Jump to content

Пламя (вредоносное ПО)

«Skywiper» перенаправляется сюда. Информацию о портативном устройстве против дронов см. в EDM4S .
Не путать с Stoned (компьютерный вирус) § Flame/Stamford или Flaming (Интернет) .

Пламя
Псевдоним Огнемет, Скайвайпер, Скайвайпер
Тип Вредоносное ПО
Авторы Группа уравнений
Технические детали
Платформа Окна
Размер 20 МБ
Написано в С++ , Луа

Пламя , [а] также известный как Flamer , sKyWIper , [б] и Скайвайпер , [2] модульное компьютерное вредоносное ПО , обнаруженное в 2012 году [3] [4] который атакует компьютеры под управлением операционной системы Microsoft Windows . [5] Программа используется для целевого кибершпионажа в странах Ближнего Востока . [1] [5] [6]

О его открытии было объявлено 28 мая 2012 года Центром MAHER Иранской национальной группы реагирования на компьютерные чрезвычайные ситуации (CERT). [5] Лаборатория Касперского [6] и CrySyS Lab Будапештского университета технологии и экономики . [1] Последний из них заявил в своем отчете, что Flame «определенно является самым сложным вредоносным ПО, с которым мы столкнулись в нашей практике; возможно, это самое сложное вредоносное ПО, когда-либо найденное». [1] Пламя может распространиться на другие системы по локальной сети (LAN). Он может записывать звук, снимки экрана , активность клавиатуры и сетевой трафик . [6] Программа также записывает разговоры Skype и может превращать зараженные компьютеры в Bluetooth -маяки, которые пытаются загрузить контактную информацию с находящихся поблизости устройств с поддержкой Bluetooth. [7] Эти данные вместе с локально хранящимися документами отправляются на один из нескольких серверов управления и контроля, разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов. [6]

По оценкам Касперского, в мае 2012 года Flame первоначально заразил около 1000 компьютеров. [7] с жертвами, включая правительственные организации, образовательные учреждения и частных лиц. [6] Тогда 65% случаев заражения произошли в Иране, Израиле, Палестине, Судане, Сирии, Ливане, Саудовской Аравии и Египте. [3] [6] с «огромным большинством целей» внутри Ирана. [8] Пламя также сообщалось в Европе и Северной Америке. [9] Flame поддерживает команду «kill», которая стирает все следы вредоносного ПО с компьютера. Первоначальное заражение Flame прекратилось после его публичного разоблачения, и была отправлена ​​команда «уничтожить». [10]

Flame связан с Equation Group Лабораторией Касперского. Однако Костин Райу, директор глобальной исследовательской и аналитической группы «Лаборатории Касперского», считает, что группа сотрудничает с создателями Flame и Stuxnet только с позиции превосходства: «Equation Group определенно являются хозяевами, и они дают остальным, может быть, , хлебные крошки. Время от времени им дают какие-нибудь вкусности для интеграции в Stuxnet и Flame». [11]

Недавние исследования показали, что Flame запомнится как один из самых значимых и сложных инструментов кибершпионажа в истории. Используя сложную стратегию, Flame удалось проникнуть на многочисленные компьютеры по всему Ближнему Востоку, подделав подлинный сертификат безопасности Microsoft. [12]

В 2019 году исследователи Хуан Андрес Герреро-Сааде и Сайлас Катлер объявили о своем открытии возрождения Пламени. [13] [14] Злоумышленники использовали «таймстомп» [ нужны разъяснения ] чтобы новые образцы выглядели так, как будто они были созданы до команды «самоубийство». Однако ошибка компиляции включала реальную дату компиляции ( около 2014 года ). Новая версия (названная исследователями «Flame 2.0») включает в себя новые механизмы шифрования и запутывания, позволяющие скрыть ее функциональность. [15]

История [ править ]

Пламя (также известное как Da Flame) было обнаружено в мае 2012 года Центром MAHER Иранского национального CERT, Лабораторией Касперского и CrySyS Lab (Лаборатория криптографии и системной безопасности) Будапештского университета технологии и экономики, когда Лабораторию Касперского попросили Объединенные Наций Международный союз электросвязи расследует сообщения о вирусе, поразившем компьютеры Министерства нефти Ирана . [7] В ходе расследования «Лаборатории Касперского» они обнаружили MD5 хэш и имя файла, которые появлялись только на компьютерах клиентов из стран Ближнего Востока. Обнаружив еще несколько частей, исследователи назвали программу «Пламя» в честь одного из основных модулей в наборе инструментов. [FROG.DefaultAttacks.A-InstallFlame] . [7]

