Для затравки. Флейм в интернете.

Троян Flame. Кусок головоломки в кибервойне между правительствами?

программы-шпионы  обратили внимание на использование поддельных сертификатов Microsoft. Это происходило с помощью функции обновления операционной системы.

Процесс обновления был таким же и для последних версий ОС, Flame мог заразить не только конкретную операционную систему, но и все версии. Обновление было незаметным, например, как установка дополнительных гаджетов для рабочего стола. Вряд ли закрытие уязвимости поможет прекратить распространение Flame, так как он использует много различных путей своего распространения. Касаемо подделки цифровых подписей, то такой метод используется с начала 2010-2011 годов.

Цель атаки Flame — Ближний Восток

Расследования только начались, поэтому мало что известно до сих пор. Известно уже то, что программа может читать данные и пароли, подслушивать разговоры с помощью микрофонов и обнаруживать устройства по Bluetooth.

Интересен тот факт, что Flame был обнаружен в нескольких сотен компьютеров в компаниях и государственных организациях в Иране и Сирии. Это может быть обоснованно подозрением того, что программа была разработана по заданию правительства. Последня информация показала, что файлы, отправляемые с зараженных ПК, это файлы PDF, офисные файлы и чертежи.

Flame может быть частью кибер арсенала США

Израиль ошибочно обвиняют в том, что они ответственны за троян, но в последнее время, появляются и другие факты. В 2010 году червь Stuxnet также привлек своим вниманием, так как атаковал системы компании Siemens. Это было его первой целью.

До конца сентября 2010 большинство случаев заражения системы наблюдалось в Иране.

Были и не запланированные нарушения в работе иранской ядерной программы, что может говорить о том, что Stuxnet должен был атаковать системы управления завода по обогащению урана в Натанзе.

Создатель Stuxnet также неизвестен. David E. Sanger, корреспондент из Washington New York Times недавно опубликовал книгу, утверждая, что с помощью Stuxnet был наказан сам Барак Обама. По словам Sanger, президент США продолжал программу "Олимпийские игры", которую начал Дж. Буш, также, как и одну из кибер атак на Иран.

Эксперты по безопасности заметили сходство между двумя модулями, которые используются не только в Stuxnet, но и в Flame. Поэтому, обнаруженный модуль может намекнуть и на США, будучи ответственными за все это.

Вредоносное ПО с механизмом самоуничтожения

Если взглянуть на функции и тех. возможности Flame, то цель будет ясна, что у ПО не стоит основной задачей заразить как можно больше ПК. Структура вредоносного ПО такова, что, файл должен быть мал по размеру, и по-возможности, оставаться не обнаруженным. Структура Flame является модульной, и большинство обнаруженных файлов были по 20-25 MB. Это удивительно большой размер для вредоносного ПО. Чем больше кодов и функций, тем больше вероятности того, что эвристика или анализ поведения антивируса сможет обнаружить файл.

Касаемо самоуничтожения, можно сказать следующее. Программа могла самоудалиться, словно, ее и не было. После того, как новости о Flame распространились по всему СМИ, с серверов Flame были посланы команды на удаление из зараженных ПК. Не оставлять никаких следов и каких-либо доказательств в системе.