Войти
Flame, также известное как Flamer, sKyWIper и Skywiper, модульный компьютер вредоносное ПО, обнаруженное в 2012 году, которое атакует компьютеры под управлением операционной системы Microsoft Windows. Программа используется для целенаправленного кибершпионажа в странах Ближнего Востока.
Об открытии этой программы 28 мая 2012 года было объявлено об обнаружении иранского национального компьютера MAHER Группа экстренного реагирования (CERT), Лаборатория Касперского и CrySyS Lab при Будапештского технологического и экономического университета. Последний из них заявил в своем отчете, что Flame «определенно является самым сложным вредоносным ПО, с которым мы сталкивались во время нашей практики; возможно, это самое сложное вредоносное ПО из когда-либо обнаруженных». Пламя может распространяться на другие системы через локальную сеть (LAN). Он может записывать аудио, снимки экрана, активность клавиатуры и сетевой трафик. Программа также записывает Skype разговоры и может превращать зараженные компьютеры в Bluetooth маяки, которые пытаются загрузить контактную информацию с ближайших Bluetooth-устройств. Эти данные вместе с локально сохраненными документами отправляются на один из нескольких командно-управляющих серверов, разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов.
По оценкам «Лаборатории Касперского» в мае 2012 года, Flame первоначально заразил около 1000 машин, жертвами которых были правительственные организации, образовательные учреждения и частные лица. В то время 65% заражений произошло в Иране, Израиле, Палестине, Судане, Сирии, Ливане, Саудовской Аравии и Египте, с «огромным большинством целей» внутри Ирана. О пламени также сообщалось в Европе и Северной Америке. Flame поддерживает команду «kill», которая стирает с компьютера все следы вредоносного ПО. Первоначальные заражения Flame прекратили работу после его публичного раскрытия, и была отправлена команда «kill».
Flame связан с Equation Group Лабораторией Касперского. Однако Костин Райу, директор глобальной исследовательской и аналитической группы «Лаборатории Касперского», считает, что группа сотрудничает с создателями Flame и Stuxnet только с позиции превосходства: «Equation Group определенно являются хозяевами, и они дают другим, может быть, хлебные крошки. Время от времени они дают им какие-то вкусности для интеграции в Stuxnet и Flame ».
В 2019 году исследователи Хуан Андрес Герреро-Сааде и Силас Катлер объявили о своем открытии возрождение Пламени. Злоумышленники использовали временную метку, чтобы новые образцы выглядели так, как будто они были созданы до команды suicide. Однако ошибка компиляции включала реальную дату компиляции (примерно 2014 г.). Новая версия (названная исследователями «Flame 2.0») включает новые механизмы шифрования и обфускации, чтобы скрыть ее функциональность.
Flame (также известный как Da Flame) был идентифицирован в мае 2012 года Центром MAHER Иранского национального CERT, Kaspersky Lab и CrySyS Lab (лаборатория of Cryptography and System Security) Будапештского технологического и экономического университета, когда «Лаборатория Касперского» попросила Международный союз электросвязи Организации Объединенных Наций расследовать сообщения о вирусе, поражающем компьютеры Министерства нефти Ирана. В ходе расследования «Лаборатория Касперского» обнаружила хэш MD5 и имя файла, которые появлялись только на компьютерах клиентов из стран Ближнего Востока. Обнаружив другие фрагменты, исследователи окрестили программу «Flame» в честь одного из основных модулей внутри инструментария [FROG.DefaultAttacks.A-InstallFlame].
По словам Касперского, Flame работала в дикой природе с минимум в феврале 2010 года. CrySyS Lab сообщила, что имя файла основного компонента наблюдалось еще в декабре 2007 года. Однако дату его создания нельзя было определить напрямую, так как даты создания модулей вредоносной программы ошибочно установлены на даты еще 1994.
Компьютерные эксперты считают его причиной атаки в апреле 2012 года, в результате которой иранские власти отключили свои нефтяные терминалы от Интернета. В то время иранское студенческое информационное агентство называло вредоносное ПО, вызвавшее атаку, «Wiper» - имя, данное ему создателем вредоносного ПО. Однако «Лаборатория Касперского» считает, что Flame может быть «совершенно отдельной инфекцией» от вредоносного ПО Wiper. Из-за размера и сложности программы - описанной как «в двадцать раз» более сложной, чем Stuxnet, лаборатория заявила, что для полного анализа может потребоваться до десяти лет.
28 Май иранский CERT объявил, что он разработал программу обнаружения и инструмент удаления для Flame и распространял их среди «избранных организаций» в течение нескольких недель. После публикации Flame в средствах массовой информации, Symantec сообщила 8 июня, что некоторые компьютеры управления и контроля Flame отправили на зараженные компьютеры команду "самоубийства", чтобы удалить все следы Flame.