По словам Касперского, Flame действовал как минимум с февраля 2010 года. [6] CrySyS Lab сообщила, что имя файла основного компонента было обнаружено еще в декабре 2007 года. [1] Однако дату его создания определить напрямую не удалось, поскольку датами создания модулей вредоносного ПО ошибочно считаются уже 1994 год. [7]

Компьютерные эксперты считают это причиной атаки в апреле 2012 года, в результате которой иранские чиновники отключили свои нефтяные терминалы от Интернета. [16] В то время иранское студенческое информационное агентство назвало вредоносную программу, вызвавшую атаку, «Wiper» — имя, данное ей создателем вредоносной программы. [17] Однако в «Лаборатории Касперского» считают, что Flame может быть «полностью отдельной инфекцией» от вредоносного ПО Wiper. [7] Из-за размера и сложности программы, которую описывают как «в двадцать раз» более сложную, чем Stuxnet , в лаборатории заявили, что полный анализ может занять до десяти лет. [7]

28 мая иранский CERT объявил, что разработал программу обнаружения и инструмент удаления Flame и в течение нескольких недель распространял их среди «избранных организаций». [7] После разоблачения Flame в средствах массовой информации Symantec сообщила 8 июня, что некоторые компьютеры управления Flame (C&C) отправили зараженным компьютерам «самоубийственную» команду, чтобы удалить все следы Flame. [10]

По оценкам Касперского на май 2012 года, первоначально Flame заразил около 1000 машин. [7] с жертвами, включая правительственные организации, образовательные учреждения и частных лиц. [6] В то время наиболее пострадавшими странами были Иран, Израиль, Палестинские территории, Судан, Сирия, Ливан, Саудовская Аравия и Египет. [3] [6] Образец вредоносного ПО Flame доступен на GitHub .

Операция [ править ]

Имя Описание
Список кодовых названий различных семейств модулей в исходном коде Flame и их возможное назначение. [1]
Пламя Модули, выполняющие функции атаки
Способствовать росту Модули сбора информации
Колба Тип атакующего модуля
Джимми Тип атакующего модуля
Жевать Модули установки и распространения
Закуска Модули локального распространения
Корректировщик Сканирующие модули
Транспорт Модули репликации
Эйфория Модули утечки файлов
Головная боль Параметры или свойства атаки

Flame — это нетипично большая для вредоносного ПО программа размером 20 мегабайт . Он частично написан на языке сценариев Lua со связанным скомпилированным кодом C++ и позволяет загружать другие модули атаки после первоначального заражения. [6] [18] Вредоносная программа использует пять различных методов шифрования и базу данных SQLite для хранения структурированной информации. [1] Метод, используемый для внедрения кода в различные процессы, является скрытым: модули вредоносного ПО не отображаются в списке модулей, загруженных в процесс, а страницы памяти вредоносного ПО защищены разрешениями READ, WRITE и EXECUTE , что делает их недоступными для пользователя. режим приложений. [1] Внутренний код мало похож на другие вредоносные программы, но использует две те же уязвимости безопасности, которые ранее использовались Stuxnet для заражения систем. [с] [1] Вредоносная программа определяет, какое антивирусное программное обеспечение установлено, а затем настраивает свое поведение (например, изменяя расширения имен файлов ), чтобы снизить вероятность обнаружения этим программным обеспечением. [1] Дополнительные индикаторы компрометации включают мьютекс и активность реестра , например, установку поддельного аудиодрайвера , который вредоносное ПО использует для сохранения работоспособности в скомпрометированной системе. [18]

Flame не предназначен для автоматической деактивации, но поддерживает функцию «уничтожения», которая позволяет удалить все следы своих файлов и работы из системы при получении модуля от ее контроллеров. [7]

Flame был подписан поддельным сертификатом, предположительно выданным центром сертификации Microsoft Enforced Licensing Intermediate PCA. [19] Авторы вредоносного ПО обнаружили сертификат службы лицензирования терминального сервера Microsoft , который был случайно включен для подписи кода и в котором все еще использовался слабый MD5 алгоритм хеширования , а затем создали поддельную копию сертификата, который они использовали для подписи некоторых компонентов вредоносного ПО, чтобы они выглядели исходить от Microsoft. [19] Успешная коллизионная атака на сертификат была ранее продемонстрирована в 2008 году. [20] но Flame реализовал новый вариант атаки столкновения с выбранным префиксом. [21]

Развертывание [ править ]

