«Лаборатория Касперского» сообщила об обнаружении вредоносной программы, которая по сложности и функционалу превосходит Duqu и Stuxnet, а в настоящий момент активно используется для шпионажа в Иране, Ливане, Сирии, Судане, Израиле и Палестине. Общее количество заражённых машин составляет около тысячи.
Вредоносная программа Flame была обнаружена «Лабораторией Касперского» во время исследования, инициированного Международным союзом электросвязи (ITU) после серии инцидентов с другой, пока ещё неизвестной вредоносной программой под кодовым именем Wiper/Viper, которая уничтожала данные на компьютерах министерства нефти Ирана. Во время анализа инцидентов была выявлена совершенно другая программа, сейчас известная как Flame или Flamer (хотя в ней тоже есть модуль Viper, это просто совпадение). По предварительным данным, Flame активно используется в Иране с марта 2010 года (именно тогда был впервые зарегистрирован файл ~ZFF042.TMP). Из-за своей исключительной сложности и направленности на конкретные цели, до настоящего момента Flame не мог быть обнаружен ни одним защитным продуктом.
По таким характеристикам, как география атак, использование специфичных уязвимостей в ПО и точная таргетированность, Flame относится к той же категории сложного кибероружия, что Duqu и Stuxnet. Для распространения Flame использует ту же уязвимость в службе диспетчера печати и тот же метод заражения через USB-устройства, что и червь Stuxnet. Программа способна инфицировать полностью пропатченную версию Windows 7, но пока исследователи не могут найти в программе код 0day-эксплойта.
Согласно имеющимся данным, основная задача Flame — шпионаж с использованием информации, украденной с заражённых машин. Похищенные данные передаются в сеть командных серверов, размещённых в разных частях света. Отдельные модули программы предназначены для записи разговоров Skype, сканирования Bluetooth-устройств с копированием адресных книг, сохранение скриншотов каждые 15-60 секунд, в зависимости от запущенного приложения, отправка их через защищённое SSL-соединение, сниффер сетевого трафика с перехватом имён пользователей, хэшей паролей и т.д. Это делает её одним из наиболее сложных и полнофункциональных средств проведения кибератак из обнаруженных на сегодняшний день.
Эксперты «Лаборатории Касперского» в настоящее время проводят углубленный анализ Flame. В ближайшие дни планируется публикация серии материалов, раскрывающих подробности о новой угрозе. На данный момент известно, что вредоносная программа насчитывает около 20 мегабайт исполняемого кода со всеми модулями и плагинами, многочисленные библиотеки, базы данных SQLite3, несколько уровней шифрования и фрагменты кода на языке программирования Lua. Анализ кода Flame может занять до десяти лет, считает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
20-мегабайтная программа загружается на компьютер по частям: сначала базовый компонент размером 6 МБ с несколькими основными модулями в архивированном виде, затем подгружаются остальные модули по мере необходимости. Один из самых маленьких модулей Flame состоит из 70000 строк кода на C с более чем 170 зашифрованными строками.
Основные компоненты Flame
Windows\System32\mssecmgr.ocx — основной модуль, в реестре HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages
Windows\System32\msglu32.ocx
Windows\System32\nteps32.ocx
Windows\System32\advnetcfg.ocx
Windows\System32\soapr32.ocx
В дальнейшей работе используются файлы с такими названиями:
~dra52.tmp
target.lnk
zff042
urpd.ocx
ccalc32.sys
boot32drv.sys
Pcldrvx.ocx
~KWI
guninst32
~HLV
~DEB93D.tmp
~DEB83C.tmp
~dra53.tmp
cmutlcfg.ocx
~DFL983.tmp
~DF05AC8.tmp
~DFD85D3.tmp
~a29.tmp
dsmgr.ocx
~f28.tmp
~dra51k.tmp
~d43a37b.tmp
~dfc855.tmp
Ef_trace.log
contents.btr
wrm3f0
scrcons.exe
wmiprvse.exe
wlndh32
mprhlp
kbdinai
~ZLM0D1.ocx
~ZLM0D2.ocx
sstab
~rcf0
~rcj0
«Важно понимать, что подобное кибероружие легко может быть обращено против любого государства. Кроме того, в кибервойнах, в отличие от традиционных, развитые страны оказываются наиболее уязвимыми», — прокомментировал обнаружение Flame генеральный директор «Лаборатории Касперского» Евгений Касперский.
UPD. Иранский центр информирования о киберугрозах опубликовал информацию о Flame/Flamer.
UPD2. Описание Flame первой сделала венгерская лаборатория CrySyS Lab под названием sKyWiper: http://www.crysys.hu/skywiper/skywiper.pdf.
