Вирусы на службе у разведок

12
Вирусы на службе у разведокИнтернет переполнен сообщениями о том, что компьютерный вирус "Флейм", жервами которого стали многочисленные пользователи Сети, создан при участии американских и израильских спецслужб, пытавшихся таким образом проникнуть в систему управления ядерными объектами Ирана. О том, что это за вирус и почему информация о причастности США и Израиля появилась именно сейчас, в интервью "Росбалту" рассказал глава международного отдела аналитической организации HostExploit & CyberDefco, известный "охотник за хакерами" Джарт Армин.

— Что такого особенного в вирусе "Флейм"? Почему вокруг него такая шумиха?

— "Флейм" — это одна из наиболее интересных вредоносных программ, обнаруженных за последнее время в Сети. При этом, хотя его называют потенциально наиболее опасным на сегодняшний день вирусом, "Флейм" является примером комбинированной атаки, использующей несколько проникающих методологий. При этом каждая такая атака отличается от всех остальных, хотя у них могут быть общие компоненты.

Если же говорить о новых качествах "Флейма", то можно выделить следующие. Во-первых, "Флейм" обладает возможностью записывать аудио через микрофон. Сам факт записи, конечно, не нов, но это первый вирус, который помимо всего прочего также записывает аудио. Во-вторых, он может снимать скриншоты и может обмениваться информацией через Bluetooth с помощью приложения, известного под названием Beetlejuice. В-третьих, собранные данные посылаются в центр управления через скрытый SSL канал. К тому же есть данные о том, что "Флейм" продолжает эпопею с "карманными ботнетами", когда взломанные смартфоны используются в качестве ботов-зомби для анонимной передачи данных в другие персональные компьютерные устройства. В-четвертых, "Флейм" написан с помощью редкого языка Lua, что делает его более сложным и продвинутым, чем другие троянские вирусы. Кроме того, при его написании использовался большой набор инструментов, и большая часть кода является скрытой. В-пятых, этот вирус может копировать себя в локальной сети с помощью уязвимости в службе диспетчера очереди печати MS10-061. И, наконец, программа использует коллизию хэш-функции, которая позволяет создать действующий сертификат для регистрации в Windows, в том числе, в наиболее последних версиях программы, что позволяет в дальнейшем наносить удары без необходимости взламывать каждый раз программу.

— Каков масштаб урона, нанесенного "Флеймом"? Удалось ли тем, кто его запустил, собрать нужную им информацию?

— На начало лета 2012 года нам известно об атаках с помощью "Флейма" против следующих стран: Иран – 189 атак, Израиль – 88 атак, Судан – 32 атаки, Сирия – 30 атак, Ливан – 18 атак, Саудовская Аравия – 10 атак, Палестина – 10 атак, Египет – 5 атак. По сути, "Флейм" – это программа, собирающая разведданные. Однако анализ "Флейма" не позволяет выделить какую-то конкретную отрасль: атаки были нанесены как по отдельным людям, так и по государственным компаниям и университетам.

— Появились публикации, что вирусные программы "Флейм" и Stuxnet, использовавшиеся против Ирана, были созданы если не одной командой, то, как минимум, в результате сотрудничества. Насколько верно это заявление?

— Действительно, проделанный анализ приводит именно к таким выводам. Более того, "Флейм" был создан на несколько месяцев раньше Stuxnet. Часть кода Stuxnet, которая раньше была неизвестна — Resource 207 – позволила соединить две программы, по крайней мере, на первых этапах Stuxnet эти программы писались вместе. Но с 2009 года программы были разделены. Однако я хотел бы подчеркнуть, что речь может идти о сотрудничестве между двумя командами, над каждой программой работала отдельная группа людей. Кроме того, "Флейм" в двадцать раз объемней, чем Stuxnet.

— Насколько обоснованы заявления о том, что Stuxnet был создан США и Израилем для того, чтобы наносить кибер-атаки по Ирану, причем сделано это было якобы по прямому указу Барака Обамы? Используют ли современные государства такие средства в своей политике и насколько они эффективны?

— В каком-то смысле "Флейм" можно назвать очередной заурядной программой, которая была усилена новыми инструментами, о которых я говорил раньше – скриншоты, запись аудио, контролирование клавиатуры, и т.д. В целом, такого рода вредоносное компьютерное оборудование использовалось и раньше – например, немецкий вирус BKA, который годами использовался немецкими федеральными правоохранительными органами. В этой череде "правительственных" вирусов еще один под названием FinFisher. О нем мы узнали из документов, найденных в штаб-квартире Отделения расследований государственной безопасности Египта во время протестов в марте прошлого года. В них содержалась информация о вредоносных программах, которые были предложены правительству Мубарака для приобретения. Речь шла о продукте под названием FinFisher — программе, которая позволяет собирать данные. Программа была создана англо-немецкой компанией Gamma International UK Ltd. У компании, кстати, есть сайт, на котором подробно описано, какие именно услуги она предлагает. У программы FinFisher тоже есть свой сайт, где написано, что она может позволить получить доступ к интересуемым системам, перехватить зашифрованные данные и сообщения, а в сочетании с инфицируемыми программами, правительственные организации смогут удаленно заразить нужные им системы. Просто и понятно. И в случае с Finfisher, и в случаях с "Флеймом" и Stuxnet, эти программы были написаны фирмами, которые работают на правительства. А вся эта шумиха – это идеальная рекламная кампания продукта, который эти фирмы сделали.