По оценкам «Лаборатории Касперского» в мае 2012 года, первоначально Flame заразил около 1000 компьютеров, жертвами которых были правительственные организации, образовательные учреждения и частные лица. В то время наиболее пострадавшими странами были Иран, Израиль, Палестинские территории, Судан, Сирия, Ливан, Саудовская Аравия и Египет.
| Имя | Описание |
|---|---|
| Flame | Модули, выполняющие функции атаки |
| Boost | Модули сбора информации |
| Flask | Тип модуля атаки |
| Jimmy | Тип модуля атаки |
| Munch | Модули установки и распространения |
| Snack | Локальные модули распространения |
| Spotter | Сканирующие модули |
| Транспорт | Модули репликации |
| Euphoria | Модули утечки файлов |
| Головная боль | Параметры или свойства атаки |
Flame - это нехарактерно большая программа для вредоносных программ размером 20 мегабайт. Он частично написан на языке сценариев Lua со скомпилированным кодом C ++ и позволяет загружать другие модули атаки после первоначального заражения. Вредоносная программа использует пять различных методов шифрования и базу данных SQLite для хранения структурированной информации. Метод, используемый для внедрения кода в различные процессы, является скрытым, поскольку модули вредоносного ПО не отображаются в списке модулей, загруженных в процесс, а страницы памяти вредоносного ПО защищены с помощью READ, WRITE и EXECUTE разрешения, которые делают их недоступными для приложений пользовательского режима. Внутренний код имеет мало общего с другими вредоносными программами, но использует две из тех же уязвимостей безопасности, которые ранее использовались Stuxnet для заражения систем. Вредоносная программа определяет, какое антивирусное программное обеспечение установлено, а затем настраивает свое поведение (например, изменяя расширения имен файлов, которые оно использует), чтобы снизить вероятность обнаружения этим программным обеспечением. Дополнительные индикаторы компрометации включают действия mutex и реестра, такие как установка поддельного audio драйвера, который вредоносная программа использует для поддержания постоянной скомпрометированная система.
Flame не предназначен для автоматической деактивации, но поддерживает функцию "уничтожения", которая заставляет его удалять все следы своих файлов и операций из системы при получении модуля от ее контроллеров.
Flame был подписан с помощью поддельного сертификата якобы от центра сертификации Microsoft Enforcement Licensing Intermediate PCA. Авторы вредоносной программы идентифицировали сертификат Microsoft Terminal Server Licensing Service, который был случайно включен для подписи кода и в котором по-прежнему использовался слабый алгоритм хеширования MD5 , а затем был создан поддельный копия сертификата, который они использовали для подписи некоторых компонентов вредоносной программы, чтобы создать впечатление, что они исходят от Microsoft. Успешная атака коллизии на сертификат ранее была продемонстрирована в 2008 году, но Flame реализовал новый вариант коллизионной атаки с выбранным префиксом.
| Свойство | Значение |
|---|---|
| Версия | V3 |
| Серийный номер | 3a ab 11 de e5 2f 1b 19 d0 56 |
| Алгоритм подписи | md5RSA |
| Подпись алгоритм хеширования | md5 |
| Издатель | CN = Microsoft Root Authority, OU = Microsoft Corporation, OU = Copyright (c) 1997 Microsoft Corp. |
| Действительно с | Четверг, 10 декабря 2009 г. 11:55:35 |
| Действует до | Воскресенье, 23 октября 2016 г. 18:00:00 |
| Тема | CN = Промежуточный PCA принудительного лицензирования Microsoft, OU = Copyright (c) 1999 Microsoft Corp., O = Microsoft Corporation, L = Redmond, S = Вашингтон, C = US |
| Открытый ключ | 30 82 01 0a 02 82 01 01 00 fa c9 3f 35 cb b4 42 4c 19 a8 98 e2 f4 e6 ca c5 b2 ff e9 29 25 63 9a b7 eb b9 28 2b a7 58 1f 05 df d8 f8 cf 4a f1 92 47 15 c0 b5 e0 42 32 37 82 99 d6 4b 3a 5a d6 7a 25 2a 9b 13 8f 75 75 cb 9e 52 c6 65 ab 6a 0a b5 7f 7f 20 69 a4 59 04 2c b7 b5 eb 7f 2c 0d 82 a8 3b 10 d1 7f a3 4e 39 e0 28 2c 39 f3 78 d4 84 77 36 ba 68 0f e8 5d e5 52 e1 6c e2 78 d6 d7 c6 b9 dc 7b 08 44 ad 7d 72 ee 4a f4 d6 5a a8 59 63 f4 a0 ee f3 28 55 7d 2b 78 68 2e 79 b6 1d e6 af 69 8a 09 ba 39 88 b4 92 65 0d 12 17 09 ea 2a a4 b8 4a 8e 40 f3 74 de a4 74 e5 08 5a 25 cc 80 7a 76 2e ee ff 21 4e b0 65 6c 64 50 5c ad 8f c6 59 9b 07 3e 05 f8 e5 92 cb d9 56 1d 30 0f 72 f0 ac a8 5d 43 41 ff c9 fd 5e fa 81 cc 3b dc f0 fd 56 4c 21 7c 7f 5e ed 73 30 3a 3f f2 e8 93 8b d5 f3 cd 0e 27 14 49 67 94 ce b9 25 02 03 01 00 01 |
| Улучшить использование ключа | Подпись кода (1.3.6.1.5.5.7.3.3) . Лицензии пакета ключей (1.3.6.1.4.1.311.10.6.1). Проверка сервера лицензий (1.3.6.1.4.1.311.10.6.2) |
