Пламя (вредоносное ПО)

Модульное компьютерное вредоносное ПО, обнаруженное в 2012 году

Flame , ^[a] также известный как Flamer , sKyWIper , ^[b] и Skywiper , ^[2] — модульное компьютерное вредоносное ПО , обнаруженное в 2012 году ^{[3] [4]} , которое атакует компьютеры под управлением операционной системы Microsoft Windows . ^[5] Программа используется для целевого кибершпионажа в странах Ближнего Востока . ^{[1] [5] [6]}

О его открытии объявили 28 мая 2012 года Центр MAHER Иранской национальной группы реагирования на компьютерные чрезвычайные ситуации (CERT), ^[5] Лаборатория Касперского ^[6] и CrySyS Lab Будапештского университета технологии и экономики . ^[1] Последняя из них заявила в своем отчете, что Flame «определенно является самым сложным вредоносным ПО, с которым мы столкнулись в нашей практике; возможно, это самое сложное вредоносное ПО, когда-либо найденное». ^[1] Пламя может распространиться на другие системы по локальной сети (LAN). Он может записывать звук, снимки экрана , активность клавиатуры и сетевой трафик . ^[6] Программа также записывает разговоры в Skype и может превратить зараженные компьютеры в Bluetooth- маяки, которые пытаются загрузить контактную информацию с близлежащих устройств с поддержкой Bluetooth. ^[7] Эти данные вместе с локально хранящимися документами отправляются на один из нескольких серверов управления и контроля , разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов. ^[6]

По оценкам Касперского, в мае 2012 года Flame первоначально заразил около 1000 компьютеров ^[7] , жертвами которых были правительственные организации, образовательные учреждения и частные лица. ^[6] На тот момент 65% случаев заражения произошли в Иране, Израиле, Палестине, Судане, Сирии, Ливане, Саудовской Аравии и Египте, ^{[3] [6]} с «огромным большинством целей» внутри Ирана. ^[8] Пламя также сообщалось в Европе и Северной Америке. ^[9] Flame поддерживает команду «kill», которая стирает все следы вредоносного ПО с компьютера. Первоначальное заражение Flame прекратилось после его публичного разоблачения, и была отправлена ​​команда «уничтожить». ^[10]

Flame связан с Equation Group Лабораторией Касперского. Однако Костин Райу, директор глобальной исследовательской и аналитической группы «Лаборатории Касперского», считает, что группа сотрудничает с создателями Flame и Stuxnet только с позиции превосходства: «Equation Group определенно являются хозяевами, и они дают остальным, может быть, , хлебные крошки. Время от времени им дают какие-нибудь вкусности для интеграции в Stuxnet и Flame." ^[11]

Недавние исследования показали, что Flame запомнится как один из самых значимых и сложных инструментов кибершпионажа в истории. Используя сложную стратегию, Flame удалось проникнуть на многочисленные компьютеры по всему Ближнему Востоку, подделав подлинный сертификат безопасности Microsoft. ^[12]

В 2019 году исследователи Хуан Андрес Герреро-Сааде и Сайлас Катлер объявили о своем открытии возрождения Пламени. ^{[13] [14]} Злоумышленники использовали «метку времени» ^{[ нужны разъяснения ]} , чтобы новые образцы выглядели так, как будто они были созданы до команды «самоубийство». Однако ошибка компиляции включала реальную дату компиляции (около 2014 года). Новая версия (названная исследователями «Flame 2.0») включает в себя новые механизмы шифрования и запутывания, позволяющие скрыть ее функциональность. ^[15]

История

Пламя (также известное как Da Flame) было идентифицировано в мае 2012 года Центром MAHER Иранского национального CERT, Лабораторией Касперского и CrySyS Lab (Лаборатория криптографии и системной безопасности) Будапештского университета технологии и экономики, когда Лабораторию Касперского попросили Соединенные Штаты. Международный союз электросвязи Наций расследует сообщения о вирусе, поразившем компьютеры Министерства нефти Ирана . ^[7] В ходе расследования «Лаборатории Касперского» они обнаружили хэш MD5 и имя файла, которые появлялись только на компьютерах клиентов из стран Ближнего Востока. Обнаружив еще несколько частей, исследователи назвали программу «Flame» в честь одного из основных модулей в наборе инструментов [FROG.DefaultAttacks.A-InstallFlame] . ^[7]

