«Лаборатория Касперского» сообщила об обнаружении вредоносной программы, которая по сложности и функционалу превосходит Duqu и Stuxnet, а в настоящий момент активно используется для шпионажа в Иране, Ливане, Сирии, Судане, Израиле и Палестине. Общее количество заражённых машин составляет около тысячи. Вредоносная программа Flame была обнаружена «Лабораторией Касперского» во время исследования, инициированного Международным союзом электросвязи (ITU) после серии инцидентов с другой, пока ещё неизвестной вредоносной программой под кодовым именем Wiper/Viper, которая уничтожала данные на компьютерах министерства нефти Ирана. Во время анализа инцидентов была выявлена совершенно другая программа, сейчас известная как Flame или Flamer (хотя в ней тоже есть модуль Viper, это просто совпадение). По предварительным данным, Flame активно используется в Иране с марта 2010 года (именно тогда был впервые зарегистрирован файл ~ZFF042.TMP). Из-за своей исключительной сложности и направленности на конкретные цели, до настоящего момента Flame не мог быть обнаружен ни одним защитным продуктом. По таким характеристикам, как география атак, использование специфичных уязвимостей в ПО и точная таргетированность, Flame относится к той же категории сложного кибероружия, что Duqu и Stuxnet. Для распространения Flame использует ту же уязвимость в службе диспетчера печати и тот же метод заражения через USB-устройства, что и червь Stuxnet. Программа способна инфицировать полностью пропатченную версию Windows 7, но пока исследователи не могут найти в программе код 0day-эксплойта. Согласно имеющимся данным, основная задача Flame — шпионаж с использованием информации, украденной с заражённых машин. Похищенные данные передаются в сеть командных серверов, размещённых в разных частях света. Отдельные модули программы предназначены для записи разговоров Skype, сканирования Bluetooth-устройств с копированием адресных книг, сохранение скриншотов каждые 15-60 секунд, в зависимости от запущенного приложения, отправка их через защищённое SSL-соединение, сниффер сетевого трафика с перехватом имён пользователей, хэшей паролей и т.д. Это делает её одним из наиболее сложных и полнофункциональных средств проведения кибератак из обнаруженных на сегодняшний день. Эксперты «Лаборатории Касперского» в настоящее время проводят углубленный анализ Flame. В ближайшие дни планируется публикация серии материалов, раскрывающих подробности о новой угрозе. На данный момент известно, что вредоносная программа насчитывает около 20 мегабайт исполняемого кода со всеми модулями и плагинами, многочисленные библиотеки, базы данных SQLite3, несколько уровней шифрования и фрагменты кода на языке программирования Lua. Анализ кода Flame может занять до десяти лет, считает главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. 20-мегабайтная программа загружается на компьютер по частям: сначала базовый компонент размером 6 МБ с несколькими основными модулями в архивированном виде, затем подгружаются остальные модули по мере необходимости. Один из самых маленьких модулей Flame состоит из 70000 строк кода на C с более чем 170 зашифрованными строками. Основные компоненты Flame Windows\System32\mssecmgr.ocx — основной модуль, в реестре HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages Windows\System32\msglu32.ocx Windows\System32\nteps32.ocx Windows\System32\advnetcfg.ocx Windows\System32\soapr32.ocx Дата: 29.05.2012 http://www.xakep.ru/post/58762/
Эксперты "Лаборатории Касперского" обнаружили новый вид шпионского ПО По данным экспертов, зловредная программа под кодовым названием Worm.Win32.Flame позволяет перехватывать трафик и похищать данные, в том числе выводимую на монитор информацию, данные о системах-объектах атак, файлы, контактные данные пользователей, аудиозаписи разговоров. НЬЮКАСЛ (Великобритания), 29 мая - РИА Новости, Алина Гайнуллина. Эксперты антивирусной компании "Лаборатория Касперского" совместно с Международным союзом электросвязи обнаружили новый вид вредоносного программного обеспечения, которое, по их словам, используется рядом стран в качестве инструмента для кибершпионажа, говорится в сообщении компании. По данным экспертов, зловредная программа под кодовым названием Worm.Win32.Flame позволяет перехватывать трафик и похищать данные, в том числе выводимую на монитор информацию, данные о системах-объектах атак, файлы, контактные данные пользователей, аудиозаписи разговоров. По данным "Лаборатории Касперского", программа активно используется более двух лет - с марта 2010 года - и до сих пор не была обнаружена антивирусами из-за сложности и точечной направленности. Эксперты отмечают, что Flame использует специфичные уязвимости в ПО, целью ее являются только конкретные компьютеры, а также из-за географии атак. Данные о разработчиках Flame не уточняются. По информации агентства Рейтер, общее число зараженных программой машин не превышает 5 тысяч, и наибольшее их число было выявлено в Иране, Израиле, Палестине, Судане и Сирии. Если данные "Лаборатории Касперского" верны, то Flame - это очередная зловредная программа, разработанная в качестве кибероружия. Напомним, что среди ранее выявленных программ подобного типа были "червь" Duqu и "троянец" Stuxnet, предположительно, атаковавший иранские ядерные объекты летом 2010 года. Вирус Stuxnet давал злоумышленникам возможность управлять промышленными компьютерными системами. Наиболее вероятной целью Duqu являлся сбор конфиденциальной информации (логинов и паролей) в компьютерных системах атакуемых объектов, заявляли ранее эксперты. Основная задача Flame - кибершпионаж с использованием информации, украденной с зараженных компьютеров, сообщают в "Лаборатории Касперского". Flame может распространяться в Сети через эксплуатацию уязвимостей в службе диспетчера печати, а также через USB-устройства - метод, который использует Stuxnet. Уже известно, что исполняемый код Flame почти в 20 раз больше, чем размер Stuxnet, что затрудняет разработку киберзащиты. "Один из наиболее тревожных фактов относительно кибератаки, проводимой с помощью Flame, состоит в том, что она в данный момент находится в активной стадии", - комментирует антивирусный эксперт "Лаборатории Касперского" Александр Гостев. Эксперты обнаружили Flame в процессе исследования серии инцидентов с другой, пока еще неизвестной зловредной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Западной Азии. Расследование велось по запросу Международного союза электросвязи (подразделение ООН). 29/05/2012 10:56 http://digit.ru/technology/20120529/392141563.html