Подобно ранее известному кибероружию Stuxnet и Duqu , оно применяется целенаправленно и может обходить современное программное обеспечение безопасности с помощью руткитов . После заражения системы Flame может распространиться на другие системы по локальной сети или через USB-накопитель. Он может записывать звук, снимки экрана, активность клавиатуры и сетевой трафик . [6] Программа также записывает разговоры Skype и может превратить зараженные компьютеры в Bluetooth-маяки, которые пытаются загрузить контактную информацию с близлежащих устройств с поддержкой Bluetooth. [7] Эти данные вместе с локально хранящимися документами отправляются на один из нескольких серверов управления и контроля, разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов. [6]

В отличие от Stuxnet, который был разработан для саботажа промышленного процесса, Flame, похоже, был написан исключительно для шпионажа . [22] Похоже, что он не нацелен на конкретную отрасль, а скорее представляет собой «полный набор инструментов для атак, предназначенный для общих целей кибершпионажа». [23]

Используя технику, известную как «синкхолинг» , «Касперский» продемонстрировал, что «подавляющее большинство целей» находились на территории Ирана, причем злоумышленники в основном искали AutoCAD чертежи , PDF-файлы и текстовые файлы . [8] Эксперты по вычислительной технике заявили, что программа, похоже, собирает технические схемы в разведывательных целях. [8]

Сеть из 80 серверов в Азии, Европе и Северной Америке использовалась для удаленного доступа к зараженным машинам. [24]

Происхождение [ править ]

19 июня 2012 года газета The Washington Post опубликовала статью, в которой утверждалось, что Flame был разработан совместно Агентством национальной безопасности США , ЦРУ и военными Израиля как минимум пять лет назад. Сообщается, что этот проект является частью секретной программы под кодовым названием « Олимпийские игры» , целью которой является сбор разведывательной информации в рамках подготовки к кампании кибердиверсий, направленной на замедление иранских ядерных усилий. [25]

По словам главного эксперта по вредоносным программам «Лаборатории Касперского», «география целей, а также сложность угрозы не оставляют сомнений в том, что исследование спонсировало национальное государство». [3] Первоначально Касперский заявил, что вредоносное ПО не имеет никакого сходства со Stuxnet, хотя, возможно, это был параллельный проект, заказанный теми же злоумышленниками. [26] После дальнейшего анализа кода Касперский позже сказал, что между Flame и Stuxnet существует тесная связь; ранняя версия Stuxnet содержала код для распространения через USB-накопители, который почти идентичен модулю Flame, использующему ту же уязвимость нулевого дня . [27]

Иранский CERT описал шифрование вредоносного ПО как имеющее «особый шаблон, который можно увидеть только в Израиле». [28] Газета Daily Telegraph сообщила, что из-за очевидных целей Флейма, в число которых входили Иран, Сирия и Западный Берег , Израиль стал «главным подозреваемым многих комментаторов». Другие комментаторы назвали США возможными виновниками. [26] Ричард Сильверстайн , комментатор, критикующий политику Израиля, заявил, что он подтвердил «высокопоставленному израильскому источнику», что вредоносное ПО было создано израильскими компьютерными экспертами. [26] Газета «Джерузалем Пост» написала, что вице-премьер-министр Израиля Моше Яалон, судя по всему, намекнул, что ответственность несет его правительство. [26] но представитель Израиля позже отрицал, что это подразумевалось. [29] Неназванные представители израильской службы безопасности предположили, что зараженные машины, обнаруженные в Израиле, могут означать, что вирус может быть прослежен до США или других западных стран. [30] США официально отрицают ответственность. [31]

В просочившемся документе АНБ упоминается, что борьба с обнаружением Ираном FLAME является АНБ и GCHQ . совместным мероприятием [32] снятие с израильской армии всей вины.

См. также [ править ]

Примечания [ править ]

  1. ^ «Пламя» — одна из строк в коде, общее название атак, скорее всего, с помощью эксплойтов. [1]
  2. ^ Имя «sKyWIper» образовано от букв «KWI», которые используются вредоносной программой как часть имени файла. [1]
  3. ^ MS10-061 и MS10-046.

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б с д и ж г час я дж к «sKyWIper: сложное вредоносное ПО для целенаправленных атак» (PDF) . Будапештский университет технологии и экономики . 28 мая 2012 г. Архивировано из оригинала (PDF) 28 мая 2012 г. . Проверено 29 мая 2012 г.
  2. ^ «Огнемет: сложная и скрытная угроза, нацеленная на Ближний Восток» . Симантек. Архивировано из оригинала 31 мая 2012 года . Проверено 30 мая 2012 г.
  3. Перейти обратно: Перейти обратно: а б с д Ли, Дэйв (28 мая 2012 г.). «Пламя: обнаружена масштабная кибератака, говорят исследователи» . Новости Би-би-си . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
  4. ^ МакЭлрой, Дэмиен; Уильямс, Кристофер (28 мая 2012 г.). «Пламя: раскрыт самый сложный в мире компьютерный вирус» . «Дейли телеграф» . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
  5. Перейти обратно: Перейти обратно: а б с «Идентификация новой целевой кибератаки» . Иранская группа реагирования на компьютерные чрезвычайные ситуации. 28 мая 2012 года. Архивировано из оригинала 29 мая 2012 года . Проверено 29 мая 2012 г.
  6. Перейти обратно: Перейти обратно: а б с д и ж г час я дж к л Гостев, Александр (28 мая 2012 г.). «Пламя: вопросы и ответы» . Список безопасности . Архивировано из оригинала 30 мая 2012 года . Проверено 16 марта 2021 г.
  7. Перейти обратно: Перейти обратно: а б с д и ж г час я дж к Зеттер, Ким (28 мая 2012 г.). «Знакомьтесь: Flame, огромная шпионская вредоносная программа, проникающая в иранские компьютеры» . Проводной . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
  8. Перейти обратно: Перейти обратно: а б с Ли, Дэйв (4 июня 2012 г.). «Flame: Злоумышленники «хотели конфиденциальные данные по Ирану» » . Новости Би-би-си . Архивировано из оригинала 4 июня 2012 года . Проверено 4 июня 2012 г.
  9. ^ Мерфи, Саманта (5 июня 2012 г.). «Знакомьтесь с Flame, самой опасной компьютерной вредоносной программой» . Mashable.com. Архивировано из оригинала 8 июня 2012 года . Проверено 8 июня 2012 года .
  10. Перейти обратно: Перейти обратно: а б «Производители вредоносных программ Flame отправляют «самоубийственный» код» . Новости Би-би-си . 8 июня 2012 года. Архивировано из оригинала 24 августа 2012 года . Проверено 8 июня 2012 года .
  11. ^ Глобальная группа исследований и анализа «Лаборатории Касперского». «Уравнение: Звезда Смерти галактики вредоносных программ» . SecureList . Архивировано из оригинала 17 февраля 2015 года . Костин Райу (директор глобальной исследовательской и аналитической группы «Лаборатории Касперского»): «Мне кажется, у Equation Group самые крутые игрушки. Время от времени они делятся ими с группой Stuxnet и группа Flame, но изначально они доступны только для Equation Group. Люди из Equation Group определенно являются мастерами, и они дают остальным, может быть, хлебные крошки. Время от времени они дают им какие-то вкусности для интеграции в Stuxnet и. Пламя."
  12. ^ Манро, Кейт (1 октября 2012 г.). «Деконструкция пламени: ограничения традиционной защиты». Компьютерное мошенничество и безопасность . 2012 (10): 8–11. дои : 10.1016/S1361-3723(12)70102-1 . ISSN   1361-3723 .
  13. ^ Зеттер, Ким (9 апреля 2019 г.). «Исследователи обнаружили новую версию печально известной вредоносной программы Flame» . Вайс.com . Вице Медиа . Проверено 6 августа 2020 г.
  14. ^ Хроника безопасности (12 апреля 2019 г.). «Кто такая СПЛЕТНИЦА?» . Середина . Архивировано из оригинала 22 июля 2020 года . Проверено 15 июля 2020 г.
  15. ^ Герреро-Сааде, Хуан Андрес; Катлер, Сайлас (9 апреля 2019 г.). Пламя 2.0: Восставшее из пепла (PDF) (Отчет). Хроника безопасности . Архивировано (PDF) из оригинала 1 июня 2023 года . Проверено 17 мая 2024 г.
  16. ^ Хопкинс, Ник (28 мая 2012 г.). «Компьютерный червь, поразивший нефтяные терминалы Ирана, «на данный момент является самым сложным» » . Хранитель . Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
