Последние новости

Наука и технологии

Безопасность

«Лабораторией Касперского» обнаружен миникибершпион

31.10.2012

Отличительной особенностью программы miniFlame можно назвать то, что наряду с кражей данных эта программа может управлять всеми зараженными системами непосредственно в ходе точечных атак, которые проводятся с целью кибершпионажа.

Программу miniFlame обнаружили эксперты «Лаборатории Касперского» посредством детального анализа таких вредоносных программ, как Flame, а также Gauss.

Еще в июле этого года был выявлен модуль Gauss. Его кодовое название - «John». Тогда же были обнаружены и ссылки на аналогичный модуль, находящийся в конфигурационных файлах, под названием Flame.

В сентябре этого года был проведен последующий анализ серверов управления модуля Flame. В результате такой проверки эксперты пришли к заключению, что обнаруженный модуль представляет собой ни что иное, как отдельную вредоносную программу.

Что касается серверов управления Flame, то на них программа miniFlame значилась под определенным кодовым названием - SPE.

По данным «Лаборатории Касперского», сотрудникам компании удалось обнаружить не менее шести различных вариантов miniFlame. Все они датируются 2010-2011 годами. Однако, проанализировав miniFlame, эксперты полагают, что эта программа начала разрабатываться значительно раньше – еще в 2007 году.

То, что существует возможность использования miniFlame непосредственно в качестве плагина не только к Flame, но и к Gauss, досконально указывает на некое взаимодействие, имеющее место между группами тех разработчиков, которые ответственны за создание указанной вредоносной программы. Эксперты «Лаборатории Касперского» предполагают, что в силу того, что связь между Flame, а также Stuxnet/Duqu уже давно установлена, все вредоносные программы создаются на одной так называемой «фабрике кибероружия».

Взаимосвязь между miniFlame, Flame, а также Gauss на сегодняшний день установлена. Это позволяет думать, что miniFlame устанавливался исключительно на тех компьютерах, которые уже некогда ранее были заражены или Flame, или Gauss. Проникая в систему, miniFlame начинает выполнять функции бэкдора. Это позволяет оператору вредоносной программы получать с зараженного компьютера совершенно любой файл.

Помимо кражи данных вредоносная программа выполняет и ряд дополнительных действий. Так, она может создавать снимки экрана на зараженном компьютере в процессе работы в тех или иных программах, а также приложениях. По запросу оператора такая программа в состоянии в зараженную систему загрузить дополнительный модуль, предназначенный для более детальной кражи данных.

По словам главного антивирусного эксперта «Лаборатории Касперского» по имени Александр Гостев, программа miniFlame – это уникальный инструмент, который способен проводить высокоточные атаки.


29 марта, пятница