Цифровое «пламя»: шпион по имени Флейм

Обнаруженный недавно компьютерный вирус Флейм, который в течение нескольких лет, оставаясь незамеченным, медленно разъедал энергетическую систему Ближнего Востока, в очередной раз подтвердил опасения о том, что мир вступил в новую эру кибершпионажа и диверсий. Специалисты по защите от вирусных угроз буквально вгрызлись в обнаруживший себя вредоносн

Обнаруженный недавно компьютерный вирус Флейм, который в течение нескольких лет, оставаясь незамеченным, медленно разъедал энергетическую систему Ближнего Востока, в очередной раз подтвердил опасения о том, что мир вступил в новую эру кибершпионажа и диверсий. Специалисты по защите от вирусных угроз буквально вгрызлись в обнаруживший себя вредоносный компьютерный монстр, который мог бы проникнуть в самые ключевые компьютерные системы во всех странах мира.

«Крошка» Флейм

Русскими компьютерными специалистами недавно был обнаружен новый компьютерный вирус, обладающий беспрецедентной разрушительной способностью. В статье Defence Talk1 написано, что этот новый вирус может быть использован Западом и Израилем в качестве «кибероружия» в борьбе с такими врагами, как, например, Иран.

Лаборатория Касперского, один из крупнейших в мире разработчиков антивирусных программ, заявила, что вирус, которому присвоили имя Флейм (пламя), обнаружил один из их специалистов во время расследования, инициированного Международным союзом электросвязи (МСЭ).

Представитель компании не сообщил, против чего был направлен этот вирус, но буквально за месяц до того, как он был обнаружен, власти Ирана заявили, что им удалось задержать распространение некоего стирающего данные вируса, атаковавшего серверы в нефтяном секторе.

По словам представителя Лаборатории Касперского, этот вирус в несколько раз крупнее выявленного в 2010 г. «червя» Стакснет, который был использован для атаки иранской ядерной программы якобы по приказу служб безопасности Израиля или Запада.

В Лаборатории Касперского считают, что основной задачей вируса Флейм является кибершпионаж: вирус способен захватывать информацию с зараженных компьютеров, включая документы, скриншоты и аудиозаписи, а затем рассылать данные на серверы по всему миру.

«Флейм активно используется в качестве кибероружия для атаки компьютеров различных организаций в нескольких странах», — заявил представитель Лаборатории Касперского.

«Обнаруженный вирус по своей сложности и функциональности превосходит все похожие вредоносные программы, известные на сегодняшний день», — добавили в Лаборатории.

Кто «поджигатель»?

Вице-премьер Израиля Моше Яалон подтвердил, что подобные средства кибератаки являются частью арсенала, который используется в борьбе с Ираном, однако не дал никакой конкретной информации о причастности Моссада к разработкам вируса Флейм.

«Для каждого, кто считает угрозу со стороны Ирана значительной, вполне оправдано использование различных средств для ее сдерживания, включая и эти средства, — заявил М. Яалон в эфире израильской радиостанции «Галей ЦАХАЛ». — Израиль является страной, располагающей самыми современными технологиями, и эти средства открывают для нас широкие возможности».

По словам представителей Лаборатории Касперского, расследование было начато после серии инцидентов в Западной Азии; неизвестный вирус проникал в компьютеры и удалял с них данные. Флейм, как считают в Лаборатории, бесчинствовал на свободе более двух лет, с марта 2010 г. Однако кто за всем этим стоит, в Лаборатории понятия не имеют.

«Предельная сложность и целевой характер атак вируса долгое время не позволяли антивирусным программам его распознать, — заявил представитель Лаборатории. — Флейм – это одно из самых продвинутых и совершенных средств кибератаки, которые когда-либо были обнаружены».

«Вирусы Стакснет и Дуку принадлежали к одной цепи атак, которая вызвала спекуляции на тему кибервойн по всему миру. Похоже, что Флейм символизирует следующую стадию этой войны, и важно понимать, что подобные средства кибератаки могут представлять реальную угрозу для любой страны», — заявил исполнительный директор и основатель Лаборатории Касперского Евгений Касперский.

По словам главного антивирусного эксперта Лаборатории Касперского Александра Гостева, кибератака посредством вируса Флейм сейчас находится в активной фазе: «Тот, кто управляет вирусом, постоянно исследует пораженные системы, собирает информацию и совершает новые атаки, достигая своих, лишь ему одному известных целей».

В апреле 2012 г. власти Ирана создали кризисный комитет по защите от неизвестного вируса, атаковавшего несколько серверов, включая один из серверов главного терминала экспорта нефти, расположенного на острове Харк в Персидском заливе.

