Новый код-кибершпион атакует страны Ближнего Востока

«Лаборатория Касперского» сегодня проинформировала об обнаружении новой сложной вредоносной программы, которая в настоящий момент активно используется в ряде стран в качестве кибероружия. По сложности и функционалу вредоносная программа превосходит все ранее известные виды угроз.

Вредоносная программа была обнаружена антивирусной компанией во время исследования, инициированного Международным союзом электросвязи. Программа, детектируемая продуктами самой «Лаборатории Касперского» как Worm.Win32.Flame, разработана для ведения кибершпионажа. Она позволяет похищать важные данные, в том числе информацию, выводимую на монитор, информацию о системах – объектах атак, файлы, хранящиеся на компьютере, контактные данные пользователей и даже аудиозаписи разговоров.

Независимое исследование было начато по инициативе МСЭ и «Лаборатории Касперского» после серии инцидентов с другой, пока еще неизвестной вредоносной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Западной Азии. Эту вредоносную программу еще только предстоит обнаружить; однако во время анализа инцидентов специалисты выявили новый вид вредоносной программы, сейчас известной как Flame. По предварительным результатам этот зловред активно используется уже более двух лет, с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Хотя Flame отличается по своим характеристикам от зловредов Duqu и Stuxnet, ранее использовавшихся в качестве кибероружия, такие факты как география атак, использование специфичных уязвимостей в ПО, а также то, что целью атак становятся только определенные компьютеры, указывают на то, что Flame относится к той же категории сложного кибероружия.

«Уже на протяжении нескольких лет опасность военных операций в киберпространстве является одной из самых серьёзных тем информационной безопасности. Stuxnet и Duqu были звеньям одной цепи кибератак; их применение вызвало озабоченность в связи возможной перспективой развязывания кибервойн во всем мире. Зловред Flame, по всей вероятности, является еще одним этапом такой войны. Важно понимать, что подобное кибероружие легко может быть обращено против любого государства. Кроме того, в кибервойнах, в отличие от традиционных, развитые страны оказываются наиболее уязвимыми», – говорит Евгений Касперский.

Согласно имеющимся данным, основная задача Flame – кибершпионаж с использованием информации, украденной с зараженных машин. Похищенные данные передаются в сеть командных серверов, размещенных в разных частях света. Вредоносная программа рассчитана на кражу широкого спектра данных: документов, снимков экрана, аудиозаписей, а также на перехват сетевого трафика. Это делает ее одним из наиболее сложных и полнофункциональных средств проведения кибератак из обнаруженных на сегодняшний день. Вопрос об использованном вредоносной программой векторе заражения пока остается без ответа. Однако уже сейчас ясно, что Flame может распространяться по сети несколькими способами, в том числе путем эксплуатации той же уязвимости в службе диспетчера печати и того же метода заражения через USB-устройства, который использует червь Stuxnet.

«Предварительные выводы исследования, проведенного по срочному запросу МСЭ, подтверждают целевой характер этой вредоносной программы. Один из наиболее тревожных фактов относительно кибератаки, проводимой с помощью Flame, состоит в том, что она в данный момент находится в активной стадии, и те, кто ее проводят, постоянно ведут наблюдение за зараженными системами, собирают информацию и выбирают новые объекты для достижения своих, неизвестных нам целей», – комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Эксперты «Лаборатории Касперского» в настоящее время проводят углубленный анализ Flame. На данный момент известно, что вредоносная программа содержит несколько модулей, насчитывающих в общей сложности несколько мегабайт исполняемого кода, что почти в 20 раз больше, чем размер червя Stuxnet. Это означает, что для анализа данного кибероружия потребуется большая команда высокопрофессиональных экспертов по безопасности со значительным опытом в области киберзащиты.

МСЭ будет использовать возможности сети IMPACT, состоящей из 142 стран и нескольких крупных игроков отрасли, включая «Лабораторию Касперского», для информирования государственных органов и технического сообщества о данной киберугрозе и обеспечения скорейшего завершения технического анализа угрозы.