Основной модуль Flame: 650 000 строк обфусцированного кода Диаграмма взаимосвязей в исходном коде основного модуля Flame Специалисты McAfee и «Лаборатории Касперского» провели предварительный анализ основного модуля шпионской программы Flame, которая уже удостоилась звания самой сложной в истории. Напомним, что эта программа содержит около 20 мегабайт исходного кода в большом количестве специализированных модулей. При первоначальной инсталляции на компьютер устанавливается только шесть компонентов размером 6 МБ, в том числе базовый модуль mssecmgr.ocx. Анализ McAfee даёт понять, с проблемой какой сложности столкнулись сейчас вирусные аналитики. После декомпиляции базовый модуль содержит около 650 000 строк обфусцированного кода на языке программирования C, при этом имеются индикаторы, что декомпиляция не даёт точного результата, и на самом деле размер программы составляет около 750 000 строк кода. И это всего лишь один из многочисленных модулей. Его сложность показана на диаграмме взаимосвязей внутри программы, которая опубликована вверху (кликабельна). Модуль содержит 4400+ вызовов к строкам деобфускатора. Высокий уровень обфускации используется, чтобы усложнить анализ программы и снизить риск повторного использования кода третьими лицами. Внутри основного модуля находится код всех необходимых библиотек: SSH, ZLib, веб-сервер и т.д. Обнаружено более двух десятков криптографических функций Blowfish, MD5/MD4 и др. Flame оснащён продвинутыми функциями для шпионажа: парсинг файловой системы, парсинг ZIP-файлов, разбор многочисленных форматов файлов, в том числе PDF, Word, Excel и др., продвинутый способ для скрытной отправки собранной информации на удалённый сервер: это делается путём запуска дополнительных сущностей Internet Explorer, в которые внедряется код, так что запуск IE не вызывает подозрений у антивируса и файрвола. Ещё одна интересная деталь — подробное исследование мобильных устройств, которым занимается модуль Beetlejuice. Он ищет Bluetooth-устройства и скачивает оттуда список контактов, в том числе список контактов в социальных сетях. То же самое делается на локальном компьютере. Вот список некоторых модулей и функций Flame. AUTORUN_INFECTOR – занимается инфицированием через AutoRun BOOST – создаёт список «интересных» файлов после анализа файловой системы, по заданной маске WEASEL – создаёт список директорий на компьютере JIMMY – поддержка парсинга файлов TELEMETRY – связь с управляющим сервером SUICIDE – процедура самоуничтожения EUPHORIA – различные эксплойты BEETLEJUICE – интерфейс и управление устройствами Bluetooth BUNNY – пока непонятно DBQUERY – пока непонятно GADGET – пока непонятно PLATYPUS – пока непонятно CLAN – модуль Lua, возможно, связанный с эксплойтами удаленных целей CRUISE – разбор доменов NT DRILLER – пока непонятно AUDITION – прекращение процессов, работа с антивирусами SECURITY – идентификация программ, которые могут помешать работе Flame (антивирусы, файрволы) GATOR – коммуникации с управляющим сервером LIMBO – создаёт бэкдор-аккаунты на других машинах в домене с именем пользователя HelpAssistant FROG – модуль заражения других компьютеров с использованием аккаунта HelpAssistant MICROBE – запись аудио SNACK – прослушивает сетевые интерфейсы, сохраняет пакеты NBNS в лог MUNCH – HTTP-сервер, реагирующий на запросы “/view.php” и “/wpad.dat” VIPER – модуль для скриншотов HEADACHE – пока непонятно Это неполный список, который будет дополнен в будущем, по мере более подробного анализа исходных кодов. Очевидно, что анализ продолжится ещё долго и станет темой не одной конференции. Дата: 30.05.2012 http://www.xakep.ru/post/58769/
Вирус Flame мог ипользовать уязвимость в WM Player для заражения ПК Информация о данном источнике заражения пока не нашла точного подтверждения, так как расследование продолжается, однако в 2010 году антивирусным экспертам стало известно об уязвимости нулевого дня в программе Windows Media Player, которая есть в комплекте практически с каждой копией операционной системы Windows. МОСКВА, 30 мая - РИА Новости. Троянская программа Flame, обнаруженная специалистами антивирусной компании "Лаборатория Касперского" на текущей неделе, могла использовать уязвимость в популярной программе Windows Media Player, сообщил в среду на конференции Positive Hack Days 2012 главный антивирусный эксперт "Лаборатории" Александр Гостев. Эксперты компании ранее на этой неделе сообщили об обнаружении вредоносной программы Flame, которая, предположительно, была создана для незаметного похищения важной информации из компьютеров государственных ведомств и крупных компаний ряда ближневосточных стран. По данным "Лаборатории Касперского", программа активно используется более двух лет - с марта 2010 года - и до сих пор не была обнаружена антивирусами из-за сложности и точечной направленности. Первоначальный анализ поведения программы помог экспертам выяснить способы распространения вируса в локальной сети, однако точной информации о том, как происходит первоначальное заражение, до сих пор нет. "Возможно, был использован zero-day (уязвимость "нулевого дня", ранее неизвестная экспертам по инфобезопасности) в Windows Media Player", - сказал Гостев. По словам эксперта, информация о данном источнике заражения пока не нашла точного подтверждения, так как расследование продолжается, однако в 2010 году антивирусным экспертам стало известно об уязвимости нулевого дня в программе Windows Media Player, которая есть в комплекте практически с каждой копией операционной системы Windows. Уязвимость позволяет замаскировать вредоносное программное