В Сети обнаружено новейшее кибероружие

Создателям компьютерных вирусов удалось вывести новую генерацию программ-шпионов, которым под силу отслеживать перемещение пользователя в пространстве с помощью мобильного телефона. Вирус называется Flamer, он был впервые идентифицирован в середине мая этого года.

— Flamer это первый в мире вирус, способный отслеживать перемещение пользователя в офлайн-пространстве при помощи Bluetooth, — рассказали «Известиям» в компании Symantec. — Эта особенность является уникальной, как и сам вирус. Раньше такой функции не наблюдалось ни в одной известной вредоносной программе.

Заражению подвергаются компьютеры, работающие на различных версиях операционной системы Windows. Вирус отслеживает все действия пользователя на ПК, благодаря чему злоумышленник решает, насколько им интересен конкретный человек. Если интерес есть, то кроме шпионажа компьютер начнет пытаться отслеживать перемещение пользователя в офлайне. Для этого используется не имеющая аналогов система, в основе которой заложена работа с Bluetooth.

Если на зараженном компьютере есть Bluetooth, то он начинает сканировать пространство в поисках включенных аналогичных устройств. Вирус запоминает все устройства, которые находил в эфире. Кроме того, Flamer определяет силу радиосигнала от Bluetooth.
«Благодаря силе радиосигнала можно понять расстояние между устройствами. Это нужно для того, чтобы определить, какое из устройств принадлежит хозяину компьютера, на котором поселился вирус, — поясняет руководитель группы информационной безопасности компании Symantec Олег Шабуров. — Понятно, что если владелец компьютера часто сидит за зараженным компьютером, то кладет рядом мобильный телефон, а значит, сигнал от его Bluetooth-устройства будет самым сильным».

Если владелец данного ПК интересен тем, кто анализирует информацию от Flamer, то ID его мобильного устройства отправляются другим зараженным машинам, которые также в эфире пытаются найти ID Bluetooth требуемого человека. Таким образом можно выстроить маршрут передвижения пользователя по территории города или страны.
«Кроме этого основной функциональный модуль программы позволяет подгружать дополнительные компоненты, в том числе вредоносные Bluetooth-приложения, которые могут с других Bluetooth-устройств похищать контакты адресной книги, SMS, снимки, использовать устройство для прослушки, переслать уже украденные данные через другое устройство, минуя сетевые экраны и мониторы сетевого трафика», — добавил Шабуров.

Антивирусные компании отнесли Flamer к виду кибероружия. За последние полгода было найдено еще два вируса подобной классификации: Stuxnet и Duqu. Когда и кем был создан Flamer достоверно неизвестно. В середине прошлого месяца он был идентифицирован сразу в семи странах Ближнего Востока: Иране, Израиле и Палестине, Судане, Сирии, Саудовской Аравии и Египте. Немного позже он также был обнаружен в Австрии, Гонконге, ОАЭ и России.

Вирус было очень сложно идентифицировать, так как подходы киберпреступников к созданию вируса были нестандарными.

— Современные вредоносные программы в основном небольшие и имеют определенные цели. Легче спрятать небольшой файл, чем большой модуль, — поясняет Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». — Кроме того, загрузка 100 к через ненадежную сеть имеет гораздо больше шансов на успех, чем загрузка 6 MВт.

Flamer состоит из нескольких модулей, вместе они составляют более 20 Мб. Многие из них являются библиотеками, предназначенными для обработки SSL-трафика, контроля сообщений, передаваемых по сети связи с целью выявления конфиденциальной информации, проведения атак, перехвата сообщений, кражи офисных документов, файлов в формате PDF, чертежей AutoCad, записи звука через встроенный в компьютер микрофон, создания снимков с экрана — скриншотов в процессе обмена онлайн-общения в Сети. Все эти данный хранятся в сжатом виде на компьютере и постепенно скрытым образом пересылаются на командный сервер.

4 июня совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории Касперского» смогли перехватить управление более 80 вредоносными доменами, используемыми командными серверами Flame.

— Нам потребовалось несколько месяцев, чтобы проанализировать 500-килобайтовый код Stuxnet, — заметил Камлюк. — А на то, чтобы полностью понять 20-мегабайтовый код Flame, вероятно, потребуются годы.

На сегодняшний день достоверно известно о нескольких тысячах зараженных машин, но о том, сколько их на самом деле, еще говорить рано.
— Такое количество неудивительно, ведь вирус имеет механизм самоликвидации, — подмечает Шабуров. — Если злоумышленники понимают, что пользователь и его файлы им не интересы, они удаляют вирус с компьютера.

В конце прошлой недели иранский Центр по противодействию киберугрозам (CERT) объявил о создании антивирусного средства для борьбы с вирусом Flame, поражающим компьютеры на территории Ближнего Востока. А в начале этой недели Microsoft выпустила обновление, которое закрывает уязвимость для вируса Flame.