Мини-версия вируса Flame
🕛 16.10.2012, 12:17
Эксперты пока выясняют масштаб распространения вредоносной программы и существование спровоцированных ею инцидентов. Эксперты «Лаборатории Касперского» сообщили об обнаружении нового вируса, некоторые части кода которого имеют связь с обнаруженными ранее образцами кибероружия Flame и Gaus.
«Вредоносная программа SPE, которую мы называем miniFlame, представляет собой небольшой по размеру полнофункциональный шпионский модуль, предназначенный для кражи информации и непосредственного доступа к зараженной системе. В отличие от Flame и Gauss, которые использовались для крупномасштабных шпионских операций с заражением тысяч пользователей, miniFlame/SPE – инструмент для хирургически-точных атак», - сообщают специалисты.
По словам экспертов, вредоносный код SPE или miniFlame является бэкдором, позволяющим злоумышленникам получать удаленный контроль над зараженной компьютерной системой. Все получаемые вирусом команды шифруются стандартным алгоритмом XOR с 10-байтовым ключом, а также дополнительным уровнем шифрования Twofish.
В ходе исследования эксперты установили, что программные компоненты miniFlame разрабатывались параллельно с протоколами работы для Flame и Gauss, что наводит на мысль о совместном создании вредоносных программ, начиная, как минимум с 2007 года. Исследователи обнаружили, по крайней мере, 6 образцов программы miniFlame, разработанных в 2010-2011 годах.
Также исследователи определили, что злоумышленники используют miniFlame для проведения целевых атак на конкретные объекты инфраструктуры, тогда как Flame и Gauss использовались для массового инфицирования различных компьютерных систем.
Присутствие miniFlame было замечено всего в нескольких системах в Западной Азии. «В отличие от Flame, который в подавляющем числе инцидентов был обнаружен в Иране и Судане, а также в отличие от Gauss, который присутствовал в основном в Ливане, SPE не имеет явно выраженной географической привязки к какой-то одной стране. Скорее, мы склонны констатировать, что страны варьируются в зависимости от варианта SPE. Так, например, модификация “4.50” больше распространена в Ливане и Палестине, в то время как другие варианты присутствуют в Иране, Кувейте и Катаре», - резюмировали исследователи.
По словам специалистов, им пока не удалось установить способ первичного инфицирования, однако результаты исследования наводят на мысль, что образец SPE устанавливается на системы, ранее инфицированные вредоносными кодами Flame или Gauss.
Подробнее с результатами исследования «Лаборатории Касперского» можно ознакомиться здесь.