обеспечение под файл формата Windows media. Запуск безобидного видеофайла приводил к заражению. Эта уязвимость оставалась не закрытой на момент предположительного начала активного распространения программы Flame в 2010 году. Гостев подчеркнул, что данный способ заражения лишь один из возможных. На это указывает в том числе тот факт, что специалистами компании был обнаружен зараженный Flame компьютер, на котором было установлено максимально актуальное ПО. Эксперт не исключил, что хакеры использовали одну или несколько еще не известных уязвимостей. Кибероружие Троянскую программу Flame в "Лаборатории Касперского" характеризуют как крайне сложную и относят к категории "кибероружия" - вредоносного ПО, созданного для воздействия на критические компьютерные системы государственного уровня. Flame способен похищать различную информацию с зараженного компьютера, и до недавнего времени не детектировался ни одной антивирусной программой. В компании предполагают, что троянец был использован для атак на конкретные цели, на что указывает относительно низкое количество зарегистрированных заражений - всего около 500 случаев, по данным Гостева. Львиная доля из них (около 200) пришлась на Иран, на втором месте - Израиль и Палестина. При этом злоумышленники, управлявшие программой, очень аккуратно подошли к распространению Flame. В частности, как и другой "боевой" вирус Stuxnet, обнаруженный в 2010 году, Flame умеет распространяться через внешние накопители, подключаемые к ПК. Однако если Stuxnet делал это автоматически, при каждом подключении зараженного носителя, то Flame заражал лишь избранные машины, по прямому указанию оператора. Заразив компьютер, Flame осуществляет поиск Bluetooth-модуля. Если такой обнаруживался, вирус включал его и создавал Bluetooth-маяк с оригинальным названием. По мнению Гостева, данная функция могла быть внедрена создателями Flame для незаметного доступа злоумышленников к шпионской информации, собранной с зараженного компьютера. Например, если владелец зараженного компьютера находится в общественном месте, злоумышленник, которому известно название Bluetooth-маяка, может незаметно подключиться к зараженному компьютеру и скачать нужную информацию. Киберармия Flame стала четвертым образцом "кибероружия", известным специалистам по информационной безопасности. Первой такой программой стал Stuxnet, обнаруженный в 2010 году, и который, предположительно, использовался для вывода из строя центрифуг для обогащения урана на ряде заводов в Иране. Вторым вирусом стал обнаруженный в 2011 году Duqu. Данное вредоносное ПО предназначалось для незаметного сбора конфиденциальных данных. Третий вирус под условным названием Wiper в конце апреля текущего года уничтожил всю информацию на нескольких серверах одной из крупнейших нефтяных компаний Ирана, чем на несколько дней полностью парализовал ее работу. Во время изучения этого инцидента специалисты "Лаборатории" и обнаружили Flame - четвертый вирус для "продвинутых" кибератак. Эксперты антивирусных компаний сходятся во мнении о том, что Duqu и Stuxnet были созданы одной и той же группой злоумышленников. На это указывает тот факт, что у обеих программ имеется ряд общих программных модулей. Как утверждает Гостев, о Flame такого сказать нельзя - скорее всего, данный вирус был создан другой группой хакеров, хотя основным объектом его атак, как и у Stuxnet, являются компьютеры госорганов и крупных компаний Ирана и нескольких других ближневосточных стран. По мнению Александра Гостева, хотя Stuxnet и доказал свою эффективность, широкое распространение в дальнейшем получит "кибероружие", нацеленное на шпионаж, а не на саботаж нормального функционирования объектов критической инфраструктуры. По словам эксперта, Stuxnet по масштабу последствий похож на настоящую бомбардировку и подобные программы если и будут применяться, то в крайне редких случаях. Шпионские же программы вроде Flame и Duqu долгое время остаются "невидимыми" для объектов атаки и позволяют атакующим собирать секретную информацию, что в большинстве случаев представляет гораздо большую ценность, чем вывод из строя аппаратного оборудования. 30/05/2012 17:35 http://digit.ru/technology/20120530/392180302.html
Новые подробности о Flame раскрыты на форуме PHDays 2012 На форуме Positive Hack Days, организованном компанией Positive Technologies, были раскрыты подробности о троянской программе Worm.Win32.Flame. Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», выступая с анализом вируса Duqu и его аналогов, заявил, что Flame — это, вероятно, не единственный представитель нового поколения «кибернетического супероружия»: существуют и другие, не менее опасные черви. Александр Гостев также рассказал, что Flame был обнаружен случайно. В конце апреля 2012 года власти Ирана заявили, что с компьютеров местной нефтяной компании неизвестными были удалены все данные о клиентах, объёмах поставок и другие документы. Чтобы исключить возможности восстановления рабочей информации, поверх неё были несколько раз записаны «мусорные» данные. Специалисты «Лаборатории Касперского» приступили к изучению проблемы по заказу Международного союза электросвязи (ITU). Тогда и был обнаружен Flame, хотя, как позже выяснилось, в его функционале отсутствует возможность удаления файлов. Интересная особенность: размер троянской программы в распакованном виде составляет 20 МБ: это почти в 20 раз больше, чем у Stuxnet. Новинка была установлена примерно на 500 машинах, 200 из которых были размещены в Иране, а также на израильских, палестинских, суданских и сирийских компьютерах. По словам Гостева, разведывательная операция неизвестных создателей Flame велась в течение нескольких лет. Для её осуществления были зарегистрированы несколько десятков доменов. После обнаружения следов вируса реакция владельцев троянской программы была моментальной: уже через несколько часов узлы, с которых управляли «флеймом», были недоступны. Описывая возможную тактику атаки, Александр Гостев предположил эксплуатацию уязвимости в Windows Media Player, позволяющей вместо проигрывания