В конце мая руководство Ирана обвинила Израиль в причинении значительного ущерба безопасности Ирана и повреждении большого количества секретных данных посредством запуска новейшего компьютерного вируса Flame, который был выявлен недавно с помощью российских специалистов. По оценкам экспертов, Flame находится в компьютерных системах Ближнего Востока по меньшей мере 5 лет и является частью организованного кибершпионажа.

Исследователи установили, что код Flame слишком сложен, чтобы предполагать, что ее создателями является группа активистов-одиночек. Кроме того, масштабная кибератака была проведена, по-видимому, при правительственной финансовой поддержке, так как ее целью стали не банковские счета, за которыми обычно охотятся хакеры-преступники. Пока не установлено страна-разработчик шпионской  программы, хотя косвенные факты указывают на США и Израиль.

Свидетельства указывают на то, что этот вирус мог быть спроектирован тем же государством или государствами, которые запустили и вирус Stuxnet, ранее поразивший компьютерные ядерные системы Ирана. Иран уже обвинил США и Израиль в запуске Stuxnet. Некоторые эксперты верят в то, что это был совместный проект двух государств, который начался в 2004 году и был направлен на предотвращение создания ядерного оружия в Иране.

Израиль опроверг предположения о том, что он стоит за изощренной кибератакой Flame на компьютеры пользователей Ближнего Востока.

Вице-премьер Моше Яалон, который также является министром стратегического планирования Израиля, говорил о кибератаках в интервью израильской военной радиостанции Army Radio. «Есть несколько государств на Западе, которые считают иранскую ядерную программу серьезной угрозой, и которые в то же время технологически способны на создание подобного вируса», — сказал вице-премьер.

По другим предположениям, за кибератаками стоят США. Анонимный источник сообщил телекомпании Эн-би-си, что ответственность за атаки несут американцы, однако у него нет информации из первых рук. Вашингтон также заявил о непричастности США к кибератакам на Ближнем Востоке. Однако, как следует из недавней статьи в газете New York Times, атаку Stuxnet санкционировал лично президент США Барак Обама.

Между вирусами Stuxnet и Flame существует разительное сходство. Их география весьма сходна и даже если за ними стоят разные хакеры, их интересы в целом совпадают.

В ООН вирус Flame охарактеризовали как мощное средство, используемое в целях шпионажа. Организация также объявила о наличии очень серьезной угрозы кибербезопасности. При этом некоторые специалисты утверждают, что опасность сильно преувеличена.

«Это самое серьезное [кибернетическое] предупреждение, которое мы когда-либо издавали», – заявил в Женеве Марко Обисо, координатор по вопросам компьютерной безопасности Международного союза электросвязи.

В конфиденциальном сообщении государствам – членам ООН будет говориться, что новый вирус является опасным шпионским орудием, которое потенциально может быть использовано для атак на ключевые объекты инфраструктуры, рассказал он во вторник в интервью агентству «Рейтер».

«Они должны быть начеку», — сказал Марко Обисо, добавив, что Flame, по его мнению, был создан в одной из стран – членов ООН. МСЭ намерена создать специальную программу по сбору данных, в том числе образцов вирусов, для отслеживания распространения Flame по всему миру и наблюдения за любыми изменениями в его составе.

Вирус Flame, в переводе с английского — «пламя», был разработан для ведения кибершпионажа с использованием информации, украденной с зараженных машин. Flame не наносит ущерба данным на компьютерах. Он проводит комплексный набор операций, включающий:

— считывание сетевого трафика,

— снятие скриншотов для похищения информации, выводимой на монитор,

— запись аудиобесед,

— перехват ввода с клавиатуры,

— похищение важных данных о системах-объектах атак, файлов, хранящихся в компьютерах, контактных данных пользователей и даже аудиозаписей разговоров,

— поиск через систему Bluetooth подключенных к компьютеру приборов и так далее.

В сети он распространяется только по команде своего оператора в интернете, который при необходимости может его отключить.

Предполагается, что вирус работает с августа 2010 года. Вторгаясь в компьютер он, для начала, изучает установленную на нем антивирусную защиту и воздерживается от операций, которые могли бы его выдать.

Работу этой вредоносной программы очень сложно остановить. Очень сложно разом закрыть более восьмидесяти командных файлов и управлений серверами. Некоторые из них могут не работать. Но эта пауза может быть сделана для того, чтобы выиграть время и изменить план игры, если такая необходимость возникнет. Так происходило и в прошлом: после некоторого периода отсутствия активности программа перезагружалась и снова начинала работать.

Честь открытия вируса принадлежит знаменитой российской компании «Лаборатория Касперского», занимающейся разработкой программного обеспечения для компьютерной безопасности. Вирус был обнаружен после того, как представители МСЭ (Международный союз электросвязи) обратились к ним с просьбой расследовать недавние сообщения из Тегерана о том, что таинственный вирус вызвал огромные потери данных на некоторых иранских компьютерных системах.

Правда, сам похищающий информацию вирус команде «Касперского» до сих пор обнаружить не удалось, поскольку иранское правительство не предоставило компании образец вредоносной программы, сообщает «Аль-Джазира».

Вместо вредоносной программы, стирающей информацию с компьютеров был обнаружен интересный и подозрительный файл, который изначально вообще не походил на вредоносную программу. Файл оказался частью нового самого сложного вируса, представлявшего собой новый уровень ведения кибершпионажа.

Код этого вируса оказался намного длиннее кода вируса Stuxnet, который нанес вред иранским ядерным реакторам в 2009 и 2010 годах.

Все попытки найти в интернете следы компьютера-оператора пока не привели к успеху. Пожелавшие остаться анонимными авторы не пожалели сил, чтобы их замести. Нити ведут к десяткам серверов, расположенных в разных странах мира, а потому и установить хотя бы географическое происхождение, не говоря уже о том, чтобы вычислить конкретного производителя вируса пока не представляется возможным.

Для вируса размер файла просто огромен – 20 мегабайт, а язык программирования, на котором написан вирус, – LUA – ранее использовался только в играх и позволяет добавлять информацию в код.

Это доказывает, что этот вирус — чей-то долговременный проект или предполагалось, что он таковым станет. Вирус настолько универсален и гибок, в плане его наращивания и развития, что можно предположить, что его разработка стоила довольно дорого. Специалисты «Лаборатории Касперского» считают, что на написание и усовершенствование кода этого вируса ушло около года, примерно столько же времени отнимет его анализ и понимание того, как с ним бороться.

Вирус, похоже, изначально предназначался для небольшого количества организаций и частных лиц в Иране, на Западном берегу реки Иордан, в Ливане и в Объединенных Арабских Эмиратах.

В Иране вирус поразил министерство нефти, а также нефтяные терминалы. Это вынудило иранское руководство сформировать «кризисный комитет», который распорядился отключить от Интернета шесть главных нефтяных терминалов, в том числе крупнейший, расположенный на острове Харг, который отвечает за 90% экспорта иранской нефти.

По данным одного из иранских информационных агентств, вирус уничтожил информацию на жестких дисках компьютеров штаб-квартиры министерства нефти Ирана. И хотя его представители утверждают, что распространение червя было остановлено и основной объем информации не пострадал, есть основания полагать, что вирус проник в компьютерную сеть министерства много месяцев назад и выполнил главную задачу по сбору и отправке информации. Атака на компьютеры министерства нефти произошла в конце апреля.

Ранее в нынешнем году глава иранской гражданской обороны заявлял, что за последние два года энергетический сектор страны все чаще становился объектом кибератак.

Иранские вооруженные силы создали специальное подразделение, в задачу которого входит защита от компьютерных атак. Подразделение работает в тесном контакте с другими военными организациями, а также телекоммуникационными фирмами и разведкой.

Исследователи из «Лаборатории Касперского» пришли к выводу, что создатели вируса Flame в первую очередь охотились за секретными иранскими чертежами.

Выяснилось также, что хакеры тщательно маскировались, создав поддельные удостоверения личности, адреса и даже реквизиты своих банковских счетов.

В общей сложности было зарегистрировано более 80 доменных имен, которые использовались для создания целой сети по рассылке вируса, которая прекратила свою работу лишь несколько дней назад.

По мнению исследователей, информация собиралась с помощью вируса в течение нескольких лет.

«Лаборатории Касперского» удалось собрать данные о распространении вируса, применив так называемый метод синкхолинга, суть которого заключается в перенаправлении командного трафика троянов на собственный сервер аналитиков.

Исследователи пришли к выводу, что главным объектом нападения служил Иран, а также Израиль и территория Палестинской автономии.

В первую очередь хакеров интересовала программа AutoCad — популярный инструмент инженеров и архитекторов, сообщает BBC.