| Идентификатор центра | Издатель сертификата: CN = корневой центр Microsoft, OU = Microsoft Corporation, OU = Copyright (c) 1997 Microsoft Corp. | Серийный номер сертификата = 00 c1 00 8b 3c 3c 88 11 d1 3e f6 63 ec df 40 |
| Идентификатор ключа субъекта | 6a 97 e0 c8 9f f4 49 b4 89 24 b3 e3 d1 a8 22 86 aa d4 94 43 |
| Использование ключа | Цифровая подпись . Подпись сертификата. Автономная подпись CRL. Подпись CRL (86) |
| Основные ограничения | Тип темы = CA. Путь Ограничение длины = Нет |
| Алгоритм отпечатка | sha1 |
| Отпечаток | 2a 83 e9 02 05 91 a5 5f c6 dd ad 3f b1 02 79 4c 52 b2 4e 70 |
Подобно ранее известному кибероружию Stuxnet и Duqu, оно используется целенаправленно и может обходить текущее программное обеспечение безопасности с помощью функций руткита. После заражения системы Flame может распространяться на другие системы по локальной сети или через USB-накопитель. Он может записывать аудио, снимки экрана, действия клавиатуры и сетевой трафик. Программа также записывает разговоры по Skype и может превращать зараженные компьютеры в маяки Bluetooth, которые пытаются загрузить контактную информацию с расположенных поблизости устройств с поддержкой Bluetooth. Эти данные вместе с локально сохраненными документами отправляются на один из нескольких командно-управляющих серверов, разбросанных по всему миру. Затем программа ожидает дальнейших инструкций от этих серверов.
В отличие от Stuxnet, который был разработан для саботажа промышленного процесса, Flame, похоже, был написан исключительно для шпионажа. Похоже, что он не нацелен на конкретную отрасль, а скорее представляет собой «полный набор инструментов для атаки, разработанный для общих целей кибершпионажа».
Используя метод, известный как синхолинг, Касперский продемонстрировал, что » Подавляющее большинство целей «находились на территории Ирана, при этом злоумышленники особенно искали чертежи AutoCAD, файлы PDF и текстовые файлы. Эксперты в области вычислительной техники заявили, что программа, похоже, собирала технические диаграммы для разведки.
Для удаленного доступа к зараженным машинам использовалась сеть из 80 серверов в Азии, Европе и Северной Америке.
19 июня 2012 года The Washington Post опубликовала статью, в которой утверждалось, что Flame был совместно разработан Агентством национальной безопасности США, ЦРУ и израильские военные, по крайней мере, пятью годами ранее. Сообщается, что этот проект является частью засекреченных усилий под кодовым названием Олимпийские игры, которые были предназначены для сбора разведывательной информации в рамках подготовки к кампании кибер-саботажа, направленной на замедление ядерных усилий Ирана.
По словам главного эксперта по вредоносным программам «Лаборатории Касперского», «география целей, а также сложность угрозы не оставляют сомнений в том, что это национальное государство спонсировало исследования, в которые она входила». Вначале Касперский сказал, что вредоносная программа не похожа на Stuxnet, хотя, возможно, это был параллельный проект, заказанный теми же злоумышленниками. После дальнейшего анализа кода Касперский сказал, что между Flame и Stuxnet существует тесная связь; ранняя версия Stuxnet содержала код для распространения через USB-накопители, который почти идентичен модулю Flame, который эксплуатирует ту же уязвимость нулевого дня.
Иранский CERT описал шифрование вредоносной программы как имеющее «особый шаблон, который вы только видите поступает из Израиля ». The Daily Telegraph сообщила, что из-за очевидных целей Flame, в том числе Ирана, Сирии и Западного берега, Израиль стал« главным подозреваемым для многих комментаторов ». Другие комментаторы назвали Китай и США в качестве возможных преступников. Ричард Сильверстайн, комментатор, критикующий политику Израиля, утверждал, что он подтвердил «высокопоставленным израильским источником», что вредоносное ПО было создано израильскими компьютерными экспертами. The Jerusalem Post написала, что вице-премьер-министр Израиля Моше Яалон, похоже, намекнул, что его правительство несет ответственность, но представитель Израиля позже отрицал, что это было подразумевается. Неназванные представители службы безопасности Израиля предположили, что зараженные машины, обнаруженные в Израиле, могут означать, что вирус может быть прослежен до США или других западных стран. США официально отрицали ответственность.
В просочившемся документе АНБ упоминается, что рассмотрение вопроса об обнаружении Ираном ПЛАМЕНИ является совместным мероприятием АНБ и GCHQ.
