Из Википедии, бесплатной энциклопедии
  (Перенаправлено из вредоносного ПО Flame )
Перейти к навигации Перейти к поиску
Не путать с Stoned (компьютерный вирус) § Flame / Stamford или Flaming (Интернет) .

Flame , [a] также известный как Flamer , sKyWIper , [b] и Skywiper , [2] - это модульная компьютерная вредоносная программа, обнаруженная в 2012 году [3] [4], которая атакует компьютеры под управлением операционной системы Microsoft Windows . [5] Программа используется для целевого кибершпионажа в странах Ближнего Востока . [1] [5] [6]

Его открытие было объявлено 28 мая 2012 года Махер Центра Иранской национальной Emergency Team Computer Response (CERT), [5] Лаборатория Касперского [6] и CrySyS Lab из Будапештского университета технологии и экономики . [1] Последний из них заявил в своем отчете, что Flame «определенно является самым сложным вредоносным ПО, с которым мы сталкивались во время нашей практики; возможно, это самое сложное вредоносное ПО из когда-либо обнаруженных». [1] Пламя может распространиться на другие системы по локальной сети (LAN). Он может записывать аудио, снимки экрана , активность клавиатуры и сетевой трафик . [6]Программа также записывает разговоры по Skype и может превращать зараженные компьютеры в маяки Bluetooth, которые пытаются загрузить контактную информацию с близлежащих устройств с поддержкой Bluetooth. [7] Эти данные вместе с локально сохраненными документами отправляются на один из нескольких командно-управляющих серверов, разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов. [6]

По оценкам «Лаборатории Касперского» на май 2012 года, Flame первоначально заразил около 1000 компьютеров [7], жертвами которых были правительственные организации, образовательные учреждения и частные лица. [6] В то время 65% заражений произошло в Иране, Израиле, Палестине, Судане, Сирии, Ливане, Саудовской Аравии и Египте, [3] [6] с «огромным большинством целей» внутри Ирана. [8] О пламени также сообщалось в Европе и Северной Америке. [9] Flame поддерживает команду «kill», которая стирает все следы вредоносного ПО с компьютера. Первоначальные заражения Flame прекратили работу после его публичного раскрытия, и была отправлена ​​команда «убить». [10]

Flame связан с Equation Group Лабораторией Касперского. Однако Костин Райу, директор глобальной исследовательской и аналитической группы «Лаборатории Касперского», считает, что группа сотрудничает с создателями Flame и Stuxnet только с позиции превосходства: «Equation Group определенно являются хозяевами, и они, возможно, отдают остальным. , панировочные сухари. Время от времени они дают им какие-то вкусности для интеграции в Stuxnet и Flame ». [11]

В 2019 году исследователи Хуан Андрес Герреро-Сааде и Силас Катлер объявили о своем открытии возрождения Пламени. [12] [13] Злоумышленники использовали «временную метку», чтобы новые образцы выглядели так, как будто они были созданы до команды «suicide». Однако ошибка компиляции включала реальную дату компиляции (около 2014 г.). Новая версия (названная исследователями «Flame 2.0») включает новые механизмы шифрования и запутывания, чтобы скрыть ее функциональность. [14]

История [ править ]

Пламя (также известное как Da Flame) было идентифицировано в мае 2012 года Центром MAHER Иранского национального CERT, Лабораторией Касперского и CrySyS Lab (Лаборатория криптографии и системной безопасности) Будапештского технологического и экономического университета, когда Лаборатория Касперского обратилась к Международной Организации Объединенных Наций по запросу. Союз электросвязи расследует сообщения о вирусе, поражающем компьютеры министерства нефти Ирана . [7] В ходе расследования «Лаборатория Касперского» обнаружила хэш MD5 и имя файла, которые появлялись только на компьютерах клиентов из стран Ближнего Востока. Обнаружив другие части, исследователи назвали программу «Пламя» в честь одного из основных модулей внутри инструментария [FROG.DefaultAttacks.A-InstallFlame] .[7]

По словам Касперского, Flame работал в «дикой природе» по крайней мере с февраля 2010 года. [6] CrySyS Lab сообщила, что имя файла основного компонента было обнаружено еще в декабре 2007 года. [1] Однако дата его создания не могла быть указана. определяется напрямую, поскольку даты создания модулей вредоносной программы ошибочно установлены на 1994 год [7].

Компьютерные эксперты считают это причиной атаки в апреле 2012 года, в результате которой иранские власти отключили свои нефтяные терминалы от Интернета. [15] В то время Агентство новостей иранских студентов называло вредоносную программу, вызвавшую атаку, «Wiper» - имя, данное ему создателем вредоносного ПО. [16] Однако «Лаборатория Касперского» считает, что Flame может быть «отдельной инфекцией, полностью отдельной от вредоносного ПО Wiper». [7] Из-за размера и сложности программы, описываемой как «в двадцать раз» более сложной, чем Stuxnet, лаборатория заявила, что для полного анализа может потребоваться до десяти лет. [7]

28 мая иранский CERT объявил, что он разработал программу обнаружения и инструмент удаления для Flame и в течение нескольких недель распространял их среди «избранных организаций». [7] После разоблачения Flame в средствах массовой информации, Symantec сообщила 8 июня, что некоторые компьютеры управления и контроля Flame отправили на зараженные компьютеры команду «самоубийства», чтобы удалить все следы Flame. [10]

По оценкам «Лаборатории Касперского» в мае 2012 года, первоначально Flame заразил около 1000 машин [7], жертвами которых были правительственные организации, образовательные учреждения и частные лица. [6] В то время наиболее пострадавшими странами были Иран, Израиль, Палестинские территории, Судан, Сирия, Ливан, Саудовская Аравия и Египет. [3] [6]

Операция [ править ]

ИмяОписание
Список кодовых имен для различных семейств модулей в исходном коде Flame и их возможное назначение [1]
ПламяМодули, выполняющие атакующие функции
УвеличениеМодули сбора информации
КолбаТип модуля атаки
ДжиммиТип модуля атаки
жеватьМодули установки и распространения
ЗакускаМодули местного распространения
КорректировщикМодули сканирования
ТранспортМодули репликации
ЭйфорияМодули утечки файлов
Головная больПараметры или свойства атаки

Flame - нехарактерно большая программа для вредоносных программ размером 20  мегабайт . Он частично написан на языке сценариев Lua со связанным скомпилированным кодом C ++ и позволяет загружать другие модули атаки после первоначального заражения. [6] [17] Вредоносная программа использует пять различных методов шифрования и базу данных SQLite для хранения структурированной информации. [1] Метод, используемый для внедрения кода в различные процессы, является скрытым, поскольку модули вредоносных программ не отображаются в списке модулей, загруженных в процесс, а страницы памяти вредоносных программ защищены разрешениями READ, WRITE и EXECUTE.что делает их недоступными для приложений пользовательского режима. [1] Внутренний код имеет мало общего с другими вредоносными программами, но использует две из тех же уязвимостей безопасности, которые ранее использовались Stuxnet для заражения систем. [c] [1] Вредоносная программа определяет, какое антивирусное программное обеспечение установлено, а затем настраивает свое поведение (например, путем изменения используемых расширений файлов ), чтобы снизить вероятность обнаружения этим программным обеспечением. [1] Дополнительные показатели компромисса включают семафор и реестр деятельность, такие как установка поддельного аудио драйверакоторые вредоносное ПО использует для сохранения устойчивости к скомпрометированной системе. [17]

Flame не предназначен для автоматического отключения, но поддерживает функцию «уничтожения», которая позволяет ему удалять все следы своих файлов и операций из системы при получении модуля от ее контроллеров. [7]

Flame был подписан с помощью поддельного сертификата якобы от центра сертификации Microsoft Enforcement Licensing Intermediate PCA. [18] Авторы вредоносного ПО определили сертификат службы лицензирования Microsoft Terminal Server Licensing Service, который был случайно включен для подписи кода и в котором по-прежнему использовался слабый алгоритм хеширования MD5 , а затем создали поддельную копию сертификата, который они использовали для подписи некоторых компонентов вредоносного ПО. сделать так, чтобы они исходили от Microsoft. [18] Успешная коллизионная атака на сертификат была ранее продемонстрирована в 2008 г. [19]но Flame реализовал новую вариацию атаки с выбранным префиксом. [20]

