"Лаборатория Касперского" опубликовала анализ вируса Flame

время публикации: 05 июня 2012 г., 11:10 | последнее обновление: 05 июня 2012 г., 11:16

iStockphoto/thinkstockphotos.com и "Лаборатория Касперского"

Во вторник, 5 июня, на официальном сайте "Лаборатории Касперского" были опубликованы результаты "исследования инфраструктуры командных серверов вредоносной программы Flame", которая, по мнению экспертов, в настоящее время активно применяется в качестве кибероружия в ряде ближневосточных государств.

В 11 утра по израильскому времени с сообщения о публикации данной аналитической справки начался выпуск новостей на государственной радиостанции "Коль Исраэль".

"Лаборатория Касперского" пишет: "Анализ вредоносной программы, показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов".

Совместно с компаниями GoDaddy и OpenDNS эксперты "Лаборатории Касперского" смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame. В результате детального анализа полученной таким образом информации, эксперты пришли к следующим выводам:

1) Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе "Лаборатория Касперского" раскрыла существование вредоносной программы.

2) На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 год.

3) За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.

4) Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.

5) Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.

6) Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

7) По предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована "Лабораторией Касперского" как одна из самых безопасных, оказалась не подвержена заражению Flame.

На прошлой неделе "Лаборатория Касперского" связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. Полный анализ инфраструктуры командных серверов Flame и технические детали исследования размещены на сайте www securelist.com.

Отметим, что ни в краткой справке, ни в подробном анализе Израиль не упомянут как страна-создатель данной вредоносной программы или как сторона, пострадавшая от этого вируса.

На этой неделе Евгений Касперский, создатель и глава "Лаборатории Касперского", находится в Израиле, где принимает участие в конгрессе по кибертеррору, проходящему в Тель-авивском университете.