"Лаборатория Касперского" обнаружила миникибершпиона
"Лаборатория Касперского" объявила об обнаружении miniFlame
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya)
- небольшой и очень гибкой вредоносной программы, предназначенной
для кражи данных и управления зараженными системами в ходе точечных
атак, проводимых с целью кибершпионажа.
Программа miniFlame, известная также как SPE, была обнаружена экспертами
"Лаборатории Касперского" в июле 2012 года и первоначально
была идентифицирована как модуль вредоносной программы Flame. В сентябре
2012 года, после изучения серверов управления Flame, стало ясно, что
модуль miniFlame является интероперабельным и может применяться
одновременно и в качестве автономной вредоносной программы, и в качестве
плагина для вредоносных программ Flame
(https://www.securelist.com/ru/blog/207763998/Flame_chasto_zadavaemye_voprosy)
и Gauss (http://www.kaspersky.ru/news?id=207733820). Обнаружение
miniFlame был обнаружен в ходе детального анализа вредоносных программ
Flame и Gauss. В июле 2012 года эксперты "Лаборатории
Касперского" выявили дополнительный модуль Gauss под кодовым
названием "John" и обнаружили ссылки на аналогичный модуль в
конфигурационных файлах Flame. Последующий анализ серверов управления
Flame
(http://www.securelist.com/ru/blog/207764193/Polnyy_analiz_komandnykh_serverov_Flame),
осуществленный в сентябре 2012 года, позволил прийти к заключению, что
вновь обнаруженный модуль является в действительности отдельной
вредоносной программой, несмотря на то, что он может работать совместно
как с Gauss, так с Flame. На серверах управления Flame программа
miniFlame значилась под кодовым названием SPE.
"Лаборатория Касперского" обнаружила шесть различных
вариантов miniFlame, причем все датируются 2010-2011 годами. В то же
время, анализ miniFlame указывает на еще более раннюю дату начала
разработки - не позднее 2007 года. Возможность использования
miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает
на взаимодействие между группами разработчиков, ответственных за
создание этих вредоносных программ. Поскольку связь между Flame и
Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы
созданы на одной и той же "фабрике кибероружия". Функционал
Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss,
вероятно, что miniFlame устанавливался на компьютерах, уже зараженных
Flame или Gauss. Проникнув в систему, miniFlame выполняет функции
бэкдора, позволяя оператору вредоносной программы получить с зараженной
машины любой файл. В число дополнительных возможностей, связанных с
кражей данных, входит создание снимков экрана зараженного компьютера при
работе в отдельных программах и приложениях, таких как браузеры,
программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена
сообщениями и FTP-клиенты. miniFlame передает украденные данные,
соединившись со своим сервером управления (который может быть выделенным
или общим с Flame).
Кроме того, по запросу оператора сервера управления
miniFlame на зараженную систему может быть загружен дополнительный
модуль для кражи данных, заражающий USB-накопители и использующий их для
хранения данных, собранных на зараженных машинах, в отсутствие
интернет-соединения.
"miniFlame представляет собой инструмент для проведения
высокоточных атак. Вероятнее всего, это кибероружие с четко
обозначенными целями, применяемое в ходе того, что можно назвать второй
волной кибератаки, - комментирует главный антивирусный эксперт
"Лаборатории Касперского" Александр Гостев. - Вначале
используется Flame или Gauss для заражения как можно большего числа
жертв и сбора значительного объема информации. После этого собранные
данные анализируются, определяются и идентифицируются потенциально
интересные жертвы, и уже на их компьютерах устанавливается miniFlame для
осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame
дало нам дополнительные доказательства взаимодействия между создателями
наиболее примечательных вредоносных программ, применяемых в качестве
кибероружия: Stuxnet, Duqu, Flame и Gauss". Основные результаты
исследования
* miniFlame, известный также как SPE, основан на той же
архитектурной платформе, что и Flame. Он способен функционировать как
самостоятельная программа для осуществления кибершпионажа или в качестве
компонента, входящего в состав как Flame, так и Gauss.
* Этот
инструмент кибершпионажа выполняет функции бэкдора, обеспечивая
возможность кражи данных и непосредственного управления зараженными
системами.
* Судя по всему, разработка miniFlame началась еще в 2007
году и продолжалась до конца 2011 года. Скорее всего было создано
большое число модификаций программы. На сегодняшний день
"Лаборатории Касперского" удалось выявить шесть вариантов,
принадлежащих двум основным поколениям: 4.x and 5.x.
* В отличие от
Flame и Gauss, на счету которых большое число заражений, количество
систем, зараженных miniFlame, значительно меньше. Исходя из имеющихся у
"Лаборатории Касперского" данных, число заражений находится
в диапазоне от 10 до 20 машин; при этом общее число зараженных miniFlame
компьютеров по всему миру оценивается в 50-60 машин.
* Малое число
компьютеров, зараженных miniFlame, в сочетании с функционалом кражи
данных и гибкими возможностями применения свидетельствует о том, что
вредоносная программа использовалась лишь для узкоцелевых операций,
связанных с кибершпионажем и, вероятно, развертывалась на машинах, уже
зараженных Flame или Gauss.
Дополнительную информацию о miniFlame можно найти на сайте:
www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya
(http://www.securelist.com/ru/blog/207764257/miniFlame_on_zhe_SPE_Elvis_i_ego_druzya).
Комментарии