Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

08 февраля 2017
В результате тестирований подтверждена совместимость USB-токенов JaCarta WebPass и JaCarta U2F с облачной платформой …
06 февраля 2017
Вице-президент ПАО «Почта Банк» Андрей Фролов рассказывает о практическом опыте применения решений С‑Терра для …
03 февраля 2017
Группа компаний InfoWatch провела онлайн-конференцию, посвященную возможностям выявления утечек конфиденциальной информации …
01 февраля 2017
«Актив» и «Информационные системы» объявили о том, что в рамках партнерства было завершено тестовое испытание, подтвердившее …
19 января 2017
Acronis True Image 2017 New Generation - первое в отрасли решение, которое сочетает в себе защиту данных в реальном времени …
29 декабря 2016
Без сомнения, 2016 год должен запомниться операторам персональных данных прежде всего яркостью реализации Федерального …
29 декабря 2016
При проведении работ по выявлению и анализу уязвимостей программного обеспечения и среды функционирования средства защиты …
07 декабря 2016
В понедельник, 5 декабря, Президентом России утверждена новая Доктрина информационной безопасности, которую подготовил Совет …
Контур-Фокус – быстрая проверка контрагентов

Инфостенд

Информационные и справочные материалы
Тел.: +7 (495) 231-4831
Сайт: expo-itsecurity.ru
E-mail: info@infosecurity.ru
Контактная информация: О компании
Регионы работы: Москва
Статья

Иран стал жертвой неизвестного компьютерного вируса

Иран стал жертвой неизвестного компьютерного вируса

Угроза

Flame был обнаружен случайно после того, как к "ЛК" за помощью обратились представители Международного союза электросвязи (ITU), подразделения ООН. ITU попросил компанию найти странный вирус, стирающий данные с ближневосточных компьютеров.

"ЛК" никаких подробностей о зловредной программе, получившей кодовое название Wiper, выяснить не смогла, зато наткнулась на Flame. Этот вирус "гуманнее": он ничего не удаляет и не портит, зато внимательно изучает содержимое зараженного компьютера и всего, что находится рядом. Flame не только отправляет на удаленный сервер документы, почту и другую информацию с жесткого диска, но и снимает скриншоты с экрана (причем умеет это делать только в "нужные" моменты, например, когда запущена "аська"), записывает звук с микрофона, изучает и по возможности заражает компьютеры из сетевого окружения и так далее.

Список этих "и так далее" открыт: вирус имеет 20 модулей, причем функции некоторых из них еще не изучены. Забравшись в компьютер, троян загружает с командного сервера нужные модули (утверждается, что их набор варьируется от случая к случаю) и начинает свое тайное дело. При этом, отмечают в "ЛК", Flame по команде с сервера может полностью удалить следы своего пребывания на компьютере.

Всего в отчете "ЛК" указано более 600 "жертв" (по всей видимости, речь идет о 600 компьютерах) в ряде стран, включая Иран, Египет, Судан, Сирию, Ливан и Израиль, оказавшийся в связке с Палестинской автономией. Причиной создания вируса эксперты российской компании назвали "систематический сбор информации" о деятельности некоторых ближневосточных стран.

Однако больше всего "жертв" (вероятно, в этом случае речь идет уже о компаниях) находится на территории Ирана: 189 против 98 у ближайшего "конкурента" в виде связки Израиль - Палестинская автономия. Этого обстоятельства с учетом опыта Stuxnet и Duqu хватило для того, чтобы Flame превратился из "антиближневосточного" в "антииранский" вирус. Исламская республика же стала и главным борцом с трояном.

Иранский Центр по противодействию киберугрозам (CERT) Maher моментально отреагировал и объявил, что он уже давно следил за Flame, а в первых числах мая "противоядие" было готово и его получили некоторые местные организации. Ни один из 43 испробованных "обычных" антивирусов, заверили в CERT, вирус не обнаруживает.

Спустя пару дней иранские киберборцы выпустили антивирус, снабдив его подробными инструкциями по удалению следов Flame вручную (для недоверчивых). Подхватив тренд, "ЛК" начала публикацию серии постов в своем блоге с описанием функций вируса. В первой же записи компания указала, что для уверенной защиты достаточно установить один из ее антивирусных пакетов. Подробный и сугубо технический анализ (pdf) трояна представил и Будапештский университет технологий и экономики.

Сам по себе вирус, по крайней мере, на данном этапе, можно считать побежденным. Но вот на выяснение того, кто же стоит за его созданием, могут уйти месяцы, а то и годы, уверены в "ЛК". Еще в первом обзоре компания заявила: Flame - дело рук властей какой-либо из стран. К такому выводу она пришла после недлинной цепочки рассуждений.

Вирусы, сообщала "ЛК", создают либо независимые группы хакеров, либо киберпреступники, либо власти. Но задачи красть банковские данные перед "самым сложным" трояном не стояла, значит киберпреступники не при чем. Из-за высокой "сложности" вируса отметаются и "рядовые" хакеры. Остаются только власти, у которых есть ресурсы для долговременной разработки таких продуктов: на один только Duqu, по оценкам "ЛК", могло уйти до четырех лет, а Flame, предположительно, создавался параллельно с ним.

Создатели

Главных врагов у Ирана, как известно, два: США и Израиль. Анонимный источник NBC, связанный с американскими властями, заявил, что за созданием вируса действительно стоят США. Эксперты издания подхватили эту версию и сделали несложное умозаключение: Америка таким образом борется с ядерной программой Ирана. Официальный Вашингтон, естественно, свою причастность к появлению Flame опроверг.

Но масла в огонь подлил вице-премьер Израиля Моше Яалон, который в интервью местному радио не исключил участия двух стран в создании трояна. "Я могу представить, что каждый, кто видит в ядерной программе Ирана ключевую угрозу, - и это не только Израиль, но и весь западный мир во главе с США, - способен использовать любую доступную возможность навредить программе, включая и эту," - заявил он, говоря о вирусе. Однако вскоре представители израильских властей подчеркнули, что из интервью не следует, будто их страна за что-то там ответственна.

Не были найдены и виновники создания двух других "антииранских" вирусов: Stuxnet, который в 2010 году смог отбросить развитие ядерной программы в стране на два года назад, и Duqu, которого называют "потомком" Stuxnet. Второй действовал в 2011 году и был направлен не на совершение диверсий, а на кражу конфиденциальной информации.

В 2011 году в создании и распространении вируса-"диверсанта" Тегеран обвинял США, а чуть раньше появились косвенные свидетельства того, что к разработке Stuxnet причастен Израиль.

В этот раз Иран не спешит с обвинениями в чей-либо адрес. Власти страны заявили, что целью Flame была нефтяная система страны, но большого вреда он не принес. Заявление это, впрочем, может оказаться блефом: в отчете "ЛК" утверждается, что первые следы активности трояна относятся еще к 2010 году, а каких-либо конкретных целей у него не было. "Жертвами", отмечала компания, становились как государственные учреждения, так и обычные пользователи компьютеров, на которых установлены операционные системы семейства Windows.

Источник: lenta.ru

Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс