Коли пару тижнів тому вперше з’явилася інформація про складну кіберзброю Flame, російська охоронна фірма Kaspersky зазначила, що, незважаючи на деякі зовнішні подібності, не було жодних ознак того, що Flame мав багато спільного зі Stuxnet, програмною зброєю, яка спеціально була спрямована на зусилля Ірану зі збагачення урану, а потім втекла в дикий. Тепер Касперський каже, що це було неправильно: фірма стверджує, що розкрила спільний код, який вказує на те, що творці Flame і Stuxnet принаймні працювали разом — і навіть можуть бути ті самі люди.
Полум'я має привернули значну увагу у колах безпеки за свою складну архітектуру дозволяє зловмисникам встановлювати модулі, адаптовані до їхніх інтересів у певних системах. Здається, різні модулі виконують «звичайні» завдання зловмисного програмного забезпечення, такі як сканування файлів користувачів і реєстрація натискань клавіш; Також було виявлено модулі Flame, які, здається, роблять знімки екрана, вмикають аудіомікрофони для запису звуку та навіть опитують пристрої Bluetooth поблизу щодо контактів та іншої інформації.
Рекомендовані відео
Докази? Коли Stuxnet був у вільному роумінгу, автоматизовані системи Касперського виявили щось, що виглядало як варіант Stuxnet. Коли персонал Касперського спочатку подивився на це, вони не могли зрозуміти, чому їхні системи вважали, що це Stuxnet, припустили, що це помилка, і перекласифікували його під назвою «Tocy.a.» Однак коли з’явився Flame, Касперський повернувся, щоб шукати речі, які могли б пов’язати Flame із Stuxnet — і, ось, з’явився варіант Tocy.a, який нічого не зробив. сенс. У світлі Flame Касперскі каже, що Tocy.a насправді має більше сенсу: це рання версія плагіна модуль для Flame, який реалізує те, що (на той час) було експлойтом підвищення привілеїв нульового дня в вікна. Tocy.a проник у системи Касперського ще в жовтні 2010 року та містить код, який можна відстежити до 2009 року.
«Ми вважаємо, що насправді можна говорити про платформу «Flame», і що цей конкретний модуль був створений на основі її вихідного коду», — написав Олександр Гостєв з Kaspersky.
Якщо аналіз Касперського правильний, це вказуватиме на те, що «платформа Flame» вже була запущена та працювала до того часу, коли було створено оригінальний Stuxnet та випущено на початку-середині 2009 року. Приблизне датування можливе, тому що прото-код Flame з’являється лише в першій версії хробака Stuxnet: він зник із двох наступних версій Stuxnet, які з’явилися в 2010 році.
Kaspersky робить висновок, що високомодульна платформа Flame розвивалася за іншим шляхом, ніж Stuxnet, тобто було задіяно принаймні дві команди розробників. Але присутність цієї ранньої версії модуля Flame, здається, вказує на те, що розробники Stuxnet мали доступ до неї вихідний код для справжнього експлойта Windows нульового дня, який (на той момент) був невідомий ширшій спільноті безпеки. Це означає, що дві команди були досить щільними, принаймні в один момент.
Про це повідомляє New York Times що Stuxnet був створений як кіберзброя Сполученими Штатами та Ізраїлем, щоб перешкодити діяльності Ірану зі збагачення урану. З моменту відкриття Flame і його подальшого аналізу фірмами з комп’ютерної безпеки творці Flame зробили це ймовірно, надіслав команду «самогубство» деяким зараженим Flame системам, щоб видалити сліди програмне забезпечення.
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