По данным Касперского, Flame работал как минимум с февраля 2010 года. ^[6] CrySyS Lab сообщила, что имя файла основного компонента наблюдалось ещё в декабре 2007 года. ^[1] Однако дату его создания установить не удалось. определяется напрямую, поскольку датами создания модулей вредоносного ПО ошибочно считают 1994 год. ^[7]

Компьютерные эксперты считают это причиной атаки в апреле 2012 года, в результате которой иранские чиновники отключили свои нефтяные терминалы от Интернета. ^[16] В то время иранское студенческое информационное агентство назвало вредоносную программу, вызвавшую атаку, «Wiper» — имя, данное ей создателем вредоносной программы. ^[17] Однако «Лаборатория Касперского» считает, что Flame может быть «полностью отдельной инфекцией» от вредоносного ПО Wiper. ^[7] Из-за размера и сложности программы, которую описывают как «в двадцать раз» более сложную, чем Stuxnet , в лаборатории заявили, что полный анализ может занять до десяти лет. ^[7]

28 мая иранский CERT объявил, что разработал программу обнаружения и инструмент удаления Flame и в течение нескольких недель распространял их среди «избранных организаций». ^[7] После разоблачения Flame в средствах массовой информации компания Symantec сообщила 8 июня, что некоторые компьютеры управления Flame (C&C) отправили зараженным компьютерам «самоубийственную» команду, чтобы удалить все следы Flame. ^[10]

По оценкам Касперского на май 2012 года, первоначально Flame заразил около 1000 компьютеров ^[7] , жертвами которых были правительственные организации, образовательные учреждения и частные лица. ^[6] В то время наиболее пострадавшими странами были Иран, Израиль, Палестинские территории, Судан, Сирия, Ливан, Саудовская Аравия и Египет. ^{[3] [6]} Образец вредоносного ПО Flame доступен на GitHub.

Операция

Flame — это нетипично большая для вредоносного ПО программа размером 20  мегабайт . Он частично написан на языке сценариев Lua со связанным скомпилированным кодом C++ и позволяет загружать другие модули атаки после первоначального заражения. ^{[6] [18]} Вредоносная программа использует пять различных методов шифрования и базу данных SQLite для хранения структурированной информации. ^[1] Метод, используемый для внедрения кода в различные процессы, является скрытым: модули вредоносного ПО не отображаются в списке модулей, загруженных в процесс, а страницы памяти вредоносного ПО защищены разрешениями ЧТЕНИЕ, ЗАПИСЬ и ВЫПОЛНЕНИЕ , что делает их недоступными. приложениями пользовательского режима. ^[1] Внутренний код мало похож на другие вредоносные программы, но использует две те же уязвимости безопасности, которые ранее использовались Stuxnet для заражения систем. ^{[c] [1]} Вредоносная программа определяет, какое антивирусное программное обеспечение установлено, а затем настраивает свое поведение (например, изменяя расширения имен файлов, которые оно использует), чтобы снизить вероятность обнаружения этим программным обеспечением. ^[1] Дополнительные индикаторы компрометации включают мьютекс и активность реестра , например, установку поддельного аудиодрайвера , который вредоносное ПО использует для сохранения работоспособности в скомпрометированной системе. ^[18]

Flame не предназначен для автоматической деактивации, но поддерживает функцию «уничтожения», которая позволяет удалить все следы своих файлов и работы из системы при получении модуля от ее контроллеров. ^[7]

Flame был подписан поддельным сертификатом, предположительно выданным центром сертификации Microsoft Enforced Licensing Intermediate PCA. ^[19] Авторы вредоносного ПО обнаружили сертификат службы лицензирования серверов терминалов Microsoft , который был случайно включен для подписи кода и в котором все еще использовался слабый алгоритм хеширования MD5 , а затем создали поддельную копию сертификата, который они использовали для подписи некоторых компонентов вредоносного ПО. заставить их выглядеть так, как будто они созданы Microsoft. ^[19] Успешная коллизионная атака на сертификат была ранее продемонстрирована в 2008 году, ^[20] но Flame реализовала новый вариант коллизионной атаки по выбранному префиксу. ^[21]

Развертывание

Подобно ранее известному кибероружию Stuxnet и Duqu , оно применяется целенаправленно и может обходить современное программное обеспечение безопасности с помощью руткитов . После заражения системы Flame может распространиться на другие системы по локальной сети или через USB-накопитель. Он может записывать звук, снимки экрана, активность клавиатуры и сетевой трафик . ^[6] Программа также записывает разговоры в Skype и может превратить зараженные компьютеры в Bluetooth-маяки, которые пытаются загрузить контактную информацию с близлежащих устройств с поддержкой Bluetooth. ^[7] Эти данные вместе с локально хранящимися документами отправляются на один из нескольких серверов управления и контроля, разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов. ^[6]

В отличие от Stuxnet, который был разработан для саботажа промышленного процесса, Flame, похоже, был написан исключительно для шпионажа . ^[22] Похоже, что он не нацелен на конкретную отрасль, а скорее представляет собой «полный набор инструментов для атак, предназначенный для общих целей кибершпионажа». ^[23]

Используя технику, известную как «синкхолинг» , «Касперский» продемонстрировал, что «огромное большинство целей» находится на территории Ирана, причем злоумышленники в основном искали чертежи AutoCAD , PDF-файлы и текстовые файлы . ^[8] Эксперты по вычислительной технике заявили, что программа, похоже, собирает технические схемы в разведывательных целях. ^[8]

Сеть из 80 серверов в Азии, Европе и Северной Америке использовалась для удаленного доступа к зараженным машинам. ^[24]

Источник

19 июня 2012 года газета The Washington Post опубликовала статью, в которой утверждалось, что Flame был разработан совместно Агентством национальной безопасности США , ЦРУ и военными Израиля как минимум пять лет назад. Сообщается, что этот проект является частью секретной программы под кодовым названием « Олимпийские игры» , цель которой заключалась в сборе разведданных в рамках подготовки к кампании кибердиверсий, направленной на замедление иранских ядерных усилий. ^[25]

По словам главного эксперта по вредоносным программам «Лаборатории Касперского», «география целей, а также сложность угрозы не оставляют сомнений в том, что исследование спонсировало национальное государство». ^[3] Первоначально Касперский заявил, что вредоносная программа не имеет никакого сходства со Stuxnet, хотя, возможно, это был параллельный проект, заказанный теми же злоумышленниками. ^[26] После дальнейшего анализа кода Касперский позже сказал, что между Flame и Stuxnet существует тесная связь; ранняя версия Stuxnet содержала код для распространения через USB-накопители, который почти идентичен модулю Flame, использующему ту же уязвимость нулевого дня . ^[27]

Иранский CERT описал шифрование вредоносного ПО как имеющее «особый шаблон, который можно увидеть только в Израиле». ^[28] Газета Daily Telegraph сообщила, что из-за очевидных целей Флейма, в число которых входили Иран, Сирия и Западный Берег , Израиль стал «главным подозреваемым многих комментаторов». Другие комментаторы назвали США возможными виновниками. ^[26] Ричард Сильверстайн , комментатор, критикующий политику Израиля, заявил, что он подтвердил «высокопоставленному израильскому источнику», что вредоносное ПО было создано израильскими компьютерными экспертами. ^[26] Газета «Джерузалем Пост» написала, что вице-премьер-министр Израиля Моше Яалон, судя по всему, намекнул, что ответственность несет его правительство, ^[26] но представитель Израиля позже отрицал, что это подразумевалось. ^[29] Неназванные представители израильской службы безопасности предположили, что зараженные машины, обнаруженные в Израиле, могут означать, что вирус может быть прослежен до США или других западных стран. ^[30] США официально отрицают ответственность. ^[31]

В просочившемся документе АНБ упоминается, что решение проблемы обнаружения Ираном FLAME является совместным мероприятием АНБ и GCHQ , ^[32] которое снимает с израильских военных всю вину.

