Эксперты обнаружили «сверхсложную» вредоносную программу, нацеленную на Иран и Ближний Восток.
Эксперты из Ирландии, России и Венгрии утверждают, что обнаруженный в ближневосточных и иранских компьютерах «червь» настолько сложен, что мог быть создан лишь при серьезной государственной поддержке.
Эксперты из России, Венгрии и Ирландии оценили обнаруженного в компьютерах в Иране и некоторых странах Ближнего Востока «червя», которого уже назвали «самым сложным видом кибероружия, когда-либо применявшегося в мире». Вредоносная программа, говорят они, беспрецедентна по своей изощренности, размеру и способностям собирать информацию с зараженного компьютера, включая микрофон, клавиатуру, Wi-Fi, Bluetooth, USB, системные процессы и, разумеется, хранилища информации всех видов. Кроме того, используя Wi-Fi и Bluetooth, программа стремилась собрать как можно больше информации и с окружающих компьютер устройств: мобильных телефонов и ноутбуков. Программа обладает способностью удалять себя с зараженного компьютера.
«Лаборатория Касперского» назвала вредоносную программу Worm.Win32.Flame, в то время как эксперты венгерской CrySys Lab (лаборатория криптографии и системной безопасности Будапештского университета) назвали ее sKyWIper. Эксперты не сомневаются в том, что речь идет не о простой вредоносной программе, а о настоящем кибероружии. По данным «Лаборатории Касперского», об этом помимо всего прочего говорит то, что программа применялась строго индивидуально: было обнаружено 362 инфицированных компьютера, из которых больше половины находятся в Иране. Остальные — в Ливане, на контролируемых Израилем палестинских территориях и в Объединенных Арабских Эмиратах. Как отмечает The Wall Street Journal, при этом программа нацеливалась на конкретного пользователя, а не на всю организацию, в которой он работал. В свою очередь, Орла Кокс из ирландского подразделения Symantec говорит, что «сложность, уровень профессионализма и фантастическое количество информации, которое он собирает,— доказательство того, что эта программа является кибероружием».
Как считает главный эксперт компании "Лаборатория Касперского" по безопасности Виталий Камлюк, размер и сложность программы Flame заставляет предположить, что она создана не независимыми киберпреступниками, а является плодом работы государственного учреждения.
"В настоящее время известны три категории специалистов, которые занимаются созданием вредоносных и шпионских программ – это хакеры, преступники и государства", - говорит эксперт.
"Программа Flame создана не для похищения денег с банковских счетов. Она также отличается от довольно примитивных программ, используемых хакерами. Следовательно, остается предположить, что она создана третьей категорией специалистов", - указывает он.
«Результаты нашего технического анализа поддерживают гипотезу о том, что sKyWIper был разработан правительственным учреждением некоторого государства, имеющего значительный бюджет»,— говорится в заявлении CrySys Lab. В свою очередь, в отчете «Лаборатории Касперского» говорится, что «география объектов… и также сложность угрозы не оставляют сомнений» в том, что создание программы проходило при государственной поддержке.
Программа Flame способна записывать звук через встроенные в компьютеры микрофоны, сжимать его и посылать полученные звуковые файлы по адресу нападающего.
Она также может делать мгновенные снимки экрана компьютера, выбирая для этого момент включения интересных для нападающего программ типа почтового клиента или чат-программы.
Эксперты наотрез отказываются, впрочем, говорить о том, кто мог стоять за созданием Worm.Win32.Flame. В отчете «Лаборатории Касперского» говорится лишь, что их специалистам удалось обнаружить текстовые фрагменты, написанные на очень хорошем английском. Прежние истории с заражением иранских компьютеров вредоносными программами, напоминает лондонская The Guardian, связывали с действиями американской и израильской разведок.
Еще один вопрос, ответ на который не знают эксперты,— когда, собственно, были заражены компьютеры. По данным венгерских экспертов, ранние проявления работы вредоносной программы можно отнести к 2007 году, в то время как в «Лаборатории Касперского» и Symantec уверены, что «червь» был запущен в 2010 году.
«Червь» был обнаружен специалистами CrySys Lab, и с тех пор его изучали в Будапеште, ирландской лаборатории Symantec и «Лаборатории Касперского», передает Коммерсантъ-Online
Профессор Алан Вудвард из университета Саррея считает появление такой программы крайне значимым событием.
"Эта программа по сути дела является промышленным пылесосом, высасывающим из сетей ценную информацию, - сказал профессор в беседе с корреспондентом Би-би-си. – Вирус Stuxnet был разработан с одной целью, а именно ради выведения из строя центрифуг, на которых Иран обогащал уран. Программа Flame является сложным набором инструментов, которые ведут охоту на все известные типы информации".
Как только программа Flame инфицирует компьютер, она может устанавливать в нем дополнительные модули, предназначенные для выполнения конкретных задач, почти так же, как пользователи добавляют в свои телефоны новые приложения.