В момент, когда Stuxnet был обнаружен, США отрицали какое-либо участие в создании и использовании программы. Сейчас, по прошествии времени, у американского правительства появились причины, чтобы косвенно признать свое участие: ведь иранскую ядерную программу удалось приостановить, а это большой козырь, который стоит того, чтобы сделать поворот на сто восемьдесят градусов. Однако надо понимать, что статьи в прессе ссылаются исключительно на анонимные источники. Кроме США на авторство этих программы теперь претендует и Израиль. Желающих признать авторство стало много потому, что это является для населения подтверждением того, что государственные разведслужбы не зря едят свой хлеб и исполняют свой долг теперь с помощью Stuxnet, "Флейма" и, возможно, других программ, о которых нам пока ничего не известно.
12 комментариев
Информация
Уважаемый читатель, чтобы оставлять комментарии к публикации, необходимо авторизоваться.
  1. Dmitriy69 Звание
    Dmitriy69
    +3
    2 июля 2012 10:51
    Это продукт явно не пацана-хакера, за ним ясно просматриваются большие деньги. Вся надежда на то что наши тоже не спят.
    1. Tirpitz
      Tirpitz
      0
      2 июля 2012 11:05
      Вот именно только надежда. Но на программистов богата родина, и если собрать их вместе и предложить работать на правительство, то может получиться достойный ответ иностранным спецслужбам. учитывая халатность при защите наших гражданских обьектов - это гигантское поле для диверсий.
  2. Каа Звание
    Каа
    +1
    2 июля 2012 11:00
    Уверен, что многие могут со мной не согласиться, но в первую очередь эти вирусы опасны для тех, кто увлекается "сетецентрическими войнами" - каждый комп, в ней участвующий - это же "питательная среда" для вирусов. Если провести аналогию с реальными( живыми вирусами и бактериями), почему в реале многие страны имеют биологическое оружие, но не применяют - из-за невозможности контролировать эпидемию. Так что по поводу "Stuxnet, "Флейма" и, возможно, других программ, о которых нам пока ничего не известно" можно вспомнить древних - " Бойтесь данайцев, дары приносящих!" Stuxnet, запущенный в Бушер, может перекочевать, например на БАК в Швейцарию. Генералам, играющим с "компьютерными мальчиками" не мешало бы просчитать долгосрочные последствия таких атак, а то "Предэйторы" и прочие птички могут не туда полететь.
    1. El13 Звание
      El13
      +1
      2 июля 2012 11:26
      Если вирусятина заточена лишь на сбор информации и своё распростарнение, то ничего страшного не произойдёт, а судя по кол-ву атак, приведённому в статье, вирус не имеет своей целью плодиться и размножаться неограниченно.
      1. Каа Звание
        Каа
        0
        2 июля 2012 11:43
        В живой природе есть понятие "мутация вируса". Можно предположить, что первоначальная программа может видоизмениться до неузнаваемости, и вот тогда о его "плодовитости" можно будет поспорить.
        1. El13 Звание
          El13
          +1
          2 июля 2012 12:19
          Угу, а мильярдь диких-диких обезьянок молотящих лапками по клавишам печатных машинок рано или поздно напишут "Ромео и Джульетта". Сами то верите в то что написали? Вирус был создан для сбора разведданых, а значит может быть модифицирован создателем на плодовитость и вредоносные действия, но это должно быть намеренное действие, а никак не "случайная мутация".
          1. Андрей_К Звание
            Андрей_К
            +2
            2 июля 2012 15:23
            Компьютерные вирусы не так мутируют.
            Другой хакер , анализируя код вируса, может вырезать и использовать понравившийся кусок (например алгоритм взлома сертификатов, чтоб маскироваться под легальный продукт).
            Т.е. у злоумышленников нет этих миллиардов денег, чтоб разработать собственный продукт, но модифицировать чужой им вполне по силам.
            1. El13 Звание
              El13
              0
              2 июля 2012 16:42
              согласен, +
  3. pribolt
    pribolt
    0
    2 июля 2012 12:03
    Я думаю в России тоже этим занимаются, с нашими програмистами было бы грех сидеть сложа руки.
  4. scrack
    scrack
    +3
    2 июля 2012 12:26
    Надо нам специально для американцев создать вирус "Кузькина мать" и взломать им систему канализации. Хлебнут они от души того, что творят по всему миру
    1. matex
      matex
      0
      2 июля 2012 14:33
      Стас за Ваш юмор Вам БОЛЬШОЙ плюс а ведь такая кузькина мать была бы кстати laughing
  5. KlimXXX
    KlimXXX
    0
    2 июля 2012 19:31
    ну если он сильно располодится нужно же это все переварить его хозяевам, как бы не подовились.
  6. Averias Звание
    Averias
    0
    2 июля 2012 21:27
    Очередная кибер пугалка или рассуждение ни о чем. Это описали лишь то что обнаружено и о чем можно рассказать. А сколько специфических программ используют не афишируя и которые ничем не обнаруживается - тайна под семью печатями, в любой развитой стране. Кибер войны ведутся уже довольно давно. Вот банальный пример - одно время в Штатах активно вводили банковские карты с чипом, взамен с магнитной полосой. А в один прекрасный день, бывший военный из отдела информационной безопасности, возьми и расскажи - что человека с чиповой картой в кармане можно отследить где угодно. Так как чип является своего рода маячком и мощности сигнала спутника хватает на то что бы чип работал как маяк. Скандал был дикий - замяли. А карты с чипами распространились по всему миру. Про мобильник вообще молчу - универсальное подслушивающие и следящее устройство. А как вам такое - снимание текста вводимого с клавиатуры компа, по дешифровке микроскопических перепадов напряжения в сети при нажатии на клавиши при вводе текста? Так что этот вирус, цветочки.
    Упс, совсем забыл про соц.сети - это же мечта спец.служб. Хотя проект соц.сетей это разработка английских военных давний. Именно для этих целей, сбор информации и прочее. А народец и рад, порой такое про себя выкладывают.