«Лабораторией Касперского» обнаружен миникибершпион31.10.2012
Отличительной особенностью
программы miniFlame можно назвать то, что наряду с кражей данных эта программа может
управлять всеми зараженными системами непосредственно в ходе точечных атак,
которые проводятся с целью кибершпионажа.
Программу miniFlame обнаружили эксперты
«Лаборатории Касперского» посредством детального анализа таких вредоносных
программ, как Flame, а также Gauss.
Еще в июле этого года был выявлен модуль
Gauss. Его кодовое название - «John». Тогда же были обнаружены и ссылки на
аналогичный модуль, находящийся в конфигурационных файлах, под названием Flame.
В сентябре этого года был проведен
последующий анализ серверов управления модуля Flame. В результате такой проверки
эксперты пришли к заключению, что обнаруженный модуль представляет собой ни что
иное, как отдельную вредоносную программу.
Что касается серверов управления
Flame, то на них программа miniFlame значилась под определенным кодовым
названием - SPE.
По данным «Лаборатории Касперского»,
сотрудникам компании удалось обнаружить не менее шести различных вариантов
miniFlame. Все они датируются 2010-2011 годами. Однако, проанализировав miniFlame,
эксперты полагают, что эта программа начала разрабатываться значительно раньше –
еще в 2007 году.
То, что существует возможность
использования miniFlame непосредственно в качестве плагина не только к Flame,
но и к Gauss, досконально указывает на некое взаимодействие, имеющее место между
группами тех разработчиков, которые ответственны за создание указанной вредоносной
программы. Эксперты «Лаборатории Касперского» предполагают, что в силу того,
что связь между Flame, а также Stuxnet/Duqu уже давно установлена, все
вредоносные программы создаются на одной так называемой «фабрике кибероружия».
Взаимосвязь между miniFlame,
Flame, а также Gauss на сегодняшний день установлена. Это позволяет думать, что
miniFlame устанавливался исключительно на тех компьютерах, которые уже некогда
ранее были заражены или Flame, или Gauss. Проникая в систему, miniFlame начинает
выполнять функции бэкдора. Это позволяет оператору вредоносной программы получать
с зараженного компьютера совершенно любой файл.
Помимо кражи данных вредоносная программа
выполняет и ряд дополнительных действий. Так, она может создавать снимки экрана
на зараженном компьютере в процессе работы в тех или иных программах, а также приложениях.
По запросу оператора такая программа в состоянии в зараженную систему загрузить
дополнительный модуль, предназначенный для более детальной кражи данных.
По словам главного антивирусного эксперта
«Лаборатории Касперского» по имени Александр Гостев, программа miniFlame – это уникальный
инструмент, который способен проводить высокоточные атаки.
|