Symantec раскрывает Bluetooth потенциал трояна Flame

8/06/2012 00:43

Компания Symantec опубликовала краткий отчет о потенциале использования технологии Bluetooth трояном Flame (W32.Flamer) – вредоносной программы, которой удавалось обходить антивирусы более 5 лет. По мнению экспертов компании Symantec, Bluetooth-функции трояна Flame являются одним из самых загадочных модулей, носящим название "BeetleJuice". Уникальность заключается в том, что это первый троян, который бы был направлен на настольные Windows-платформы и при этом столь широко использовал Bluetooth. Кроме того, троян помечал все зараженные устройства специальным идентификатором, который позволял злоумышленникам на расстояние определить заражение компьютера и отследить его местонахождение, а также перемещение мобильных устройств вокруг него. Этот факт говорит о том, что основной целью злоумышленников были ноутбуки, которые как правило оснащены встроенным Bluetooth-модулем. Ранее специалисты CrySyS сообщали, что после запуска троян Flame выполнял сканирование окружения с целью обнаружения Bluetooth-устройств. В процессе сканирования фиксировались основные параметры устройства, в том числе и сила сигнала. Специалисты из Symantec высказали несколько предположений для чего злоумышленники использовали эти данные. По первому предположению, собранные данные могли использоваться для фиксации социальных связей между владельцами различных зараженных систем. Второй вариант использования технологии Bluetooth мог использоваться для слежения за перемещениями людей вокруг зараженной системы. Движения фиксировались по силе сигнала Bluetooth в мобильных устройствах. Результат этого сканирования мог использоваться для составления карты помещения, где находился зараженный компьютер. Такое сканирование было бы полезным в тех случаях, когда внешнее сканирование другими методами не представляется возможным, например в горных тоннелях. Многомодульная структура Flame и встроенный в него интерпретатор языка Lua, позволяли разработчикам расширять функциональность трояна до фантастических приделов: модули могли выполнять атаки на мобильные устройства с целью получения персональных данных с устройств - список контактов, изображения и видео, а также SMS-сообщения; зараженная система могла использоваться для прослушки помещения в режиме реального времени; в случая недоступности или ограниченности доступа в Интернет, Bluetooth-соединение могло использовать для передачи данных в управляющий центр. Все описанные предположения являются технически осуществимы, а следы некоторых из них уже были обнаружены в коде трояна Flame.
Подробности