«Мы временно отключили все компьютеры, связанные с этим сервером, и, к счастью, смогли остановить распространение вирусной угрозы. Ни информация, ни данные не пострадали», — заявил тогда заместитель Министра нефтяной промышленности Ирана Хамдулла Мохаммаднежад.

Огонь без дыма

Хотя компоненты и тактики вируса Флейм не новы, его гигантские сменные модули и целеориентированная природа являются свидетельством того, что этот вирус может стать грозным оружием в эпоху интернет-технологий, сообщает опять таки Defence Talk.

«Мы видели много разных типов компьютерных вирусов и вирусных атак, — рассказал Дейв Маркус, директор по исследованию проблем безопасности и информационным связям в McAfee Labs. — Когда речь идет о ситуации, где противник хорошо знает свою жертву и подстраивает вирус под окружающую среду, это становится реальной угрозой. Это говорит о хорошо поставленной разведке и о том, что противник точно знает, что ему нужно».

По словам Дэйва Маркуса, сбор секретной информации на объектах и создание вирусов для нелегального внедрения в специальные защищенные сети, так же, как и привычки тех, кто пользуется этими методами, очень напоминают стиль атак, предвестником которого был вирус Стакснет.

Обнаруженный в июле 2010 г., Стакснет атаковал компьютерные системы управления, разработанные немецким гигантом Siemens, применявшиеся, в-основном, на нефтяных скважинах, водозаборах, электростанциях и других стратегически важных объектах.

Большинство случаев поражения этим вирусом было зафиксировано в Иране, что и дало почву слухам о том, что вирус был внедрен, дабы вывести из строя атомные объекты, особенно атомную электростанцию на юге страны в городе Бушир, построенную при участии России.

Подозрение пало на США и Израиль, которые обвиняли Иран в разработках ядерного оружия под прикрытием мирной атомной программы. Тегеран официально отверг все обвинения. Флейм оказался в несколько раз больше Стакснета и к тому же защищен несколькими уровнями шифров.

Вирус беспрепятственно поражал компьютерные сети около двух лет или более. Наиболее высокая концентрация зараженных компьютеров была обнаружена в палестинском Западном Банке, Венгрии, Иране и Ливане. Отдельные случаи атаки были зафиксированы в Австрии, России, Гонконге и Объединенных Арабских Эмиратах.

Число пораженных компьютеров включает в себя и те, что были подсоединены к домашним сетям, согласно отчетам исследователей, которые отслеживали, не поступала ли информация о случаях поражения от сотрудников, использовавших лэптопы во время рабочих поездок.

Чем он опасен?

И если Стакснет был создан для того, чтобы нанести реальный ущерб системам, то Флейм просто «высасывал» информацию из компьютерных сетей и передавал полученные данные тому, кто его контролировал.

Флейм способен считывать нажатие клавиш, делать скриншоты, прослушивать аудиофайлы с использованием микрофона, встроенного в компьютер. Но главной интригой стало то, что вирус обладает способностью считывать списки контактов и другую информацию, используя подключения к смартфонам и планшетникам через Bluetooth.

«Поведение вируса очень похоже на шпионаж и сбор разведданных, — заявил Дэйв Маркус. — Он вполне может быть направлен против чего угодно».

Д. Маркус рекомендовал компаниям не только своевременно обновлять антивирусные программы, но и усовершенствовать системы защиты компьютеров, поскольку такие вирусные угрозы, как Флейм, способны «прятаться от радаров».

Например, Флейм самостоятельно мог выходить в интернет под видом, казалось бы, безобидной сессии программы Internet Explorer. Географически нацеленный кибершпионаж и даже модульные компоненты в вирусах — это не новость, пишет в своем блоге специалист компании Trend Micro Рик Фергюсон.

Но Флейм является настоящим вирусным монстром из-за своего размера около 20 Мб и его способности проникать даже через Bluetooth. «Нельзя обойти вниманием тот факт, что вирус просто гигантский, — заявил Дэйв Маркус. — Кто-то пошел на крайние меры, чтобы ввести в заблуждение исследователей. Мы расчленим вирус на части, чтобы выяснить, как много ему удалось вытянуть из компьютеров».

Итак, мир вступил в новую эпоху — эпоху кибершпионажа, в которой реальная угроза исходит от существующих в виртуальном мире вирусов-шпионов. Возможно, обнаружив Флейм, российские специалисты затронули лишь верхушку айсберга.

Факт признания вируса Флейм одним из уникальнейших и мощнейших видов кибероружия, вполне может означать, что независимо ни от кого мир оказался втянутым в боевые действия в какой-то тайной кибервойне. Сможем ли мы выиграть ее, если даже не до конца осознаем, что, участвуем в ней?

Ольга Васильева