Смотрите также

• Киберпреступность
• Кибервойна
• Стандарты кибербезопасности
• Кибертерроризм
• Цифровая конфиденциальность
• Операция Хайроллер

Примечания

1. «Пламя» — одна из строк в коде, общее название атак, скорее всего, с помощью эксплойтов ^[1]
2. Имя «sKyWIper» образовано от букв «KWI», которые используются вредоносной программой как часть имени файла ^[1]
3. MS10-061 и MS10-046.

Рекомендации

1. «sKyWIper: сложное вредоносное ПО для целевых атак» (PDF) . Будапештский университет технологии и экономики . 28 мая 2012 г. Архивировано из оригинала (PDF) 28 мая 2012 г. . Проверено 29 мая 2012 г.
2. «Огнемет: сложная и скрытная угроза, нацеленная на Ближний Восток» . Симантек. Архивировано из оригинала 31 мая 2012 года . Проверено 30 мая 2012 г.
3. Ли, Дэйв (28 мая 2012 г.). «Пламя: обнаружена масштабная кибератака, говорят исследователи». Новости BBC . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
4. МакЭлрой, Дэмиен; Уильямс, Кристофер (28 мая 2012 г.). «Пламя: раскрыт самый сложный компьютерный вирус в мире». «Дейли телеграф» . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
5. «Идентификация новой целенаправленной кибератаки». Иранская группа реагирования на компьютерные чрезвычайные ситуации. 28 мая 2012 года. Архивировано из оригинала 29 мая 2012 года . Проверено 29 мая 2012 г.
6. Гостев, Александр (28 мая 2012 г.). «Пламя: вопросы и ответы». Список безопасности . Архивировано из оригинала 30 мая 2012 года . Проверено 16 марта 2021 г.
7. Зеттер, Ким (28 мая 2012 г.). «Знакомьтесь, Flame, огромная шпионская вредоносная программа, проникающая в иранские компьютеры». Проводной . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
8. Ли, Дэйв (4 июня 2012 г.). «Пламя: злоумышленники« искали конфиденциальные данные об Иране »». Новости BBC . Проверено 4 июня 2012 г.
9. Мерфи, Саманта (5 июня 2012 г.). «Знакомьтесь с Flame, самой отвратительной компьютерной вредоносной программой» . Mashable.com . Проверено 8 июня 2012 года .
10. «Производители вредоносного ПО Flame отправляют «самоубийственный» код» . Новости BBC . 8 июня 2012 года . Проверено 8 июня 2012 года .
11. Equation: Звезда Смерти галактики вредоносных программ. Архивировано 17 февраля 2015 г. в Wayback Machine , SecureList , Костин Райу (директор глобальной исследовательской и аналитической группы «Лаборатории Касперского»): «Мне кажется, у Equation Group самые крутые игрушки. время от времени они делятся ими с группой Stuxnet и группой Flame, но изначально они доступны только людям из Equation Group.Equation Group определенно хозяева, и они дают другим, может быть, хлебные крошки.Время от времени они дают им кое-что для интеграции в Stuxnet и Flame».
12. Манро, Кейт (1 октября 2012 г.). «Деконструкция пламени: ограничения традиционной защиты». Компьютерное мошенничество и безопасность . 2012 (10): 8–11. дои : 10.1016/S1361-3723(12)70102-1. ISSN  1361-3723.
13. Зеттер, Ким (9 апреля 2019 г.). «Исследователи обнаружили новую версию печально известной вредоносной программы Flame». www.vice.com . Проверено 6 августа 2020 г.
14. Хроника (12 апреля 2019 г.). «Кто такая СПЛЕТНИЦА?». Середина . Проверено 15 июля 2020 г.
