные о реальном количестве заражений. Так, по новой информации, наибольшее число зараженных компьютеров (45) находится в Иране, на втором месте – Ливан (21), на третьем – Судан (14). Также единицы заражений были зарегистрированы в странах Европы. По словам Камлюка, вероятно, эти данные приходят от зараженных компьютеров граждан Ирана, Ливана, Судана и других ближневосточных стран, которые либо путешествуют в Европе, либо используют европейские серверы для анонимного входа в интернет.
Новые цифры гораздо меньше озвученных ранее примерно 500 зараженных компьютерах, но, как пояснил Виталий Камлюк, ранее компания получала данные из сети Kaspersky Security Network, которая, во-первых, полностью состоит из компьютеров, на которых установлена продукция "Лаборатории"; во-вторых, учитывает даже те компьютеры, на которых Flame уже нет, а был установлен в прошлом. Ныне же данные приходят лишь от активных ботов, чем и объясняется резкое изменение статистики заражений.
Успешное проведение процедуры sinkhole также дало исследователям множество другой информации о функционировании Flame. В частности, эксперты выяснили, что для обслуживания серверов управления Flame, злоумышленники зарегистрировали 80 доменов, первый из которых был зарегистрирован в 2008 году, что косвенно может указывать на то, что первая версия Flame появилась уже тогда. Все домены регистрировались по подставным данным, причем на одну "фальшивую личность" регистрировалось не более четырех доменов. Географически серверы управления были рассредоточены по всему миру. По словам Камлюка, все эти меры были приняты авторами Flame для того, чтобы максимально затруднить процесс их поиска правоохранительными органами.
Неизвестными остаются ответы на многие вопросы, связанные с данным вирусом. В частности, исследователи до сих пор не знают, каким образом происходит первоначальное заражение Flame – пока известны лишь способы распространения программы в локальной сети, уже после того, как программа туда попала. Неизвестны также и предплагаемые авторы вируса. Как рассказал Виталий Камлюк, по коду программы иногда можно определить хотя бы к какой языковой группе относится язык, на котором разговаривает автор программы, и является ли для него этот язык родным. По словам эксперта "Лаборатории", пока с уверенностью об авторах Flame можно сказать лишь то, что они хорошо говорят по-английски.
Flame стала четвертым образцом "кибероружия", известным специалистам по информационной безопасности. Первой такой программой стал Stuxnet, обнаруженный в 2010 году, и который, предположительно, использовался для вывода из строя центрифуг для обогащения урана на ряде заводов в Иране. Вторым вирусом стал обнаруженный в 2011 году Duqu. Данное вредоносное ПО предназначалось для незаметного сбора конфиденциальных данных. Третий вирус под условным названием Wiper в конце апреля текущего года уничтожил всю информацию на нескольких серверах одной из крупнейших нефтяных компаний Ирана, чем на несколько дней полностью парализовал ее работу. Во время изучения этого инцидента специалисты "Лаборатории" и обнаружили Flame - четвертый вирус для "продвинутых" кибератак.
По мнению Александра Гостева – главного антивирусного эксперта "Лаборатории Касперского", шпионские вирусы, подобные Flame, действующие максимально незаметно и эффективно, получат широкое распространение уже в ближайшем будущем.
Российская компания "Лаборатория Касперского" является одной из крупнейших в мире антивирусных компаний. Согласно данным "ЛК", ПО компании установлено на 300 миллионах компьютеров и мобильных устройств по всему миру, передает РИА Новости.
