Вирус Flame, в переводе с английского — «пламя», был разработан для ведения кибершпионажа с использованием информации, украденной с зараженных машин. Как рассказал BFM.ru Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», «программа позволяет похищать важные данные, в том числе информацию, выводимую на монитор, данные о системах-объектах атак, файлы, хранящиеся в компьютере, контактные данные пользователей и даже аудиозаписи разговоров».
Вирус, похоже, изначально предназначался для небольшого количества организаций и частных лиц в Иране, на Западном берегу реки Иордан, в Ливане и в Объединенных Арабских Эмиратах, пишет The Guardian.
В Иране вирус поразил министерство нефти, а также нефтяные терминалы. Это вынудило иранское руководство сформировать «кризисный комитет», который распорядился отключить от Интернета шесть главных нефтяных терминалов, в том числе крупнейший, расположенный на острове Харг, — он отвечает за 90% экспорта иранской нефти.
По данным одного из иранских информационных агентств, вирус уничтожил информацию в жестких дисках компьютеров штаб-квартиры министерства нефти Ирана. И хотя его представители утверждают, что распространение червя было остановлено и основной объем информации не пострадал, есть основания полагать, что вирус проник в компьютерную сеть министерства много месяцев назад и выполнил главную задачу по сбору и отправке информации, приводит The Guardian слова старшего аналитика из американской компании Symantec Орлы Кокс. Атака на компьютеры министерства нефти произошла в конце апреля.
Ранее в нынешнем году глава иранской гражданской обороны заявлял, что за последние два года энергетический сектор страны все чаще становился объектом кибератак, напоминает The Financial Times. Газета также указывает, что иранские вооруженные силы создали специальное подразделение, в задачу которого входит защита от компьютерных атак. Подразделение работает в тесном контакте с другими военными организациями, а также телекоммуникационными фирмами и разведкой.
Всего, по мнению Symantec, вирус атаковал не менее 100 организаций и частных лиц «в основном расположенных на Ближнем Востоке». Похоже, что вирус также распространился в Венгрии, России, Австрии и Гонконге, хотя не исключено, что в эти страны он проник случайно. Не сегодняшний день зараженные Flame компьютеры обнаружены экспертами «Лаборатории Касперского» в Иране (189 ПК), Израиле/Палестине (98), Судане (32), Сирии (30), Ливане (18), Саудовской Аравии (10), Египте (5).
Flame c большой долей вероятности будет признан самым зловредным из известных к настоящему моменту вирусов, считают и российские, и иностранные эксперты в области компьютерной безопасности. «По сложности и функционалу Flame превосходит все ранее известные виды киберугроз, — рассказал Александр Гостев из «Лаборатории Касперского». — Новая вредоносная программа стала еще более сложной. Так, например, размер ее исполняемого кода почти в 20 раз превосходит размер печально известного червя Stuxnet, который в 2010 году нанес серьезный удар по ядерной программе Ирана».
Иранские власти обвиняли США и Израиль в создании Stuxnet, атаковавшего, среди прочих объектов, завод по обогащению урана в Натанце. По данным газеты The New York Times, совместную программу по компьютерному противодействию иранским попыткам создать атомную бомбу Соединенные Штаты и Израиль начали в 2004 году. Официально Пентагон, Госдепартамент, ЦРУ и другие американские органы власти эту информацию не комментируют.
С высокой долей вероятности к созданию программы Flame могут быть причастны не отдельные группировки хакеров, а какая-то страна или даже несколько стран. Возможно, речь идет о тех же государствах, которые стоят за разработкой Stuxnet. Flame так же, как Stuxnet и похожая на него программа для кражи данных Duqu, использует бреши в операционной системе Windows. Кроме того, Flame и Stuxnet роднит способ распространения в компьютерных сетях.
В «Лаборатории Касперского» отказываются строить предположения, кто мог написать программу Flame. Александр Гостев говорит: «География атак, использование специфичных уязвимостей в ПО, а также то, что целью атак становятся только определенные компьютеры, указывают на то, что Flame относится к категории сложного кибероружия». Вопрос о том, кто написал программу Flame, наверняка станет предметом горячих споров не только в среде специалистов по компьютерной безопасности, но и дипломатов, предсказывает Reuters.
Венгерские эксперты, первыми обнаружившие вирус Duqu, не исключают: Flame заразил компьютеры пять или даже, может быть, восемь лет назад. «Это очень большая и сложная программа, поэтому я предполагаю, что мы имеем дело с первым поколением программ, нацеленных на сбор информации», — согласен с венгерскими коллегами Неил Фишер, вице-президент международной компании Unisys. В «Лаборатории Касперского» тоже считают: зловредная программа может поселиться в компьютерах ближневосточных пользователей уже много месяцев. «По предварительным результатам, Flame используется с марта 2010 года. Однако из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом», — рассказал Александр Гостев.
По сообщению Reuters, сотрудники «Лаборатории Касперского» и венгерской Лаборатории криптографии и системной безопасности изучали Flame на протяжении нескольких недель. Признаков того, что вирус может вызывать инфраструктурные повреждения или уничтожать информацию на захваченных компьютерах, пока не выявлено. Впрочем, напоминает агентство, на то, чтобы найти ключевые ответы, связанные с программой Stuxnet, потребовались месяцы работы. «В этой истории больше всего меня пугает то, что вирус был написан пять лет назад. Если его создатели могли делать что-то подобное тогда, то страшно представить, на что они способны сейчас», — цитирует Reuters одного из британских экспертов по кибербезопасности.
Источник: bfm
|