15. Герреро-Сааде, Хуан Андрес; Катлер, Сайлас (январь 2019 г.). «Пламя 2.0: Восставшее из пепла». {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
16. Хопкинс, Ник (28 мая 2012 г.). «Компьютерный червь, поразивший нефтяные терминалы Ирана, «на данный момент является самым сложным»». Хранитель . Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
17. Эрдбринк, Томас (23 апреля 2012 г.). «Столкнувшись с кибератакой, иранские официальные лица отключили некоторые нефтяные терминалы от Интернета». Нью-Йорк Таймс . Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
18. Киндлунд, Дариен (30 мая 2012 г.). «Вредоносное ПО Flamer/sKyWIper: анализ». Огненный Глаз . Архивировано из оригинала 2 июня 2012 года . Проверено 31 мая 2012 г.
19. «Microsoft выпускает рекомендации по безопасности 2718704» . Майкрософт . 3 июня 2012 года . Проверено 4 июня 2012 г.
20. Сотиров, Александр; Стивенс, Марк; Аппельбаум, Джейкоб; Ленстра, Арьен; Мольнар, Дэвид; Освик, Даг Арне; де Вегер, Бенне (30 декабря 2008 г.). «MD5 сегодня считается вредным» . Проверено 4 июня 2011 г.
21. Стивенс, Марк (7 июня 2012 г.). «Криптоаналитик CWI обнаруживает новый вариант криптографической атаки во вредоносном ПО Flame Spy». Центр Вискунде и информатики. Архивировано из оригинала 28 февраля 2017 года . Проверено 9 июня 2012 года .
22. Коэн, Реувен (28 мая 2012 г.). «Новая массированная кибератака: «Промышленный пылесос для конфиденциальной информации»». Форбс . Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
23. Альбанесиус, Хлоя (28 мая 2012 г.). «Массовая вредоносная программа Flame, крадущая данные по всему Ближнему Востоку». Журнал ПК . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
24. «Вирус пламени: пять фактов, которые следует знать» . Таймс оф Индия . Рейтер. 29 мая 2012 года. Архивировано из оригинала 30 мая 2012 года . Проверено 30 мая 2012 г.
25. Накашима, Эллен (19 июня 2012 г.). «США и Израиль разработали компьютерный вирус Flame, чтобы замедлить ядерные усилия Ирана, - говорят официальные лица». Вашингтон Пост . Проверено 20 июня 2012 г.
26. «Вирус Flame: кто стоит за самым сложным в мире шпионским программным обеспечением?». «Дейли телеграф» . 29 мая 2012 года. Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
27. «Ресурс 207: Исследования Лаборатории Касперского доказывают, что разработчики Stuxnet и Flame связаны» . Лаборатория Касперского. 11 июня 2012 г.
28. Эрдбринк, Томас (29 мая 2012 г.). «Иран подтверждает атаку вируса, собирающего информацию». Нью-Йорк Таймс . Архивировано из оригинала 6 июня 2012 года . Проверено 30 мая 2012 г.
29. Цукаяма, Хейли (31 мая 2012 г.). «Кибероружие Flame, написанное с использованием игрового кода, говорится в отчете». Вашингтон Пост . Проверено 31 мая 2012 г.
30. «Иран: Борьба с вирусом «Пламя» началась с нефтяной атаки» . Время . Ассошиэйтед Пресс. 31 мая 2012 года. Архивировано из оригинала 3 июня 2012 года . Проверено 31 мая 2012 г.
31. «Пламя: Израиль отвергает ссылку на кибератаку с использованием вредоносного ПО» . Новости BBC . 31 мая 2012 года . Проверено 3 июня 2012 г.
32. «Посетите краткую информацию: сэр Иэн Лоббан, KCMG, CB; директор штаб-квартиры правительственных коммуникаций (GCHQ) 30 апреля 2013 г. - 1 мая 2013 г.» (PDF) .