МОСКВА, 30 мая - ПРАЙМ.
Эксперты компании ранее на этой неделе сообщили об обнаружении вредоносной программы Flame, которая, предположительно, была создана для незаметного похищения важной информации из компьютеров государственных ведомств и крупных компаний ряда ближневосточных стран. По данным "Лаборатории Касперского", программа активно используется более двух лет - с марта 2010 года - и до сих пор не была обнаружена антивирусами из-за сложности и точечной направленности. Первоначальный анализ поведения программы помог экспертам выяснить способы распространения вируса в локальной сети, однако
точной информации о том, как происходит первоначальное заражение, до сих пор нет.
"Возможно, был использован zero-day (уязвимость "нулевого дня", ранее неизвестная экспертам по инфобезопасности) в Windows Media Player", - сказал Гостев.
По словам эксперта, информация о данном источнике заражения пока не нашла точного подтверждения, так как расследование продолжается, однако в 2010 году антивирусным экспертам стало известно об уязвимости
нулевого дня в программе Windows Media Player, которая есть в комплекте практически с каждой копией операционной системы Windows.
Уязвимость позволяет замаскировать вредоносное программное обеспечение под файл формата Windows media. Запуск безобидного видеофайла приводил к заражению. Эта уязвимость оставалась не закрытой на момент предположительного начала активного распространения программы Flame в 2010 году.
Гостев подчеркнул, что данный способ заражения лишь один из возможных. На это указывает в том числе тот факт, что специалистами компании был обнаружен зараженный Flame компьютер, на котором было установлено максимально актуальное ПО. Эксперт не исключил, что хакеры использовали одну или несколько еще не известных уязвимостей.
КИБЕРОРУЖИЕ
Троянскую программу Flame в "Лаборатории Касперского" характеризуют как крайне сложную и относят к категории "кибероружия" - вредоносного ПО, созданного для воздействия на критические компьютерные системы государственного уровня. Flame способен похищать различную информацию с зараженного компьютера, и до недавнего времени не детектировался ни одной антивирусной программой. В компании предполагают, что троянец был использован для атак на конкретные цели, на что указывает относительно низкое количество зарегистрированных заражений - всего около 500 случаев, по данным Гостева. Львиная доля из них (около 200) пришлась на Иран, на втором месте - Израиль и Палестина. При этом злоумышленники, управлявшие программой, очень аккуратно подошли к распространению Flame.
В частности, как и другой "боевой" вирус Stuxnet, обнаруженный в 2010 году, Flame умеет распространяться через внешние накопители, подключаемые к ПК. Однако если Stuxnet делал это автоматически, при каждом подключении зараженного носителя, то Flame заражал лишь избранные машины, по прямому указанию оператора.
Заразив компьютер, Flame осуществляет поиск Bluetooth-модуля. Если такой обнаруживался, вирус включал его и создавал Bluetooth-маяк с оригинальным названием. По мнению Гостева, данная функция могла быть внедрена создателями Flame для незаметного доступа злоумышленников к шпионской информации, собранной с зараженного компьютера. Например, если владелец зараженного компьютера находится в общественном месте, злоумышленник, которому известно название Bluetooth-маяка, может незаметно подключиться к зараженному компьютеру и скачать нужную информацию.
КИБЕРАРМИЯ
Flame стала четвертым образцом "кибероружия", известным специалистам по информационной безопасности. Первой такой программой стал Stuxnet, обнаруженный в 2010 году, и который, предположительно, использовался для вывода из строя центрифуг для обогащения урана на ряде заводов в Иране. Вторым вирусом стал обнаруженный в 2011 году Duqu. Данное вредоносное ПО предназначалось для незаметного сбора конфиденциальных данных. Третий вирус под условным названием Wiper в конце апреля текущего года уничтожил всю информацию на нескольких серверах одной из крупнейших нефтяных компаний Ирана, чем на несколько дней полностью парализовал ее работу. Во время изучения этого инцидента специалисты "Лаборатории" и обнаружили Flame - четвертый вирус для "продвинутых" кибератак.
Эксперты антивирусных компаний сходятся во мнении о том, что Duqu и Stuxnet были созданы одной и той же группой злоумышленников. На это указывает тот факт, что у обеих программ имеется ряд общих программных модулей. Как утверждает Гостев, о Flame такого сказать нельзя - скорее всего, данный вирус был создан другой группой хакеров, хотя основным объектом его атак, как и у Stuxnet, являются компьютеры госорганов и крупных компаний Ирана и нескольких других ближневосточных стран.
По мнению Александра Гостева, хотя Stuxnet и доказал свою эффективность, широкое распространение в дальнейшем получит "кибероружие", нацеленное на шпионаж, а не на саботаж нормального
функционирования объектов критической инфраструктуры. По словам эксперта, Stuxnet по масштабу последствий похож на настоящую бомбардировку и подобные программы если и будут применяться, то в крайне редких случаях. Шпионские же программы вроде Flame и Duqu долгое время остаются "невидимыми" для объектов атаки и позволяют атакующим собирать секретную информацию, что в большинстве случаев представляет гораздо большую ценность, чем вывод из строя аппаратного оборудования, передает РИА Новости.