Обнаружен троян Flame, который более 5 лет оставался незамеченным

28/05/2012 20:17

Сразу несколько антивирусных компаний заявили об обнаружение трояна по имени Flame (некоторые его называют Flamer, а в самом начале анализа его звали просто SkyWiper). Первая подробная информация о функциях SkyWiper поступила от венгерских исследователей компьютерной безопасности CrySyS Lab, одновременно с этим иранские исследователи из Iran National CERT (MAHER) опубликовали частичную информацию вредоноса Flamer, список файлов которого совпадал со SkyWiper. По мнению экспертов, вирусная атака носила направленный характер. Цели заражения не называются, но к числу пострадавших относятся компьютерные системы Ирана, Палестины, Венгрии, Ливана, Австрии, России, Гонконга и ОАЭ. Существует предположение, что именно Flame вызвал недавний сбой в работе компьютерных систем Министерства нефти и Национальной иранской нефтяной компании. Специалисты отмечают две волны распространения Flame, первая зафиксирована в сентябре 2010 года, а вторая - феврале 2011 года. Однако, некоторые компоненты Flame были созданы еще в 2007-2009 годах. Всё это время Flame оставался незамеченным благодаря многомодульной структуре (многие модули были написаны на скриптовом языке Lua), совмещению систем сжатия/шифрования для модулей и данных (хранились в БД SQLite3), а также нестандартному подходу к механизмам внедрения вредоносного код и уникальной системе таймеров. Применение языка Lua увеличило размеры вредоноса, так, примерный размер трояна с дополнительными модулями составил примерно 20Мб. Такой размер программного кода существенно осложнил антивирусным экспертам его анализ. Атаке подверглись лишь Windows-платформы, заражение происходило через переносные носители информации и через удаленное заражение с использованием уязвимостей CVE-2010-2729 и CVE-2010-2568 (используемые эксплойты подобны применяемым в Stuxnet). Основным модулем Flame является файл - "mssecmgr.ocx" (размер около 6Мб), а базовая функциональность трояна реализована в модуле "advnetcfg.ocx". Еще одной отличительной особенностью является то, что почти все конфигурационные данные содержатся в файлах, а не системном реестре. Таким образом, разработчики Flame пытались скрыть активность трояна от систем мониторинга реестра. После запуска, троян производил заражение областей виртуальной памяти системных процессов "winlogon.exe", "services.exe" и "explorer.exe". Внедрение имело пассивный характер, что также затрудняло обнаружение вредоносной активности антивирусным ПО. Главной задачей трояна являлось наблюдение за активностью пользователя, сбор информации, её хранение и регулярная передача. Сбор информации осуществлялся различными способами - наблюдение за нажатиями клавиш, фиксирование происходящего на экране, запись звука, сканирование носителей информации на предмет наличия на них файлов заданного формата, наблюдение за проводными и беспроводными соединениями, а также активными процессами. Любые другие действия Flame могли быть инициированы дополнительными модулями и командами управляющего центра. Управление трояном происходило по защищенным SSL каналам с помощью децентрализованной сети из более 50 управляющих центров, размещаемых по всему миру. Антивирусные эксперты утверждают, что по сложности программного кода, Flame находится в одном ряду со Stuxnet и Duqu. Созданием Flame занималась четко организованная группа людей на протяжение нескольких лет, по предположению, несвязанная с разработчиками Stuxnet и Duqu.
Подробности