Worm.Win32.Flame - новый вид кибероружия

«Лаборатория Касперского» сообщает об обнаружении сложной вредоносной программы, которая в настоящий момент активно используется в ряде стран в качестве кибероружия. По сложности и функционалу вредоносная программа превосходит все ранее известные виды угроз. Программа, детектируемая защитными продуктами «Лаборатории Касперского» как Worm.Win32.Flame, разработана для ведения кибершпионажа.

Она позволяет похищать важные данные, в том числе информацию, выводимую на монитор, информацию о системах – объектах атак, файлы, хранящиеся на компьютере, контактные данные пользователей и даже аудиозаписи разговоров.

По предварительным результатам этот зловред активно используется уже более двух лет, с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Хотя Flame отличается по своим характеристикам от зловредов Duqu и Stuxnet, ранее использовавшихся в качестве кибероружия, такие факты как география атак, использование специфичных уязвимостей в ПО, а также то, что целью атак становятся только определенные компьютеры, указывают на то, что Flame относится к той же категории сложного кибероружия.

Уже на протяжении нескольких лет опасность военных операций в киберпространстве является одной из самых серьёзных тем информационной безопасности. Stuxnet и Duqu были звеньям одной цепи кибератак; их применение вызвало озабоченность в связи возможной перспективой развязывания кибервойн во всем мире. Зловред Flame, по всей вероятности, является еще одним этапом такой войны.

Согласно имеющимся данным, основная задача Flame — кибершпионаж с использованием информации, украденной с зараженных машин. Похищенные данные передаются в сеть командных серверов, размещенных в разных частях света. Вредоносная программа рассчитана на кражу широкого спектра данных: документов, снимков экрана, аудиозаписей, а также на перехват сетевого трафика. Это делает ее одним из наиболее сложных и полнофункциональных средств проведения кибератак из обнаруженных на сегодняшний день. Вопрос об использованном вредоносной программой векторе заражения пока остается без ответа. Однако уже сейчас ясно, что Flame может распространяться по сети несколькими способами, в том числе путем эксплуатации той же уязвимости в службе диспетчера печати и того же метода заражения через USB-устройства, который использует червь Stuxnet.

Эксперты «Лаборатории Касперского» в настоящее время проводят углубленный анализ Flame. В ближайшие дни планируется публикация серии материалов, раскрывающих подробности о новой угрозе по мере их выяснения. На данный момент известно, что вредоносная программа содержит несколько модулей, насчитывающих в общей сложности несколько мегабайт исполняемого кода, что почти в 20 раз больше, чем размер червя Stuxnet.

Что именно представляет собой Flame? Червь? Бэкдор? Каков его функционал?

Хотя Flame имеет иной функционал, чем печально известные образцы кибероружия Duqu и Stuxnet, все эти вредоносные программы имеют много общего: географию атак, узкую целевую направленность в сочетании с использованием специфических уязвимостей в ПО. Это ставит Flame в один ряд с «кибернетическим супероружием», развертываемым на Ближнем Востоке неизвестными злоумышленниками. Без сомнения, Flame является одной из самых сложных киберугроз за всю историю их существования. Программа имеет большой размер и невероятно сложную структуру. Она заставляет переосмыслить такие понятия, как «кибервойна» и «кибершпионаж».

Flame представляет собой весьма хитрый набор инструментов для проведения атак, значительно превосходящий по сложности Duqu. Это троянская программа — бэкдор, имеющая также черты, свойственные червям и позволяющие ей распространяться по локальной сети и через съемные носители при получении соответствующего приказа от ее хозяина.
Исходная точка входа Flame неизвестна — подозревают, что первоначальное заражение происходит путем целевых атак, однако найти исходный вектор атаки пока не удалось. Специалисты «Лаборатории Касперского» подозревают, что используется уязвимость MS10-033, однако в данный момент подтвердить это не могут.
После заражения системы Flame приступает к выполнению сложного набора операций, в том числе к анализу сетевого трафика, созданию снимков экрана, аудиозаписи разговоров, перехвату клавиатурных нажатий и т.д. Все эти данные доступны операторам через командные серверы Flame.
В дальнейшем операторы могут принять решение о загрузке на зараженные компьютеры дополнительных модулей, расширяющих функционал Flame. Всего имеется около 20 модулей, назначение большинства которых мы в данный момент изучается.

Какими способами он заражает компьютеры? Через USB-флешки? Эксплуатировал ли он, помимо уязвимости службы диспетчера очереди печати, другие уязвимости , чтобы обойти детектирование? Уязвимости нулевого дня?

Очевидно, что Flame имеет два модуля для заражения USB флеш-карт с названиями «Autorun Infector» и «Euphoria». Способность заражать флеш-карты USB в коде существует и использует два метода:

1. Autorun Infector: метод «Autorun.inf» из раннего Stuxnet, использует "shell32.dll" "trick". Важно отметить, что этот конкретный способ был использован только Stuxnet и до сих пор не встречался ни в одной вредоносной программе.
2. Euphoria: распространяется на носителях, используя директорию "junction point", включающую вредоносные модули и LNK-файл, который инициирует заражение при открытии директории.

Помимо этого, Flame способен тиражироваться через локальную сеть, используя:

1. Уязвимость принтера, эксплуатируемую Stuxnet — при помощи специального MOF-файла, исполняемого в атакуемой системе посредством WMI.
2. Remote jobs
3. Когда Flame исполняется пользователем, у которого есть права администратора на контроллер домена, Flame оказывается способен атаковать другие компьютеры сети: он создает backdoor пользовательский аккаунт (backdoor) с предустановленным паролем, который впоследствии использует при собственном копировании на эти компьютеры.

На настоящий момент не наблюдалось использования уязвимостей нулевого дня; однако известны случаи заражения червем системы Windows 7 со всеми патчами через сеть, что может указывать на существование риска атак нулевого дня.

Источник: «Лаборатория Касперского» (http://www.kaspersky.ru/news)