Main menu

«Лаборатория Касперского» доводит до сведения казахстанских пользователей, что её специалистами обнаружен мини-кибершпион — miniFlame — небольшая и очень гибкая вредоносная программа, предназначенная для кражи данных и управления заражёнными системами в ходе точечных атак, проводимых с целью кибершпионажа.

 

Программа miniFlame, известная также как SPE, была обнаружена экспертами «Лаборатории Касперского» в июле 2012 года и первоначально была идентифицирована как модуль вредоносной программы Flame. В сентябре 2012 года, после изучения серверов управления Flame, стало ясно, что модуль miniFlame является интероперабельным и может применяться одновременно и в качестве автономной вредоносной программы, и в качестве плагина для вредоносных программ Flame и Gauss.

Обнаружение

miniFlame был обнаружен в ходе детального анализа вредоносных программ Flame и Gauss. В июле 2012 года эксперты «Лаборатории Касперского» выявили дополнительный модуль Gauss под кодовым названием John и обнаружили ссылки на аналогичный модуль в конфигурационных файлах Flame. Последующий анализ серверов управления Flame, осуществленный в сентябре 2012 года, позволил прийти к заключению, что вновь обнаруженный модуль является в действительности отдельной вредоносной программой, несмотря на то, что он может работать совместно как с Gauss, так и с Flame. На серверах управления Flame программа miniFlame значилась под кодовым названием SPE.

«Лаборатория Касперского» обнаружила шесть различных вариантов miniFlame, причём все датируются2010-2011 годами. В то же время, анализ miniFlame указывает на ещё более раннюю дату начала разработки — не позднее 2007 года. Возможность использования miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает на взаимодействие между группами разработчиков, ответственных за создание этих вредоносных программ. Поскольку связь между Flame и Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы созданы на одной и той же «фабрике кибероружия».

Функционал

Учитывая подтверждённую взаимосвязь между miniFlame, Flame и Gauss, вероятно, что miniFlame устанавливался на компьютерах, уже заражённых Flame или Gauss. Проникнув в систему, miniFlame выполняет функции бэкдора, позволяя оператору вредоносной программы получить с заражённой машины любой файл. В число дополнительных возможностей, связанных с кражей данных, входит создание снимков экрана заражённого компьютера при работе в отдельных программах и приложениях, таких как браузеры, программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена сообщениями и FTP-клиенты. miniFlame передаёт украденные данные, соединившись со своим сервером управления (который может быть выделенным или общим с Flame).

Кроме того, по запросу оператора сервера управления miniFlame на заражённую систему может быть загружен дополнительный модуль для кражи данных, заражающий USB-накопители и использующий их для хранения данных, собранных на заражённых машинах, в отсутствие интернет-соединения.

«miniFlame представляет собой инструмент для проведения высокоточных атак. Вероятнее всего, это кибероружие с чётко обозначенными целями, применяемое в ходе того, что можно назвать второй волной кибератаки, — комментирует главный антивирусный эксперт "Лаборатории Касперского" Александр Гостев. — Вначале используется Flame или Gauss для заражения как можно большего числа жертв и сбора значительного объёма информации. После этого собранные данные анализируются, определяются и идентифицируются потенциально интересные жертвы, и уже на их компьютерах устанавливается miniFlame для осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame дало нам дополнительные доказательства взаимодействия между создателями наиболее примечательных вредоносных программ, применяемых в качестве кибероружия: Stuxnet, Duqu, Flame и Gauss».

Основные результаты исследования

— miniFlame, известный также как SPE, основан на той же архитектурной платформе, что и Flame. Он способен функционировать как самостоятельная программа для осуществления кибершпионажа или в качестве компонента, входящего в состав как Flame, так и Gauss.

— Этот инструмент кибершпионажа выполняет функции бэкдора, обеспечивая возможность кражи данных и непосредственного управления заражёнными системами.

— Судя по всему, разработка miniFlame началась ещё в 2007 году и продолжалась до конца 2011 года. Скорее всего, было создано большое число модификаций программы. На сегодняшний день «Лаборатории Касперского» удалось выявить шесть вариантов, принадлежащих двум основным поколениям: 4.x and 5.x.

— В отличие от Flame и Gauss, на счету которых большое число заражений, количество систем, заражённых miniFlame, значительно меньше. Исходя из имеющихся у «Лаборатории Касперского» данных, число заражений находится в диапазоне от 10 до 20 машин; при этом общее число заражённых miniFlame компьютеров по всему миру оценивается в 50-60 машин.

— Малое число компьютеров, заражённых miniFlame, в сочетании с функционалом кражи данных и гибкими возможностями применения свидетельствует о том, что вредоносная программа использовалась лишь для узкоцелевых операций, связанных с кибершпионажем и, вероятно, развёртывалась на машинах, уже заражённых Flame или Gauss.