«Хакеров интересовали чертежи механического и электрического оборудования, — рассказывает специалист по компьютерам университета Суррея профессор Алан Вудвард. — Они либо хотели выяснить, насколько далеко продвинулся тот или иной проект, либо намеревались воровать чертежи с целью перепродажи на черном рынке».

Случаи заражения вирусом были зарегистрированы также в США, Великобритании и ряде европейских стран. Однако, данные страны не были главной целью хакеров.

Результаты предварительного анализа указывают сразу на несколько возможных центров управления сетью. Центры управления вирусом Flame и сбора информации регулярно меняли дислокацию, передвигаясь из Гонконга в Турцию, Германию, Польшу, Малайзию, Латвию, Швейцарию и Великобританию.

По оценкам экспертов, Flame находится в компьютерных системах Ближнего Востока по меньшей мере 5 лет и является частью организованного кибершпионажа.

Мишенями вируса стали порядка 600 целей, включая индивидуальных предпринимателей, научные учреждения и правительственные системы, в том числе 189 компьютерных систем Ирана, 100 компьютеров на Западном Берегу и 30 в Сирии. Национальная команда по борьбе с компьютерными атаками Ирана уже опубликовала сообщение о том, что авторы Flame несут ответственность за «недавние случаи массовой утечки данных», произошедшие за последние месяцы.

Похоже, что вирус также распространился в Венгрии, России, Австрии и Гонконге, хотя не исключено, что в эти страны он проник случайно. Не сегодняшний день зараженные Flame компьютеры обнаружены экспертами «Лаборатории Касперского» в Иране (189 ПК), Израиле/Палестине (98), Судане (32), Сирии (30), Ливане (18), Саудовской Аравии (10), Египте (5).

По сложности и функционалу Flame превосходит все ранее известные виды киберугроз. Новая вредоносная программа стала еще более сложной. Так, например, размер ее исполняемого кода почти в 20 раз превосходит размер печально известного червя Stuxnet и содержит в 100 раз больше фрагментов, идентифицирующих его как вирус, предназначенный для кражи данных. Как известно, вирус Stuxnet был предназначен для серьезного удара по ядерной программе Ирана.

Целенаправленная сдержанность при использовании Flame свидетельствует о наличии хорошо продуманного плана его реализации.

Вирус Flame называют самым мощным вирусом, известным на сегодня. Он написан на языке программирования LUA, на котором написана и игра Angry Birds.

Эксперты в области программирования говорят о сложности структуры вируса Flame, содержащего 250 тысяч строк кода, и написанного на LUA — популярном языке программирования, используемом разработчиками из-за его простоты.

«Люди, написавшие вредоносный код нашли остроумный способ — при его написании они не использовали неотъемлемую часть арсенала любого хакера, что затрудняет обнаружение вируса», — сказал Седрик Лейтон бывший офицер разведки ВВС США.

Flame способен собирать файлы данных, удаленно менять параметры компьютера, самостоятельно включать микрофон и записывать разговоры пользователей, делать скриншоты, включать Bluetooth, мгновенно подключаться к чатам, считывать обмен сообщениями в чатах и многое другое.

Flame может стать третьим самым опасным вирусом, обнаруженным после появления вируса Stuxnet, нанесшего ущерб иранской ядерной программе в 2010 году, и его «двоюродного брата» — вируса Duqu, названного в честь злодея из «Звездных Войн».

Иранские власти обвинили США и Израиль в создании Stuxnet, атаковавшего, среди прочих объектов, завод по обогащению урана в Натанце. По данным газеты The New York Times, совместную программу по компьютерному противодействию иранским попыткам создать атомную бомбу Соединенные Штаты и Израиль начали в 2004 году. Официально Пентагон, Госдепартамент, ЦРУ и другие американские органы власти эту информацию не комментируют.

К созданию программы Flame могут быть причастны не отдельные группировки хакеров, а какая-то страна или даже несколько стран. Возможно, речь идет о тех же государствах, которые стоят за разработкой Stuxnet. Flame так же, как Stuxnet и похожая на него программа для кражи данных Duqu, использует бреши в операционной системе Windows. Кроме того, Flame и Stuxnet роднит способ распространения в компьютерных сетях.

География атак, использование специфичных уязвимостей в ПО, а также то, что целью атак становятся только определенные компьютеры, указывают на то, что Flame относится к категории сложного кибероружия.

Венгерские эксперты, первыми обнаружившие вирус Duqu, не исключают: Flame заразил компьютеры пять или даже, может быть, восемь лет назад. «Это очень большая и сложная программа, поэтому я предполагаю, что мы имеем дело с первым поколением программ, нацеленных на сбор информации», — согласен с венгерскими коллегами Неил Фишер, вице-президент международной компании Unisys.

По предварительным результатам, Flame используется с марта 2010 года. Однако из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Сотрудники «Лаборатории Касперского» и венгерской Лаборатории криптографии и системной безопасности изучали Flame на протяжении нескольких недель. Признаков того, что вирус может вызывать инфраструктурные повреждения или уничтожать информацию на захваченных компьютерах, пока не выявлено. Однако, на то, чтобы найти ключевые ответы, связанные с программой Stuxnet, потребовались месяцы работы. «В этой истории больше всего меня пугает то, что вирус был написан пять лет назад. Если его создатели могли делать что-то подобное тогда, то страшно представить, на что они способны сейчас», — цитирует Reuters одного из британских экспертов по кибербезопасности.

Вирус Flame способен вывести из строя Boeing 787

Согласно исследованиям ученых из Кэмбриджа Сергея Скоробогатова и Криса Вудса, пассажирские и военные лайнеры оборудованы чипом со встроенной функцией контроля полета, который элементарно взломать с помощью опаснейшего вируса Flame.

Таким образом, любой получивший доступ к компьютерному микрочипу через Интернет, способен управлять движением самолета и запросто вывести машину из строя.

Эксперты описали метод возможного вторжения в систему пилотирования, который используют хакеры для подключения к внутренней микросхеме самолета.

Программу-проводник для установки контакта с лайнерами разработал американский производитель Actel.

— Злоумышленники отключают все системы безопасности через чип, перепрограммируют криптографические ключи и повреждают устройство, получив полный доступ к управлению воздушным судном, — заявляют специалисты.

Крис Вудс сообщил, что они с Сергеем Скоробогатовым предоставили государственным учреждениям поэтапную схему взлома и захвата самолетов, однако те их предупреждения проигнорировали.

— Реальная угроза заключается в недостаточно сильном уровне безопасности, который может быть взломан через дополнительный вход, сделанный в чипе производителем, — добавил ученый.

Не исключено, что над системой взлома изрядно поработала компания Actel — всемирно известный производитель чипа ProASIC3, используемого в медицинских, автомобльных, коммуникационнных и военных направлениях.

Вудс добавил, что «конструирование дополнительного входа на чипах делается для обеспечения дополнительной функциональности. Но одновременно с этим является проводником в ядро управления чипом».

Не исключено, что этот вход для контроля за запасными выходами на кремниевом чипе разработали в Actel. По крайней мере их разработчики программного обеспечения с легкостью могут это сделать.

— Это подрывает уровень безопасности и делает его уязвимым перед различными кибератаками, особенно этого смертоносного вируса Flame. В Actel утверждают, что их девайсы оснащены передовыми системами безопасности, оттого что физического доступа для конфигурации и чтения информации с чипа не существует. Однако они оборудовали этот дополнительный вход специальным ключом, с помощью которого можно получить доступ ко всей информации, — продолжает эксперт.

Подключиться к чипу онлайн абсолютно просто, особенно когда чип работает с помощью беспроводной системы поддержки интернет-связи.

Для доступа к чипу понадобится ключ, однако заполучить всю информацию можно с помощью доп. входа — там отсутствует зашифрованный канал.

Чип ProASIC3 используют в удаленных системах видеонаблюдения, беспилотных летательных аппаратах и пассажирских «боингах-787».

Фирма Actel заявление ученых из Кэмбриджа не прокомментировала.

Гипотетически чипы можно поменять, осложняет это только то, что система Actel зарекомендовала себя и очень популярна и уважаема на рынке.

— Эту особенность с доступом к чипу продумали на начальном этапе. Она создавалась вместе с дизайном. Зачем это было делать — совершенно непонятно, — добавляет Рик Фергюсон, директор исследовательского бюро в области безопасности компании Trend Micro.

Использованы материалы

allwebb.info

lifenews.ru

Tags: , , , ,

Эта статья была опубликована: Среда, июня 6, 2012 в 8:16 в категории Технологии. Вы можете читать любые ответы через RSS 2.0 feed. You can leave a response, or trackback from your own site.

One Response for "Вирус Flame — угроза кибербезопастности"

-_-

Мдааа... вот это новость...

Ваш комментарий

Имя (*)
email (*)
вебсайт
Комментарий
Перед отправкой формы:
Human test by Not Captcha