«Лаборатория Касперского» обнаружила миникибершпиона
Новости Безопасность
«Лаборатория Касперского» объявила об обнаружении miniFlame – небольшой и очень гибкой вредоносной программы, предназначенной для кражи данных и управления зараженными системами в ходе точечных атак, проводимых с целью кибершпионажа.
Программа miniFlame, известная также как SPE, была обнаружена экспертами «Лаборатории Касперского» в июле 2012 года и первоначально была идентифицирована как модуль вредоносной программы Flame. В сентябре 2012 года, после изучения серверов управления Flame, стало ясно, что модуль miniFlame является интероперабельным и может применяться одновременно и в качестве автономной вредоносной программы, и в качестве плагина для вредоносных программ Flame и Gauss.
Обнаружение
miniFlame был обнаружен в ходе детального анализа вредоносных программ Flame и Gauss. В июле 2012 года эксперты «Лаборатории Касперского» выявили дополнительный модуль Gauss под кодовым названием «John» и обнаружили ссылки на аналогичный модуль в конфигурационных файлах Flame. Последующий анализ серверов управления Flame, осуществленный в сентябре 2012 года, позволил прийти к заключению, что вновь обнаруженный модуль является в действительности отдельной вредоносной программой, несмотря на то, что он может работать совместно как с Gauss, так с Flame. На серверах управления Flame программа miniFlame значилась под кодовым названием SPE.
«Лаборатория Касперского» обнаружила шесть различных вариантов miniFlame, причем все датируются 2010-2011 годами. В то же время, анализ miniFlame указывает на еще более раннюю дату начала разработки – не позднее 2007 года. Возможность использования miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает на взаимодействие между группами разработчиков, ответственных за создание этих вредоносных программ. Поскольку связь между Flame и Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы созданы на одной и той же «фабрике кибероружия», отмечают эксперты «Лаборатории Касперского».
Функционал
Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss, вероятно, что miniFlame устанавливался на компьютерах, уже зараженных Flame или Gauss. Проникнув в систему, miniFlame выполняет функции бэкдора, позволяя оператору вредоносной программы получить с зараженной машины любой файл. В число дополнительных возможностей, связанных с кражей данных, входит создание снимков экрана зараженного компьютера при работе в отдельных программах и приложениях, таких как браузеры, программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена сообщениями и FTP-клиенты. miniFlame передает украденные данные, соединившись со своим сервером управления (который может быть выделенным или общим с Flame). Кроме того, по запросу оператора сервера управления miniFlame на зараженную систему может быть загружен дополнительный модуль для кражи данных, заражающий USB-накопители и использующий их для хранения данных, собранных на зараженных машинах, в отсутствие интернет-соединения.
«miniFlame представляет собой инструмент для проведения высокоточных атак. Вероятнее всего, это кибероружие с четко обозначенными целями, применяемое в ходе того, что можно назвать второй волной кибератаки, – комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. – Вначале используется Flame или Gauss для заражения как можно большего числа жертв и сбора значительного объема информации. После этого собранные данные анализируются, определяются и идентифицируются потенциально интересные жертвы, и уже на их компьютерах устанавливается miniFlame для осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame дало нам дополнительные доказательства взаимодействия между создателями наиболее примечательных вредоносных программ, применяемых в качестве кибероружия: Stuxnet, Duqu, Flame и Gauss».
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