видеоролика запускать на атакуемом ПК произвольный код. Подобно промышленному ПО, установленный бэкдор разворачивает базу данных Mini SQL (mSQL), в которую заносит все информационные активы поражённого хоста. Скриншоты большинства процессов, включая переписку в мессенджерах, шифруются и отправляются на управляющие троянской программой серверы. Существует также «чёрный список» процессов, запрещающий изготовление скриншотов, в который в первую очередь входят антивирусы. Функционал Flame включает также сетевой сниффер, запись аудиофрагментов, поиск соседних устройств по Bluetooth и их специальное переименование для быстрого обнаружения, запуск HTTP-сервера и распространение через «расшаренные» папки. Большинство специалистов отмечают разносторонность нового цифрового шпиона. Предыдущие аналоги, Stuxnet и Duqu, изначально были менее функциональны. Напомним, что в этом году наблюдается тенденция к появлению все более сложных червей, созданных для целевого нападения на информационную систему компании или промышленного объекта. Далеко не все эксперты разделяют точку зрения о том, что мир встретился с абсолютно новой угрозой. К примеру, технический директор Positive Technologies считает, что в Flame нет ничего революционного. «Основное отличие Flame от ряда кустарных аналогов — качество проектирования, соответствующее промышленному или корпоративному уровню, — говорит Сергей Гордейчик. — Это современный продукт со специфическим набором функций, заточенный под определённые цели. Если бы существовала Нобелевская премия для создателей вирусов, или приз за самый оригинальный промышленный дизайн троянской программы, то разработчики Flame вряд ли оказались бы в числе лауреатов». Дата: 01.06.2012 http://www.xakep.ru/post/58783/
"Шпионский" вирус Flame искал чертежи и PDF-документы на зараженных ПК Шпионский вирус Flame, обнаруженный недавно экспертами по информационной безопасности, искал на компьютерах жертв файлы с расширением PDF, в котором часто сохраняют документы, и файлы с расширением DWG, обычно созданные в программе AutoCAD, предназначенной для создания всевозможных чертежей. МОСКВА, 4 июн - РИА Новости, Иван Шадрин. Шпионский вирус Flame, обнаруженный недавно экспертами по информационной безопасности, искал на компьютерах жертв файлы с расширением PDF, в котором часто сохраняют документы, и файлы с расширением DWG, обычно созданные в программе AutoCAD, предназначенной для создания всевозможных чертежей, рассказал РИА Новости эксперт российской антивирусной компании "Лаборатория Касперского" Виталий Камлюк. Эксперты компании на минувшей неделе сообщили об обнаружении вредоносной программы Flame, которая, предположительно, была создана для незаметного похищения важной информации из компьютеров государственных ведомств и крупных компаний ряда ближневосточных стран. В беседе с корреспондентом РИА Новости Виталий Камлюк сообщил новую информацию, косвенно подтверждающую "шпионское" назначение вируса. "Программа проявляет повышенный интерес к файлам PDF и DWG. DWG - это расширение файлов, созданных в программе AutoCAD, которая предназначается для создания и редактирования различных чертежей", - сказал РИА Новости Камлюк. Данную информацию экспертам удалось выяснить после того, как они совместно с экспертами крупнейшего доменного регистратора GoDaddy и DNS-провайдером OpenDNS успешно провели операцию sinkhole. По итогам операции экспертам удалось подменить собственным сервером управления соответствующие серверы злоумышленников. С таких серверов злоумышленники отдавали команды зараженным с помощью Flame компьютерам и получали от них данные. Также экспертам "ЛК" впервые удалось получить данные о реальном количестве заражений. Так, по новой информации, наибольшее число зараженных компьютеров (45) находится в Иране, на втором месте - Ливан (21), на третьем - Судан (14). Также единицы заражений были зарегистрированы в странах Европы. По словам Камлюка, вероятно, эти данные приходят от зараженных компьютеров граждан Ирана, Ливана, Судана и других ближневосточных стран, которые либо путешествуют в Европе, либо используют европейские серверы для анонимного входа в интернет. Новые цифры гораздо меньше озвученных ранее примерно 500 зараженных компьютерах, но, как пояснил Виталий Камлюк, ранее компания получала данные из сети Kaspersky Security Network, которая, во-первых, полностью состоит из компьютеров, на которых установлена продукция "Лаборатории"; во-вторых, учитывает даже те компьютеры, на которых Flame уже нет, а был установлен в прошлом. Ныне же данные приходят лишь от активных ботов, чем и объясняется резкое изменение статистики заражений. Успешное проведение процедуры sinkhole также дало исследователям множество другой информации о функционировании Flame. В частности, эксперты выяснили, что для обслуживания серверов управления Flame, злоумышленники зарегистрировали 80 доменов, первый из которых был зарегистрирован в 2008 году, что косвенно может указывать на то, что первая версия Flame появилась уже тогда. Все домены регистрировались по подставным данным, причем на одну "фальшивую личность" регистрировалось не более четырех доменов. Географически серверы управления были рассредоточены по всему миру. По словам Камлюка, все эти меры были приняты авторами Flame для того, чтобы максимально затруднить процесс их поиска правоохранительными органами. Неизвестными остаются ответы на многие вопросы, связанные с данным вирусом. В частности, исследователи до сих пор не знают, каким образом происходит первоначальное заражение Flame - пока известны лишь способы распространения программы в локальной сети, уже после того, как программа туда попала. Неизвестны также и предплагаемые авторы вируса. Как рассказал Виталий Камлюк, по коду программы иногда можно определить хотя бы к какой языковой группе относится язык, на котором разговаривает автор программы, и является ли для него этот язык родным. По словам эксперта "Лаборатории", пока с уверенностью об авторах Flame можно сказать лишь то, что они хорошо говорят по-английски. Flame стала четвертым образцом "кибероружия", известным специалистам по информационной безопасности. Первой такой программой стал Stuxnet, обнаруженный в 2010 году, и который, предположительно, использовался для вывода из строя центрифуг для обогащения урана на ряде заводов в Иране. Вторым вирусом стал обнаруженный в 2011 году Duqu. Данное вредоносное ПО предназначалось для незаметного сбора конфиденциальных данных. Третий вирус под условным названием Wiper в конце апреля текущего года уничтожил всю информацию на нескольких серверах одной из крупнейших нефтяных компаний Ирана, чем на несколько дней полностью парализовал ее работу. Во время изучения этого инцидента специалисты "Лаборатории" и обнаружили Flame - четвертый вирус для "продвинутых" кибератак. По мнению Александра Гостева - главного антивирусного эксперта "Лаборатории Касперского", шпионские вирусы, подобные Flame, действующие максимально незаметно и эффективно, получат широкое распространение уже в ближайшем будущем. Российская компания "Лаборатория Касперского" является одной из крупнейших в мире антивирусных компаний. Согласно данным "ЛК", ПО компании установлено на 300 миллионах компьютеров и мобильных устройств по всему миру. 04/06/2012 18:55 http://digit.ru/technology/20120604/392310510.html
Серверы под троянец Flame начали готовить еще несколько лет назад «Лаборатория Касперского» сегодня сообщила о результатах исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, в настоящее время активно применяется в качестве кибероружия в ряде ближневосточных государств. Анализ вредоносной программы, показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов. Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории Касперского» смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. В результате детального анализа полученной таким образом информации, эксперты пришли к следующим выводам: Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе «Лаборатория Касперского» раскрыла существование вредоносной программы. На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг. За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию. Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году. Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD. Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия. По предварительным данным, 64-разрядная версия операционной системы Windows 7 оказалась не подвержена заражению Flame. На прошлой неделе «Лаборатория Касперского» связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. (19:42) 04.06.2012 http://cybersecurity.ru/crypto/152515.html
Каспер достал пиарится, всем вендорам по***. Другие вендоры сэмпл получили, сигнатуру добавили, забыли о флеем, шмеим и прочую ***ню. Немного смехоты: Эксперты по безопасности полагают, что разработчики Flame могли использовать клавиатуру. Вот что рассказал нашему изданию Самый Главный Эксперт на Земле: "В данный момент мы не можем подтвердить или опровергнуть использоваание клавиатуры при создании Flame. Но уже одно это позволяет констатировать, что Flame является одной из самых сложных киберугроз за всю историю существования человечества. Она заставляет переосмыслить такие понятия, как «кибервойна», «смысл бытия», «кибершпионаж», а также, «телепортация». Мы еще далеки от завершения нашего расследования, но уже сейчас мы можем утверждать, что посвятим ему не менее 40 публикаций. Новую информацию мы будем сообщать по мере ее поступления." Вообще посмотрите на морды каспера и гостева(новость №4), на них так и написано: вот это ***ню замутили, весь мир охуевает от простого червя.
Flame распространялся как Windows Update с сертификатом Microsoft То, чего давно боялись специалисты по информационной безопасности, наконец-то произошло. Вредоносные программы начали использовать сертификаты компании Microsoft и эксплуатировать систему автоматических обновлений Windows Update. По крайней мере, именно такой механизм использовал шпионский троян Flame, вероятно, созданный спецслужбами США. Как известно, Flame был обнаружен около трёх недель назад. До настоящего момента специалисты из независимых антивирусных компаний совместно с Microsoft пытались выяснить, как ему удаётся распространяться на все компьютеры внутри локальной сети. Оказалось, что Flame использует технику MiTM («человек-в-середине»), чтобы перехватить запрос к серверу Windows Update и извлечь действующий сертификат Microsoft на одной из заражённых машин в локальной сети, и уже с этим сертификатом он копируется на другие машины, объясняют специалисты MS в корпоративном блоге. Захват сертификата осуществляется в момент, когда компьютер осуществляет автоматическое обновление и связывается с одним из серверов Windows Update. После этого на данной машине создаётся фальшивый сервер Windows Update под именем MSHOME-F3BE293C, а обновления на других компьютерах в сети проходят уже через инфицированную машину, которая рассылает на все остальные компьютеры фальшивый апдейт WuSetupV.exe с таким описанием: “update description=”Allows you to display gadgets on your desktop.” displayName=”Desktop Gadget Platform” name=”WindowsGadgetPlatform”> Установкой трояна на всех компьютеры в сети занимается модуль Munch, входящий в состав Flame. Для захвата сертификата использовалась уязвимость в протоколе, который использовала Microsoft для работы сервиса Remote Desktop. Несколько дней назад Microsoft закрыла уязвимость, выпустив апдейт KB2718704. Данный случай ещё раз демонстрирует проблемы с доверием в инфраструктуре цифровых сертификатов, выдаваемых частными компаниями, а также вероятность наличия других подобных уязвимостей в Windows. Не секрет, что ведущие хакерские группы успешно торгуют эксплойтами Windows, продавая их государственным спецслужбам разных стран и утаивая информацию от Microsoft. Таким образом, государственные агентства получают возможность выпускать новые инструменты для кибершпионажа. Дата: 05.06.2012 http://www.xakep.ru/post/58797/
Первые антивирусы обнаруживали вредоносный код по изменению размера программы. А сейчас уже два года гуляет вирус размером в 20 мб. Прогресс на лицо.