ИмуществоЗначение
Взломанный сертификат Microsoft с использованием слабого алгоритма MD5 и непреднамеренное использование подписи кода
ВерсияV3
Серийный номер3a ab 11 de e5 2f 1b 19 d0 56
Алгоритм подписиmd5RSA
Алгоритм хеширования подписимкр5
ЭмитентCN = Microsoft Root Authority, OU = Microsoft Corporation, OU = Copyright (c) 1997 Microsoft Corp.
Действует сЧетверг, 10 декабря 2009 г. 11:55:35
Действителен доВоскресенье, 23 октября 2016 г. 18:00:00
ПредметCN = Microsoft Enforcement Licensing Intermediate PCA, OU = Copyright (c) 1999 Microsoft Corp., O = Microsoft Corporation, L = Redmond, S = Вашингтон, C = США
Открытый ключ30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01
Улучшение использования ключаПодпись кода (1.3.6.1.5.5.7.3.3)
Лицензии пакета ключей (1.3.6.1.4.1.311.10.6.1)
Проверка сервера лицензий (1.3.6.1.4.1.311.10.6.2)
Идентификатор органаИздатель сертификата: CN = Microsoft Root Authority, OU = Microsoft Corporation, OU = Copyright (c) 1997 Microsoft Corp. | Серийный номер сертификата = 00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40
Идентификатор ключа темы6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43
Ключевое использованиеЦифровая подпись
Сертификат Подпись
Автономная подпись
CRL Подпись CRL (86)
Основные ограниченияТип темы =
Ограничение длины пути CA = Нет
Алгоритм отпечатка пальцаsha1
Отпечаток пальца2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70

Развертывание [ править ]

Подобно ранее известному кибероружию Stuxnet и Duqu , оно используется целенаправленно и может обходить текущее программное обеспечение безопасности с помощью функций руткитов . После заражения системы Flame может распространяться на другие системы по локальной сети или через USB-накопитель. Он может записывать аудио, снимки экрана, активность клавиатуры и сетевой трафик . [6] Программа также записывает разговоры по Skype и может превращать зараженные компьютеры в маяки Bluetooth, которые пытаются загрузить контактную информацию с близлежащих устройств с поддержкой Bluetooth. [7]Эти данные вместе с локально хранящимися документами отправляются на один из нескольких командно-управляющих серверов, разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов. [6]

В отличие от Stuxnet, который был разработан для саботажа промышленного процесса, Flame, похоже, был написан исключительно для шпионажа . [21] Похоже, что он не нацелен на конкретную отрасль, а скорее представляет собой «полный набор инструментов атаки, разработанный для общих целей кибершпионажа». [22]

Используя метод, известный как синхолин , «Касперский» продемонстрировал, что «подавляющее большинство целей» находилось на территории Ирана, и злоумышленники, в частности, искали чертежи AutoCAD , PDF-файлы и текстовые файлы . [8] Эксперты по вычислительной технике заявили, что программа собирала технические диаграммы для разведывательных целей. [8]

Сеть из 80 серверов в Азии, Европе и Северной Америке использовалась для удаленного доступа к зараженным машинам. [23]

Происхождение [ править ]

19 июня 2012 года The Washington Post опубликовала статью, в которой утверждалось, что Flame был совместно разработан Агентством национальной безопасности США , ЦРУ и израильскими вооруженными силами по крайней мере за пять лет до этого. Сообщается, что этот проект является частью засекреченных усилий под кодовым названием Олимпийские игры , которые были предназначены для сбора разведывательной информации в рамках подготовки к кибер-саботажной кампании, направленной на замедление ядерных усилий Ирана. [24]

По словам главного эксперта по вредоносным программам «Лаборатории Касперского», «география целей, а также сложность угрозы не оставляют сомнений в том, что это национальное государство спонсировало исследование, в котором она была обнаружена». [3] Касперский изначально сказал, что вредоносная программа не похожа на Stuxnet, хотя, возможно, это был параллельный проект, заказанный теми же злоумышленниками. [25] После дальнейшего анализа кода Касперский позже сказал, что между Flame и Stuxnet существует тесная связь; ранняя версия Stuxnet содержала код для распространения через USB-накопители, который почти идентичен модулю Flame, использующему ту же уязвимость нулевого дня . [26]