(19:17) 28.05.2012
http://cybersecurity.ru/crypto/151992.html​

 

по словам службы ББС, вирус функционировал 5 лет, куда они смотрели раньше все эти пять лет))

 

угадай)

 

Израиль отрицает свою причастность к созданию кибероружия Flame

Власти Израиля сегодня отвергли свою причастность к созданию нового вредоносного кода Flame, атакующего промышленные объекты на территории ряда стран Ближнего Востока. Ранее ряд СМИ высказывали предположения о том, что за созданием данного кода может стоять израильские спецслужбы.

Сегодня в интервью BBC официальный представитель израильского правительства Моше Яалон заявил, что власти его страны не причастный к созданию Flame, а информация о связях данного вредоносного кода была во многих средствах массовой информации искажена.

Эксперты по безопасности из "Лаборатории Касперского", обнаружившие новый вредоносный код, говорят, что пока еще слишком рано называть источники атаки.

Яалон, также являющийся Министром по стратегическим делам Израиля, накануне заявил, что подозрения в адрес Израиля являются необоснованными и в мире существует немало высокотехнологичных стран, заинтересованных в ИТ-атаках на иранские ядерные объекты. При этом, он не стал отрицать, что значительные силы израильской разведки ориентированы именно на Иран, в свете ядерной программы последнего. "Я полагаю, что каждый, кто видит угрозу в иранской ядерной программе, а это не только Израиль, это весь Западный мир во главе с США, скорее всего, будет предпринимать те или иные доступные им меры, направленные на нанесение ущерба иранской программе", - говорит он.

Позже официальный пресс-секретарь Яалона еще раз подтвердил, что высокопоставленный чиновник имел ввиду, что Израиль не стоит за атакой.

Отметим, что сегодня же американский телеканал NBC передал данные от некоего анонимного источника в правительственной среде, по словам которого США "не понаслышке знакомы с данным кодом". При этом, официально Вашингтон также отрицает свою причастность к коду.

Независимые антивирусные компании говорят, что за кодом Flame, скорее всего, стоят те же люди или структуры, что ранее стояли за кодом Stuxnet. А это, опять же по утверждению как американских, так и израильских СМИ, разведслужбы их стран. Ранее газета New York Times сообщала, что за Stuxnet стояли совместные группы правительственных специалистов США и Израиля.

Между тем, старший специалист по информационной безопасности "Лаборатории Касперского" Александр Гостев говорит, что несмотря на заявления Ирана о выпуске лечащей утилиты для опасного троянца Flame, пока еще слишком рано говорить о полной нейтрализации этого кода. Гостев говорит, что хотя текущая версия Flame, судя по всему, действительно была остановлена, с высокой долей вероятности можно говорить о появлении новых версий данного вредоноса.

"Flame имеет модульную структуру. Это означает, что после того, как целевая машина была заражена, операторы могут устанавливать дополнительные модули. Пока мы обнаружили 20 разных модулей, но скорее всего на этом список не исчерпывается", - говорит он. "Думаю, что люди, стоящие за Flame могут провести целый год за разработкой новых модулей. Это очень большая операция с десятками вовлеченных людей, работа на том же уровне, что и Stuxnet".

Согласно данным российской антивирусной компании, на сегодня больше всего случаев заражения Flame зафиксировано в Иране - 189 систем, далее с 98 системами идут Израиль и Палестина.

По его словам, пока еще слишком рано говорить о том, кто именно может стоять за созданием Flame, так как сейчас еще нет достаточного объема данных о коде. Изначальные подозрения пресса возложила на Израиль, однако в "Лаборатории Касперкого" говорят, что если эти доводы базируются лишь на ряде первичных IP-адресов, то они не являются достаточным доказательством.

"В некоторых случаях, IP-адреса имеют неочевидное использование и конкретные цели Flame для нас пока остаются неясными", - заявил эксперт. "По умолчанию Flame может делать снимки экранов, красть информацию, графику и видео на зараженных машинах, но операторы могут оснащать его дополнительным функционалом, таким как аудиошпионаж".

31.05.2012
http://www.cybersecurity.ru/crypto/152280.html​