---- за чувство юмора 10 ) молодец ! сложно сдержать смех читая это) но, с тобой я не согласен, дело в том что им другое надо, ну добавят они сигнатуры и что дальше ?? да, Каспер имеет особенность пиарить себя это правда , но нельзя отрицать что от их расследования толку ноль, они поставили себе слегка другую задачу. Суметь визуально отличить самолет от автомобиля легко! у самолета есть крылья, правда ? а вот если понять как он работает то узнаешь что можно летать и без крыльев и различать будешь самолет от авто по принципу работы, по функциям и так далее.. вот она эвристика !
C&C-инфраструктура Flame С каждым днём становятся известны всё новые подробности о шпионской программе Flame. Позавчера компания Microsoft рассказала, каким образом осуществлялось похищение фирменным цифровых сертификатов и как Flame распространялся под видом Windows Update. Теперь и «Лаборатория Касперского» добавила технической информации, опубликовав результаты расследования инфраструктуры C&C-серверов Flame, проведённого совместно с GoDaddy и OpenDNS. Расследование началось за несколько недель до 28 мая, когда все C&C-серверы Flame ушли в офлайн, через несколько часов после официального заявления об обнаружении шпионской программы. Впрочем, некоторые клиенты Flame получили обновление до последней версии 2.4.2 уже после начала всей шумихи в прессе, что очень удивляет специалистов «ЛК». Всего обнаружено более 80 доменов на 15+ IP-адресах, куда отправлялись результаты работы Flame, собранные с заражённых машин. Эти домены регистрировались в 2008-2012 годы и использовались на протяжении долгого времени. Основную часть зарегистрировал GoDaddy. Для регистрации доменов использовался впечатляющий список фальшивых личностей с немецкими и австрийскими адресами, похожими на настоящие. Однако, расследование «Лаборатории Касперского» выявило, что эти адреса не могут быть настоящими, потому что в некоторых случаях адрес находится в одном городе, а указан другой, или указан адрес гостиницы. Серверы физически размещались в Германии, Голландии, Великобритании, Турции, Гонконге, Швейцарии и других странах. Все управляющие серверы Flame работали на операционной системе Ubuntu, а скрипты работали в открытую прямо на серверах, не пряча коммуникации с основным C&C-сервером в SSH-канале, как это делал Duqu. Каждый сервер получал информацию с 50+ инфицированных компьютеров. Данные присылались в зашифрованном виде: там были логи и другая служебная информация, а также документы с заражённых компьютеров: основное внимание уделялось файлам DWG (AutoCAD) и PDF. Для этих других документов программа составляла краткие рефераты. Клиентская программа Flame по дефолту имела список из пяти C&C-серверов. После установки она сначала проверяла наличие доступа в интернет, пингуя www.microsoft.com, windowsupdate.microsoft.com и www.verisign.com, а затем устанавливала соединение с одним из управляющих серверов. Общая схема работы с C&C-серверами показана на диаграмме. Дата: 06.06.2012 http://www.xakep.ru/post/58805/
Symantec предупреждает об опасности сетевого червя червём W32.Flamer Symantec сегодня опубликовала данные о потенциале использования технологий Bluetooth червём W32.Flamer. По данным Symantec, злоумышленники получают возможность идентифицировать мобильное устройство пользователя на расстоянии до одной мили и даже отслеживать местонахождение жертвы, красть конфиденциальную информацию и прослушивать разговоры. Из всех обнаруженных до сих пор угроз для Windows-платформ, W32.Flamer – единственная, столь широко использующая технологи Bluetooth вредоносная программа, что является ещё одним веским подтверждением её создания в качестве шпионского инструмента несанкционированного сбора информации. Функционал, использующий технологии Bluetooth, реализован в модуле “BeetleJuice”. Его запуск производится в соответствии со значениями конфигурационных параметров, заданными атакующим. При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка. Это означает, что заражённый червём W32.Flamer компьютер всегда будет виден при поиске Bluetooth-устройств. В дополнение к самозасвечиванию W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле “description”. И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает это поле: Эксперты говорят, что постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого червём W32.Flamer компьютера, позволяет злоумышленнику фиксировать устройства, обнаруженные в течение дня. Это особенно эффективно, если зараженный компьютер является ноутбуком, поскольку жертва обычно носит его с собой. Через некоторое время злоумышленник получает список различных обнаруженных устройств – преимущественно мобильных телефонов друзей и знакомых жертвы. И на основе подобных наблюдений он создаёт схему взаимосвязей жертвы с другими людьми и определяет её социальные связи и профессиональный круг общения. В другом случае после заражения компьютера злоумышленник может принять решение, что его владелец ему особенно интересен. Возможно, ему известно здание, в котором располагается жертва, но не её офис. Однако, используя технологии Bluetooth, злоумышленник может определить местоположение заражённых устройств. Bluetooth – это радиоволны. Измеряя уровень радиосигнала, злоумышленник может определить приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет злоумышленнику определить физическое расположение заражённого компьютера или устройства жертвы. Более предпочтительной альтернативой определения местоположения компьютера является идентификация мобильного телефона