Сегодня: |
||||||||
Выбор и использование персональных навигаторов GPS |
||||||||
| Главная | | Описания | | Статьи | | Программы | | Загрузка | | Ссылки | | Разное |
"Лаборатория Касперского": вирус Flame использовался для кибершпионажаАнтивирусная компания "Лаборатория Касперского" опубликовала первые результаты исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, до самого последнего времени активно применялась в качестве кибероружия в ряде ближневосточных государств. На прошлой неделе стало известно, что вредоносная программа была обнаружена экспертами ЛК во время исследования, инициированного Международным союзом электросвязи (МСЭ; International Telecommunications Union) после серии инцидентов с другой, пока еще неизвестной вредоносной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Ближнего Востока. Эту вредоносную программу еще только предстоит обнаружить; однако во время анализа инцидентов ЛК в сотрудничестве с Международным союзом электросвязи выявила новый вид вредоносной программы. По предварительным результатам, Flame активно используется как минимум с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом. Как сообщает ТАСС-Телеком, "Лаборатория Касперского" немедленно связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. Кроме того, совместно с компаниями GoDaddy и OpenDNS эксперты "Лаборатории Касперского" смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. По сообщению Русской службы BBC, исследователи ЛК пришли к выводу, что главным объектом нападения служил Иран, а также Израиль и территория Палестинской автономии. В первую очередь хакеров интересовала программа AutoCad — популярный инструмент инженеров и архитекторов. "Хакеров интересовали чертежи механического и электрического оборудования, — пояснил британским журналистам специалист по компьютерам университета Суррея профессор Алан Вудвард. — Они либо хотели выяснить, насколько далеко продвинулся тот или иной проект, либо намеревались воровать чертежи с целью перепродажи на черном рынке". Случаи заражения вирусом были зарегистрированы также в США, Великобритании и ряде европейских стран, однако, по мнению исследователей, это не означает, что данные страны были главной целью хакеров. По своим характеристикам Flame сильно напоминает недавно обнаруженных монстров — "сложные вирусы" Stuxnet и Duqu, которые были задействованы в кибершпионаже.В частности, главной целью Stuxnet были урановые центрифуги в Иране. А, как следует из недавней статьи в газете New York Times, атаку Stuxnet санкционировал лично президент США Барак Обама. Источник неизвестен Источник вируса по-прежнему неизвестен, однако результаты предварительного анализа указывают сразу на несколько возможных центров управления сетью. Такие центры управления вирусом Flame и сбора информации регулярно меняли дислокацию, передвигаясь из Гонконга в Турцию, Германию, Польшу, Малайзию, Латвию, Швейцарию и Великобританию. Анализ вредоносной программы показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов. Эксперты пришли к выводу, что, во-первых, командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе ЛК раскрыла существование вредоносной программы. Во-вторых, на данный момент известно более 80 доменов, задействованных для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 год. В-третьих, за последние четыре года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию. В-четвертых, для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году. В-пятых, злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD. Вместе с тем эксперты пришли к выводу, что данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия. Помимо этого, по предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована "Лабораторией Касперского" как одна из самых безопасных, оказалась не подвержена заражению Flame.
|