В Сети обнаружено новейшее кибероружие. Евгений Касперский предостерег мир от киберкатастрофы

Вирус-шпион Flamer собирает любые данные о пользователях, проникая в их мобильные телефоны через Bluetooth

Евгений Касперский, сооснователь и генеральный директор "Лаборатории Касперского", признался, что напуган масштабами киберэпидемии, которая грозит человечеству. Об этом, как сообщает РИА Новости, эксперт по борьбе с вирусами заявил шестого июня в ходе выступления в университете Тель-Авива.

"Я боюсь, что это только начало игры, и очень скоро множество стран по всему миру в этом убедятся", — заявил Касперский, говоря о вирусе-шпионе Flame, атаковавшем компьютеры ряда стран на Ближнем Востоке. Троян был обнаружен "Лабораторией Касперского" в конце мая и, по оценкам компании, является "возможно, самым сложным" вирусом.

"Боюсь, что это будет концом того мира, каким мы его знаем", — заявил Касперский, заметив, что "на планете так много компьютерных систем, и так велика наша зависимость от них". Эксперт указал, что создать вирус, аналогичный Flame, могут многие страны. Его разработку он оценил в 100 миллионов долларов и добавил, что даже если государство не в состоянии само создать троян, оно может нанять специалистов, похитить их или обратиться к хакерам.

Последствиями киберэпидемии, по мнению Касперского, могут стать тотальный интернет-блэкаут (невозможность использования Сети вообще) или атака на ключевые объекты инфраструктуры. В мире пока не существует адекватной системы защиты, заметил он, добавив, что единственным выходом видит международное сотрудничество в этой сфере.

Вирус Flame предназначен для кражи документов с компьютеров, однако по команде с управляющего сервера может подгружать модули с дополнительными функциями. Наибольшее количество зараженных компьютеров было зафиксировано в Иране, а Тегеран заявил, что Flame был нацелен на нефтяную промышленность страны. Спустя несколько дней после обнаружения вируса "Лабораторией Касперского" иранский Центр по противодействию киберугрозам (CERT) выпустил антивирус, позволяющий удалить Flame с компьютера.

Доподлинно неизвестно, кто именно создал троян, однако "Лаборатория Касперского" утверждала, что разработка такой программы под силу только властям какой-либо из стран. По неофициальным данным, к появлению вируса причастны США.

Создателям компьютерных вирусов удалось вывести новую генерацию программ-шпионов, которым под силу отслеживать перемещение пользователя в пространстве с помощью мобильного телефона. Вирус называется Flamer, он был впервые идентифицирован в середине мая этого года.

— Flamer это первый в мире вирус, способный отслеживать перемещение пользователя в офлайн-пространстве при помощи Bluetooth, — рассказали «Известиям» в компании Symantec. — Эта особенность является уникальной, как и сам вирус. Раньше такой функции не наблюдалось ни в одной известной вредоносной программе.

Заражению подвергаются компьютеры, работающие на различных версиях операционной системы Windows. Вирус отслеживает все действия пользователя на ПК, благодаря чему злоумышленник решает, насколько им интересен конкретный человек. Если интерес есть, то кроме шпионажа компьютер начнет пытаться отслеживать перемещение пользователя в офлайне. Для этого используется не имеющая аналогов система, в основе которой заложена работа с Bluetooth.

Если на зараженном компьютере есть Bluetooth, то он начинает сканировать пространство в поисках включенных аналогичных устройств. Вирус запоминает все устройства, которые находил в эфире. Кроме того, Flamer определяет силу радиосигнала от Bluetooth.

«Благодаря силе радиосигнала можно понять расстояние между устройствами. Это нужно для того, чтобы определить, какое из устройств принадлежит хозяину компьютера, на котором поселился вирус, — поясняет руководитель группы информационной безопасности компании Symantec Олег Шабуров. — Понятно, что если владелец компьютера часто сидит за зараженным компьютером, то кладет рядом мобильный телефон, а значит, сигнал от его Bluetooth-устройства будет самым сильным».

Если владелец данного ПК интересен тем, кто анализирует информацию от Flamer, то ID его мобильного устройства отправляются другим зараженным машинам, которые также в эфире пытаются найти ID Bluetooth требуемого человека. Таким образом можно выстроить маршрут передвижения пользователя по территории города или страны.

«Кроме этого основной функциональный модуль программы позволяет подгружать дополнительные компоненты, в том числе вредоносные Bluetooth-приложения, которые могут с других Bluetooth-устройств похищать контакты адресной книги, SMS, снимки, использовать устройство для прослушки, переслать уже украденные данные через другое устройство, минуя сетевые экраны и мониторы сетевого трафика», — добавил Шабуров.

Антивирусные компании отнесли Flamer к виду кибероружия. За последние полгода было найдено еще два вируса подобной классификации: Stuxnet и Duqu. Когда и кем был создан Flamer достоверно неизвестно. В середине прошлого месяца он был идентифицирован сразу в семи странах Ближнего Востока: Иране, Израиле и Палестине, Судане, Сирии, Саудовской Аравии и Египте. Немного позже он также был обнаружен в Австрии, Гонконге, ОАЭ и России.

Вирус было очень сложно идентифицировать, так как подходы киберпреступников к созданию вируса были нестандарными.

— Современные вредоносные программы в основном небольшие и имеют определенные цели. Легче спрятать небольшой файл, чем большой модуль, — поясняет Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». — Кроме того, загрузка 100 к через ненадежную сеть имеет гораздо больше шансов на успех, чем загрузка 6 MВт.

Flamer состоит из нескольких модулей, вместе они составляют более 20 Мб. Многие из них являются библиотеками, предназначенными для обработки SSL-трафика, контроля сообщений, передаваемых по сети связи с целью выявления конфиденциальной информации, проведения атак, перехвата сообщений, кражи офисных документов, файлов в формате PDF, чертежей AutoCad, записи звука через встроенный в компьютер микрофон, создания снимков с экрана — скриншотов в процессе обмена онлайн-общения в Сети. Все эти данный хранятся в сжатом виде на компьютере и постепенно скрытым образом пересылаются на командный сервер.

4 июня совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории Касперского» смогли перехватить управление более 80 вредоносными доменами, используемыми командными серверами Flame.

— Нам потребовалось несколько месяцев, чтобы проанализировать 500-килобайтовый код Stuxnet, — заметил Камлюк. — А на то, чтобы полностью понять 20-мегабайтовый код Flame, вероятно, потребуются годы.

На сегодняшний день достоверно известно о нескольких тысячах зараженных машин, но о том, сколько их на самом деле, еще говорить рано.

— Такое количество неудивительно, ведь вирус имеет механизм самоликвидации, — подмечает Шабуров. — Если злоумышленники понимают, что пользователь и его файлы им не интересы, они удаляют вирус с компьютера.

В конце прошлой недели иранский Центр по противодействию киберугрозам (CERT) объявил о создании антивирусного средства для борьбы с вирусом Flame, поражающим компьютеры на территории Ближнего Востока. А в начале этой недели Microsoft выпустила обновление, которое закрывает уязвимость для вируса Flame.

Похожие новости: