Найден новый «супер-кибер-шпион»
«Зловред» miniFlame используют в комплекте с вредоносными Flame и Gauss
Российские специалисты по компьютерной безопасности обнаружили новый программный «зловред» miniFlame. «Шпионская» компьютерная программа была обнаружена при детальном анализе вредоносных программ Flame и Gauss, передает ИА «НАШ ПРОДУКТ».
Как сообщили в «Лаборатории Касперского» (ЛК), в июле 2012 года эксперты ЛК выявили дополнительный модуль Gauss под кодовым названием «John» и обнаружили ссылки на аналогичный модуль в конфигурационных файлах Flame. Последующий анализ серверов управления Flame, осуществленный в сентябре 2012 года, позволил прийти к заключению, что вновь обнаруженный модуль является в действительности отдельной вредоносной программой, несмотря на то, что может работать совместно и с Gauss, и с Flame. На серверах управления Flame программа miniFlame значилась под кодовым названием SPE.
Эксперты ЛК обнаружили шесть различных вариантов miniFlame, датируемых 2010-2011 годами. В то же время, анализ miniFlame указывает на еще более раннюю дату начала разработки – не позднее 2007 года. Возможность использования miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает на взаимодействие между группами разработчиков, ответственных за создание этих вредоносных программ. Поскольку связь между Flame и Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы созданы на одной и той же «фабрике кибероружия».
Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss, вероятно, что miniFlame устанавливался на компьютерах, уже зараженных Flame или Gauss. Проникнув в систему, miniFlame выполняет функции бэкдора, позволяя оператору вредоносной программы получить из зараженной машины любой файл. В число дополнительных возможностей, связанных с кражей данных, входит создание снимков экрана зараженного компьютера при работе в отдельных программах и приложениях (браузеры, программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена сообщениями и FTP-клиенты). Программа miniFlame передает украденные данные, соединившись со своим сервером управления (который может быть выделенным или общим с Flame). Кроме того, по запросу оператора сервера управления miniFlame на зараженную систему может быть загружен дополнительный модуль для кражи данных, заражающий USB-накопители и использующий их для хранения данных, собранных на зараженных машинах, в отсутствие интернет-соединения.
Эксперты ЛК пришли к выводу, что miniFlame представляет собой инструмент для проведения высокоточных атак. Вероятнее всего, это кибероружие с четко обозначенными целями, применяемое в ходе так называемой второй волной кибератаки.
«Сначала используется Flame или Gauss для заражения как можно большего числа жертв и сбора значительного объема информации. После этого собранные данные анализируются, а также определяются и идентифицируются потенциально интересные жертвы. Потом на их компьютерах устанавливается miniFlame для осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame дало дополнительные доказательства взаимодействия между создателями наиболее примечательных вредоносных программ, применяемых в качестве кибероружия: Stuxnet, Duqu, Flame и Gauss», – комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
В отличие от Flame и Gauss, на счету которых большое число заражений, количество систем, пораженных miniFlame, значительно меньше. По оценкам экспертов ЛК, общее число зараженных miniFlame компьютеров по всему миру оценивается в 50-60 машин.
«Малое число компьютеров, зараженных miniFlame, в сочетании с функционалом кражи данных и гибкими возможностями применения, свидетельствует о том, что вредоносная программа использовалась лишь для узкоцелевых операций, связанных с кибершпионажем», - указали эксперты ЛК.
Ранее «Багнет» писал о том, что по Интернету гуляет новый «венесуэльский» вирус.
Константин Макульский