  17. ^ Эрдбринк, Томас (23 апреля 2012 г.). «Столкнувшись с кибератакой, иранские чиновники отключили некоторые нефтяные терминалы от Интернета» . Нью-Йорк Таймс . Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
  18. Перейти обратно: Перейти обратно: а б Киндлунд, Дариен (30 мая 2012 г.). «Вредоносное ПО Flamer/sKyWIper: анализ» . Огненный Глаз . Архивировано из оригинала 2 июня 2012 года . Проверено 31 мая 2012 г.
  19. Перейти обратно: Перейти обратно: а б «Microsoft выпускает рекомендации по безопасности 2718704» . Майкрософт . 3 июня 2012 года. Архивировано из оригинала 7 июня 2012 года . Проверено 4 июня 2012 г.
  20. ^ Сотиров, Александр; Стивенс, Марк; Аппельбаум, Джейкоб; Ленстра, Арьен; Мольнар, Дэвид; Освик, Даг Арне; де Вегер, Бенне (30 декабря 2008 г.). MD5 сегодня считается вредным: создание поддельного сертификата ЦС . 25-й ежегодный конгресс по коммуникациям хаоса в Берлине. Архивировано из оригинала 25 марта 2017 года . Проверено 4 июня 2011 г.
  21. ^ Стивенс, Марк (7 июня 2012 г.). «Криптоаналитик CWI обнаруживает новый вариант криптографической атаки во вредоносном ПО Flame Spy» . Центр Вискунде и информатики. Архивировано из оригинала 28 февраля 2017 года . Проверено 9 июня 2012 года .
  22. ^ Коэн, Реувен (28 мая 2012 г.). «Новая массированная кибератака: «Промышленный пылесос для конфиденциальной информации» » . Форбс . Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
  23. ^ Альбанесиус, Хлоя (28 мая 2012 г.). «Массовая вредоносная программа Flame, крадущая данные по всему Ближнему Востоку» . Журнал ПК . Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 г.
  24. ^ «Вирус пламени: пять фактов, которые следует знать» . Таймс оф Индия . Рейтер. 29 мая 2012 г. Архивировано из оригинала 26 мая 2024 г. . Проверено 30 мая 2012 г.
  25. ^ Накашима, Эллен (19 июня 2012 г.). «США и Израиль разработали компьютерный вирус Flame, чтобы замедлить ядерные усилия Ирана, - говорят официальные лица» . Вашингтон Пост . Архивировано из оригинала 18 июля 2012 года . Проверено 20 июня 2012 г.
  26. Перейти обратно: Перейти обратно: а б с д «Вирус Flame: кто стоит за самым сложным в мире шпионским программным обеспечением?» . «Дейли телеграф» . 29 мая 2012 года. Архивировано из оригинала 31 мая 2012 года . Проверено 29 мая 2012 г.
  27. ^ «Ресурс 207: Исследования Лаборатории Касперского доказывают, что разработчики Stuxnet и Flame связаны» . Лаборатория Касперского. 11 июня 2012 года. Архивировано из оригинала 16 ноября 2021 года . Проверено 13 июня 2012 г.
  28. ^ Эрдбринк, Томас (29 мая 2012 г.). «Иран подтверждает атаку вируса, собирающего информацию» . Нью-Йорк Таймс . Архивировано из оригинала 6 июня 2012 года . Проверено 30 мая 2012 г.
  29. ^ Цукаяма, Хейли (31 мая 2012 г.). «Кибероружие Flame, написанное с использованием игрового кода, говорится в отчете» . Вашингтон Пост . Архивировано из оригинала 2 июня 2012 года . Проверено 31 мая 2012 г.
  30. ^ Дарейни, Али Акбар; Мерфи, Дэн; Саттер, Рафаэль; Федерман, Йозеф (30 мая 2012 г.). «Иран: Борьба с вирусом «Пламя» началась с нефтяной атаки» . Yahoo! Новости . Ассошиэйтед Пресс.
  31. ^ «Пламя: Израиль отвергает связь с кибератакой вредоносного ПО» . Новости Би-би-си . 31 мая 2012 года. Архивировано из оригинала 5 июня 2014 года . Проверено 3 июня 2012 г.
  32. ^ «Посетите краткую информацию: сэр Иэн Лоббан, KCMG, CB; директор штаб-квартиры правительственных коммуникаций (GCHQ) 30 апреля 2013 г. - 1 мая 2013 г.» (PDF) . Архивировано (PDF) из оригинала 2 мая 2014 года . Проверено 1 мая 2014 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Flame_(malware)&oldid=1226618520"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: d09fa9681da789b4aadf9bacbaef109d__1717175700
URL1:https://arc.ask3.ru/arc/aa/d0/9d/d09fa9681da789b4aadf9bacbaef109d.html
Заголовок, (Title) документа по адресу, URL1:
Flame (malware) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)