жертвы. Модуль “BeetleJuice” уже собрал список идентификаторов устройств, находящихся рядом с заражённым компьютером, поэтому злоумышленник знает, какие устройства принадлежат жертве. Одно из них – мобильный телефон, который большую часть времени находится у жертвы. И теперь атакующий может вести пассивный мониторинг жертвы без необходимости установки либо модификации её устройств. Оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах и любых транспортных узлах; и это оборудование будет выискивать идентификаторы устройств, принадлежащих жертве. Ряд атак позволяет идентифицировать Bluetooth-устройство на расстоянии более мили. Наиболее зловещим аспектом такой слежки является возможность точной локализации жертвы и более лёгкого отслеживания её в будущем. Значительная часть функционала W32.Flamer реализована в виде скриптов Lua, или «приложений» ('apps'), загружаемых из хранилища приложений ('apprepository’) FLAME. Для атакующего не составит никакого труда разместить новое вирусное приложение Bluetooth Lua в хранилище FLAME для загрузки на зараженное устройство. С увеличением функциональности злоумышленник, уже идентифицировавший Bluetooth-устройства, находящиеся в пределах досягаемости, может предпринять ряд атак: · Выкрасть контакты из адресной книги, SMS-сообщения, картинки и многое другое; · Использовать Bluetooth-устройство для подслушивания, подключив к нему заражённый компьютер в качестве аудио-гарнитуры; когда Bluetooth-устройство находится в переговорной или с него осуществляется звонок, злоумышленник может всё слышать; · Передавать похищенные данные через каналы связи другого устройства, что позволяет обойти межсетевые экраны и средства мониторинга сети. Для этого злоумышленник, может использовать собственное Bluetooth-устройство, находящееся в пределах мили от источника. Возможно, что W32.Flamer содержит нераскрытый код, который уже обеспечивает достижение этих целей. Например, несмотря на то, что мы ещё не обнаружили код маяка, один зараженный компьютер может связываться с другим по протоколу Bluetooth. И если второй компьютер, подключённый к защищённой сети, был заражён через USB-подключение, то единственной доступной сетью для него может стать имеющееся Bluetooth-подключение к заражённому компьютеру. Код для обеспечения этого, возможно, уже имеется в Win32.Flamer. (10:44) 07.06.2012 http://cybersecurity.ru/crypto/152790.html
Троянец Flame начал самоудаляться с некоторых зараженных компьютеров Антивирусная компания Symantec сообщает о том, что авторы нашумевшего вредоносного программного обеспечения Flame направили команды на самоудаление троянца с некоторых ранее зараженных компьютеров. Symantec говорит, что ее аналитическое программное обеспечение, выполняющее функции мониторинга, зафиксировало соответствующие команды. Напомним, что информация о новом кибероружии Flame буквально взорвала мировые СМИ, после того, как Международный телекоммуникационный союз и российская "Лаборатория Касперского" обнародовали первые данные о Flame, заявив, что за ним стоят команды профессиональных программистов, а сам троянец ориентирован на шпионаж в странах Ближнего Востока, в частности Ирана. Более подробный анализ, проведенный экспертами, позволяет лучше понять, как сложная программа работает и кто мог бы стоять за ее созданием. В Symatec говорят, что следят за Flame при помощи специальных компьютеров-приманок, которые с точки зрения авторов вредоносного ПО представляют собой целевые компьютеры-жертвы. На прошлой неделе в Symantec обратили внимание на то, что ряд серверов, используемых в качестве командных центров Flame, начали рассылать экстренные команды на зараженные компьютеры. Так как создатели Flame на имеют прямого доступа ко всем используемым командным серверам, антивирусные компании уже получили доступ к некоторым из компьютеров и согласно полученным таким образом данным, авторы троянца начали срочно удалять вредоносный код с ряда зараженных компьютеров. "Они стараются удалить все следы присутствия Flame на компьютере", - заявили в Symantec. Также здесь говорят, что специальный модуль, позволяющий удалить вредоносный код, был написан в мае этого года, то есть еще до того, как о Flame стало публично известно. Эксперты по криптографии говорят, что примерно тогда же авторы кода разработали и сложный метод проникновения Flame в целевые компьютеры - при помощи поддельных цифровых сертификатов Microsoft, которые были получены в результате ряда манипуляций с клиентскими лицензиями корпорации. Похожий метод получения цифровых сертификатов был продемонстрирован еще в 2008 году, но авторы Flame усложнили его и довели до практической реализации. "Подобные работы должны были проводить специалисты по криптоанализу и программированию мирового уровня", - уверен Марк Стивенс, эксперт по криптографии из Centrum Wiskunde & Informatica в Амстердаме. (07:00) 11.06.2012 http://cybersecurity.ru/crypto/153015.html