Иранский CERT охарактеризовал шифрование вредоносной программы как имеющее «особую схему, которую вы видите только из Израиля». [27] Daily Telegraph сообщила, что из-за очевидных целей Flame, в том числе Ирана, Сирии и Западного берега, Израиль стал «главным подозреваемым для многих комментаторов». Другие комментаторы назвали возможными преступниками Китай и США. [25] Ричард Сильверстайн , обозреватель, критикующий политику Израиля, заявил, что он подтвердил «высокопоставленным израильским источником», что вредоносное ПО было создано израильскими компьютерными экспертами. [25] "Джерузалем пост" написала, что вице-премьер-министр Израиля Моше Яалонпохоже, намекнул на то, что его правительство несет ответственность [25], но представитель Израиля позже отрицал, что это подразумевалось. [28] Неназванные представители службы безопасности Израиля предположили, что зараженные машины, обнаруженные в Израиле, могут означать, что вирус может быть прослежен до США или других западных стран. [29] США официально отрицали ответственность. [30]

В просочившемся документе АНБ упоминается, что открытие Ирана ПЛАМЕНИ является совместным мероприятием АНБ и GCHQ . [31]

См. Также [ править ]

  • Киберэлектронная война
  • Стандарты кибербезопасности
  • Кибертерроризм
  • Операция High Roller

Заметки [ править ]

  1. ^ «Пламя» - одна из строк кода, общее название атак, скорее всего, эксплойтов [1]
  2. ^ Название «sKyWIper» образовано от букв «KWI», которые вредоносная программа использует как частичное имя файла [1]
  3. ^ MS10-061 и MS10-046

Ссылки [ править ]

  1. ^ a b c d e f g h i j k "sKyWIper: Комплексное вредоносное ПО для целевых атак" (PDF) . Будапештский технологический и экономический университет . 28 мая 2012 года Архивировано из оригинального (PDF) 30 мая 2012 года . Проверено 29 мая 2012 года .
  2. ^ «Flamer: очень изощренная и скрытая угроза нацелена на Ближний Восток» . Symantec. Архивировано 30 мая 2012 года . Проверено 30 мая 2012 года .
  3. ^ a b c d Ли, Дэйв (28 мая 2012 г.). «Пламя: обнаружена массовая кибератака, говорят исследователи» . BBC News . Архивировано 30 мая 2012 года . Проверено 29 мая 2012 года .
  4. ^ МакЭлрой, Дэмиен; Уильямс, Кристофер (28 мая 2012 г.). «Пламя: самый сложный компьютерный вирус, обнаруженный в мире» . Дейли телеграф . Архивировано 30 мая 2012 года . Проверено 29 мая 2012 года .
  5. ^ a b c «Идентификация новой целевой кибератаки» . Группа реагирования на компьютерные чрезвычайные ситуации в Иране. 28 мая 2012 года Архивировано из оригинала 30 мая 2012 года . Проверено 29 мая 2012 года .
  6. ^ a b c d e f g h i j k l Гостев, Александр (28 мая 2012 г.). «Пламя: вопросы и ответы» . Securelist . Архивировано из оригинального 30 мая 2012 года . Проверено 16 марта 2021 года .
  7. ^ Б с д е е г ч я J K Зеттер, Ким (28 мая 2012 года). «Встречайте« Flame », массовое шпионское вредоносное ПО, проникающее на иранские компьютеры» . Проводной . Архивировано 30 мая 2012 года . Проверено 29 мая 2012 года .
  8. ^ a b c Ли, Дэйв (4 июня 2012 г.). «Пламя: Нападающие„искали конфиденциальные данные Ирана » . BBC News . Проверено 4 июня 2012 года .
  9. Мерфи, Саманта (5 июня 2012 г.). «Познакомьтесь с Flame, самым противным компьютерным вредоносным ПО» . Mashable.com . Проверено 8 июня 2012 года .
  10. ^ a b «Создатели вредоносного ПО Flame отправляют« суицидный »код» . BBC News . 8 июня 2012 . Проверено 8 июня 2012 года .
  11. Equation: The Death Star of Malware Galaxy. Архивировано 17 февраля 2015 года на Wayback Machine , SecureList , Костин Райу (директор глобальной группы исследований и анализа «Лаборатории Касперского»): «Мне кажется, что Equation Group - одна из тех, у кого самые крутые игрушки. время от времени они делятся ими с группой Stuxnet и группой Flame, но изначально они доступны только людям Equation Group. Equation Group определенно являются хозяевами, и они, возможно, дают остальным хлебные крошки. Время от времени они дают им возможность интегрироваться в Stuxnet и Flame ».
  12. ^ Зеттер, Ким. «Исследователи раскрывают новую версию вредоносного ПО Infamous Flame» . www.vice.com . Дата обращения 6 августа 2020 .
  13. Хроника (12 апреля 2019 г.). "Кто такая GOSSIPGIRL?" . Средний . Дата обращения 15 июля 2020 .
  14. ^ Герреро-Сааде, Хуан Андрес; Катлер, Сайлас. «Пламя 2.0: Восставшее из пепла» . Цитировать журнал требует |journal=( помощь )
  15. Хопкинс, Ник (28 мая 2012 г.). «Компьютерный червь, поразивший иранские нефтяные терминалы, пока самый сложный » » . Хранитель . Архивировано 30 мая 2012 года . Проверено 29 мая 2012 года .
  16. ^ Erdbrink, Томас (23 апреля 2012). «Перед лицом кибератаки иранские официальные лица отключили некоторые нефтяные терминалы от Интернета» . Нью-Йорк Таймс . Архивировано 31 мая 2012 года . Проверено 29 мая 2012 года .
  17. ^ a b Киндлунд, Дариен (30 мая 2012 г.). «Вредоносное ПО Flamer / sKyWIper: Анализ» . FireEye . Архивировано 31 мая 2012 года . Проверено 31 мая 2012 года .
  18. ^ a b «Microsoft выпускает совет по безопасности 2718704» . Microsoft . 3 июня 2012 . Проверено 4 июня 2012 года .
  19. ^ Сотиров, Александр; Стивенс, Марк; Аппельбаум, Иаков; Ленстра, Арьен; Мольнар, Дэвид; Освик, Даг Арне; де Вегер, Бенн (30 декабря 2008 г.). «Сегодня MD5 считается вредным» . Проверено 4 июня 2011 года .
  20. Стивенс, Марк (7 июня 2012 г.). «CWI Cryptanalist обнаруживает новый вариант криптографической атаки в вредоносном ПО Flame Spy» . Centrum Wiskunde & Informatica. Архивировано из оригинального 28 февраля 2017 года . Проверено 9 июня 2012 года .
  21. Рианна Коэн, Реувен (28 мая 2012 г.). «Новая массовая кибератака и« Промышленный пылесос для конфиденциальной информации » » . Forbes . Архивировано 30 мая 2012 года . Проверено 29 мая 2012 года .
  22. ^ Albanesius, Хлоя (28 мая 2012). «Массовое« пламя »вредоносное ПО, ворующее данные на Ближнем Востоке» . Журнал ПК . Архивировано 30 мая 2012 года . Проверено 29 мая 2012 года .
  23. ^ «Вирус пламени: пять фактов, которые нужно знать» . Таймс оф Индия . Рейтер. 29 мая 2012 года. Архивировано 30 мая 2012 года . Проверено 30 мая 2012 года .
  24. ^ Накашима, Эллен (19 июня 2012). «США и Израиль разработали компьютерный вирус Flame, чтобы замедлить ядерные усилия Ирана, - заявляют официальные лица» . Вашингтон Пост . Проверено 20 июня 2012 года .
  25. ^ a b c d "Вирус пламени: кто стоит за самым сложным шпионским ПО в мире?" . Дейли телеграф . 29 мая 2012 года. Архивировано 30 мая 2012 года . Проверено 29 мая 2012 года .
  26. ^ «Ресурс 207: Исследования Лаборатории Касперского доказывают, что разработчики Stuxnet и Flame связаны» . Лаборатория Касперского. 11 июня 2012 г.
  27. ^ Erdbrink, Томас (29 мая 2012). «Иран подтверждает атаку вируса, собирающего информацию» . Нью-Йорк Таймс . Архивировано 30 мая 2012 года . Проверено 30 мая 2012 года .
  28. ^ Tsukayama, Хейли (31 мая 2012). «Кибероружие Flame написано с использованием кода игрока, - говорится в отчете» . Вашингтон Пост . Проверено 31 мая 2012 года .
  29. ^ «Иран: борьба с вирусом« Пламя »началась с нефтяной атаки» . Время . Ассошиэйтед Пресс. 31 мая 2012 года Архивировано из оригинала 3 июня 2012 года . Проверено 31 мая 2012 года .
  30. ^ «Пламя: Израиль отвергает ссылку на кибератаки вредоносных программ» . BBC News . 31 мая 2012 . Проверено 3 июня 2012 года .
  31. ^ «Посетите Précis: сэр Иэн Лоббан, KCMG, CB; директор, правительственный штаб по связям с общественностью (GCHQ) 30 апреля 2013 - 1 мая 2013» (PDF) .