Касперский: Cyberweapons Flame и Stuxnet используют общий код

Вредоносное кибероружие Flame

Когда пару недель назад впервые стало известно о сложном кибероружии Flame, российская охранная фирма Касперский отметила, что, несмотря на некоторое внешнее сходство, существует не было никаких признаков того, что у Flame было что-то общее со Stuxnet, программным оружием, которое было специально нацелено на усилия Ирана по обогащению урана, а затем скрылось в дикий. Теперь Касперский говорит, что это было неправильно: фирма утверждает, что обнаружила общий код, который указывает на то, что создатели Flame и Stuxnet, по крайней мере, работали вместе. — и, возможно, даже это одни и те же люди.

Пламя имеет привлек значительное внимание В кругах безопасности его сложная архитектура позволяет злоумышленникам устанавливать модули, адаптированные к их интересам в конкретных системах. Различные модули, похоже, выполняют «обычные» задачи вредоносного ПО, такие как сканирование файлов пользователей и регистрация нажатий клавиш; Также были обнаружены модули Flame, которые делают снимки экрана, включают аудиомикрофоны для записи звука и даже опрашивают близлежащие Bluetooth-устройства на предмет контактов и другой информации.

Рекомендуемые видео

Доказательство? Когда Stuxnet свободно распространялся, автоматизированные системы Касперского уловили что-то, похожее на вариант Stuxnet. Когда сотрудники Касперского впервые посмотрели на него, они не могли понять, почему их системы подумали, что это Stuxnet, предположили, что это ошибка, и переклассифицировали его под именем «Тоци.а.» Однако когда появился Flame, Касперский вернулся к поиску вещей, которые могли бы связать Flame со Stuxnet — и, о чудо, появился вариант Tocy.a, который не принёс никаких результатов. смысл. Каспсерский говорит, что в свете Flame Tocy.a на самом деле имеет больше смысла: это ранняя версия плагина. модуль для Flame, который реализует то, что (в то время) было эксплойтом повышения привилегий нулевого дня в Окна. Tocy.a проник в системы Касперского еще в октябре 2010 года и содержит код, датируемый 2009 годом.

«Мы думаем, что действительно можно говорить о платформе Flame и о том, что именно этот модуль был создан на основе ее исходного кода», — написал Александр Гостев из «Лаборатории Касперского».

Если анализ Касперского верен, это будет указывать на то, что «платформа Flame» уже была запущена и работала к моменту создания и запуска оригинального Stuxnet в начале-середине 2009 года. Приблизительная датировка возможна, поскольку прото-код Flame появляется только в первой версии червя Stuxnet: он исчез из двух последующих версий Stuxnet, появившихся в 2010 году.

Касперский предполагает, что высокомодульная платформа Flame развивалась по другому пути, чем Stuxnet, а это означает, что в ней участвовали как минимум две команды разработчиков. Но наличие той ранней версии модуля Flame, кажется, указывает на то, что разработчики Stuxnet имели доступ к исходный код за настоящий эксплойт Windows нулевого дня, который (на тот момент) был неизвестен более широкому сообществу безопасности. Это означает, что обе команды были довольно напряжены, по крайней мере, в какой-то момент.

Об этом сообщила газета «Нью-Йорк Таймс». что Stuxnet был создан Соединенными Штатами и Израилем как кибероружие в попытке воспрепятствовать деятельности Ирана по обогащению урана. С момента открытия Flame и его последующего анализа фирмами по компьютерной безопасности создатели Flame очевидно, отправил команду «самоубийства» некоторым зараженным Flame системам, пытаясь удалить следы программное обеспечение.

Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.