Виявлено маленький, але шкідливий Flame
Програма miniFlame, відома також як SPE, була виявлена експертами «Лабораторії Касперського» в липні 2012 року і спочатку була ідентифікована як модуль шкідливої програми Flame. У вересні 2012 року, після вивчення серверів управління Flame, стало ясно, що модуль miniFlame є интероперабельным і може застосовуватися одночасно і в якості автономної шкідливої програми, і як плагін для шкідливих програм Flame і Гаусса.
Виявлення
miniFlame був виявлений в ході детального аналізу шкідливих програм Flame і Гаусса. У липні 2012 року експерти «Лабораторії Касперського» виявили додатковий модуль Гаус під кодовою назвою «John» і виявили посилання на аналогічний модуль в конфігураційних файлів Flame. Подальший аналіз серверів управління Flame, здійснений у вересні 2012 року, дозволив прийти до висновку, що знову відкритий модуль є насправді окремої шкідливою програмою, незважаючи на те, що він може працювати разом як з Гаус, так з Flame. На серверах управління Flame програма miniFlame значилася під кодовою назвою SPE.
«Лабораторія Касперського» знайшла шість різних варіантів miniFlame, причому всі датуються 2010-2011 роками. Водночас, аналіз miniFlame вказує на ще більш ранню дату початку розробки - не пізніше 2007 року. Можливість використання miniFlame в якості плагіна як до Flame, так і до Гаус ясно вказує на взаємодію між групами розробників, відповідальних за створення цих шкідливих програм. Оскільки зв'язок між Flame і Stuxnet/Duqu вже встановлена, можна зробити висновок, що всі ці програми створені на одній і тій же «фабриці кібероружія».
Функціонал
Враховуючи підтверджену взаємозв'язок між miniFlame, Flame, і Гаус, ймовірно, що miniFlame встановлювався на комп'ютерах, вже заражених Flame або Гаусса. Проникнувши в систему, miniFlame виконує функції бекдор, дозволяючи оператору шкідливої програми отримати з зараженої машини будь-який файл. У число додаткових можливостей, пов'язаних з крадіжкою даних, входить створення знімків екрану зараженого комп'ютера при роботі в окремих програмах і додатках, таких як браузери, програми Microsoft Office, Adobe Reader, сервіси миттєвого обміну повідомленнями і FTP-клиенты. miniFlame передає украдені дані, з'єднавшись зі своїм сервером управління (який може бути вибраним або спільним з Flame). Крім того, по запросу оператора серверу управління miniFlame на заражену систему може бути завантажений додатковий модуль для крадіжки даних, що заражає USB-накопичувачі і використовує їх для зберігання даних, зібраних на заражених машинах, у відсутність інтернет-з'єднання.
«miniFlame являє собою інструмент для проведення високоточних атак. Найімовірніше, це кибероружие з чітко визначеними цілями, застосовуване в ході того, що можна назвати другою хвилею кібератаки, - коментує головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв. - Спочатку використовується Flame або Гаус для зараження як можна більшого числа жертв і збору значного обсягу інформації. Після цього зібрані дані аналізуються, визначаються і ідентифікуються потенційно цікаві жертви, і вже на їх комп'ютерах встановлюється miniFlame для здійснення поглибленої стеження і кибершпионажа. Виявлення miniFlame дало нам додаткові докази взаємодії між творцями найбільш примітних шкідливих програм, які застосовуються в якості кібероружія: Stuxnet, Duqu, Flame і Гаус».
Основні результати дослідження
- miniFlame, відомий також як SPE, заснований на тій же архітектурної платформі, що і Flame. Він здатний функціонувати як самостійна програма для здійснення кибершпионажа або в якості компонента, що входить до складу як Flame, так і Гаусса.
- Цей інструмент кибершпионажа виконує функції бекдор, забезпечуючи можливість крадіжки даних і безпосереднього управління зараженими системами.
- Судячи з усього, розробка miniFlame почалася ще в 2007 році і тривала до кінця 2011 року. Швидше за все, було створено велику кількість модифікацій програми. На сьогоднішній день «Лабораторії Касперського» вдалося виявити шість варіантів, що належать двом основним поколінням: 4.x and 5.x.
- На відміну від Flame і Гаус, на рахунку яких велика кількість заражень, кількість систем, заражених miniFlame, значно менше. Виходячи з наявних у «Лабораторії Касперського» даних, кількість заражень знаходиться в діапазоні від 10 до 20 машин; при цьому загальне число заражених miniFlame комп'ютерів по всьому світу оцінюється в 50-60 машин.
- Мале число комп'ютерів, заражених miniFlame, в поєднанні з функціоналом крадіжки даних і гнучкими можливостями застосування свідчить про те, що шкідлива програма використовувалася лише для узкоцелевых операцій, пов'язаних з кибершпионажем і, ймовірно, развертывалась на машинах, вже заражених Flame або Гаусса.
Додаткову інформацію про miniFlame можна знайти тут.