"Лаборатия Касперского": Flame и Stuxnet писали одни и те же люди Новый вредоносный троянец Flame напрямую связан с кодом Stuxnet, атаковавшим иранские центрифуги в 2009 и 2010 годах. Оба вредоносных кода содержат практически идентичную структуру главного модуля: в главном модуле Flame содержится код, идентичный тому, что был использован в ранних версиях Stuxnet. К такому выводу пришли антивирусные аналитики "Лаборатории Касперского" после подробного анализа поведения Flame на зараженных компьютерах. Специалисты из "Лаборатории Касперского" обнаружили, что часть модуля Flame, отвечающая за распространение вредоноса через USB-носители использует функцию автозапуска в Windows, причем используется здесь тот же код, что был задействован в первой версии Stuxnet, атаковавшей иранские ядерные объекты в 2009 году. Тогда же мировые СМИ заявили, что Stuxnet - это продукт американской и израильской разведки. Модуль, известный в Stuxnet, как Resource 207, был удален из более поздних версий Stuxnet, но он был использован в качестве платформы для того, что в будущем стало вредоносным кодом Flame. Исследователи уверены, что атакующие создавали общий вредоносный код, который позже был разделен на два направления - Stuxnet и Flame. В официальном блоге "Лаборатории Касперского" говорится, что оба кода применяют похожие методы вторжения в системы. Flame использует коллизию хеш-функции MD5 для подписи вредоносного файла мошенническими сертификатами, чтобы в системе жертвы создавалась иллюзия того, что код применяет сертификат Microsoft. В случае со Stuxnet, вредоносный код применял атаку, базирующуюся на поднятии системных привилегий. Оба кода применяют схожую логику проникновения в системы. Напомним, что подробный разбор кода Stuxnet был проведен еще в 2010 году. Stuxnet применял в феврале 2009 года уязвимость нулевого дня, которая была закрыта Microsoft лишь 9 июня 2009 года, то есть четырьмя месяцами позже, однако первая массовая атака с использованием Stuxnet была запущена 22 июня 2009 года. Метод Stuxnet позволял коду получать повышенные привилегии, если изначально код запускался не под администраторской учетной записью. Однако в версии Stuxnet от 2010 года от данного метода было решено избавиться и тогда же был внедрен метод с использованием поддельных файлов-ярлыков с расширением lnk. На тот момент это также была уязвимость нулевого дня, о которой Microsoft ничего не знала, устранив ее лишь после того, как Stuxnet ей воспользовался. Модуль Stuxnet, содержавший эти эксплоиты в Stuxnet, был обнаружен только сейчас, так как они были реализованы в версии вредоноса от 2009 года, а основное внимание антивирусных компаний было уделено версии от 2010, ввиду того, что она считается более интересной и широко распространенной, а кроме того авторы кода добавили к ней несколько других эксплоитов для уязвимостей нулевого дня. Flame был обнаружен "Лабораторией Касперского" в мае этого года. Новый код, также как и Stuxnet, был ориентирован на атаки компьютеров в ближневосточных странах, причем исследователи полагают, что очень ограниченное хождение у Flame наблюдается уже около двух лет. У данного вредоноса есть несколько плагинов, которые можно использовать для кражи документов, чтения данных систем мгновенных сообщений, перехвата Skype-коммуникаций и других функций. Изначально также считалось, что Flame распространяется через инфицированные USB-носители, путем создания поддельных lnk-файлов, кроме того, Flame и Stuxnet применяют одну и ту же систему уязвимости в спулерах в ОС Windows для распространения в локальных сетях. Эксперты говорят, что в принципе авторы двух кодов могли использовать одну и ту же базу данных уязвимостей для создания функционала, однако как бы то ни было, эти две команды разработчиков взаимодействовали друг с другом очень тесно. Более вероятно, что они даже обменивались исходными кодами двух вредоносов. Ну, или они просто были одной командой. Исследователи из российской антивирусной компании говорят, что изначально они считали Flame параллельным проектом, созданным новой командой программистов по заказу общего клиента с федеральными корнями, тогда как основным был Stuxnet и его производный код Duqu, однако сейчас специалисты с уверенностью говорят, что база у Stuxnet и Flame единая, хотя позже проекты разработки двух кодов, скорее всего, разошлись. В "Лаборатории Касперского" говорят, что Flame начали создавать примерно в 2008 году и уже тогда применялась достаточно зрелая платформа, тогда как работа над Stuxnet была завершена в январе-июне 2009 года. После того, как модули Flame были исключены из Stuxnet, оба набора вредносного ПО продолжили развиваться силами разных команд программистов. Так, в итоге Stuxnet стал применяться для проведения саботажа на АЭС в Иране, тогда как Flame - для кражи информации. Подробный технический анализ доступен по адресу http://www.securelist.com/ru/blog/207767012/Back_to_Stuxnet_propushchennoe_zveno (18:23) 11.06.2012 http://cybersecurity.ru/crypto/153056.html
Washington Post заявляет, что за созданием Flame стоит американская разведка Газета Washington Post сегодня со ссылкой на собственные источники сообщила, что за разработкой троянского программного обеспечения Flame стоят американские разведовательные ведомства, в частности ЦРУ и Агентство Национальной Безопасности, а также израильская разведка. По данным Washington Post, изначально за созданием Flame стояла всего одна цель - замедлить любыми способами темпы развития иранской ядерной программы. Напомним, что чуть более недели назад издание The New York Times сообщило примерно такие же данные о Flame, дополнив, что как Flame, так и червей Stuxnet и Duqu проектировала американская разведка. В статье New York Times говорилось, что разведка США стояла за Stuxnet, тогда как Washington Post сообщает, что и за Flame стоит она же. Сообщается, что оба кода были созданы в рамках закрытого проекта "Олимпийские игры", причем Washington Post сообщает, что проект не свернут и по сей день и сейчас американские программисты по-прежнему работают над новыми образцами вредоносного ПО. (13:00) 20.06.2012 http://cybersecurity.ru/crypto/153719.html
