«Лаборатория Касперского» обнаружила миникибершпиона

«Лаборатория Касперского» объявила об обнаружении miniFlame – небольшой и очень гибкой вредоносной программы, предназначенной для кражи данных и управления зараженными системами в ходе точечных атак, проводимых с целью кибершпионажа.

Программа miniFlame, известная также как SPE, была обнаружена экспертами «Лаборатории Касперского» в июле 2012 года и первоначально была идентифицирована как модуль вредоносной программы Flame. В сентябре 2012 года, после изучения серверов управления Flame, стало ясно, что модуль miniFlame является интероперабельным и может применяться одновременно и в качестве автономной вредоносной программы, и в качестве плагина для вредоносных программ Flame и Gauss.

Обнаружение

miniFlame был обнаружен в ходе детального анализа вредоносных программ Flame и Gauss. В июле 2012 года эксперты «Лаборатории Касперского» выявили дополнительный модуль Gauss под кодовым названием «John» и обнаружили ссылки на аналогичный модуль в конфигурационных файлах Flame. Последующий анализ серверов управления Flame, осуществленный в сентябре 2012 года, позволил прийти к заключению, что вновь обнаруженный модуль является в действительности отдельной вредоносной программой, несмотря на то, что он может работать совместно как с Gauss, так с Flame. На серверах управления Flame программа miniFlame значилась под кодовым названием SPE.

«Лаборатория Касперского» обнаружила шесть различных вариантов miniFlame, причем все датируются 2010-2011 годами. В то же время, анализ miniFlame указывает на еще более раннюю дату начала разработки – не позднее 2007 года. Возможность использования miniFlame в качестве плагина как к Flame, так и к Gauss ясно указывает на взаимодействие между группами разработчиков, ответственных за создание этих вредоносных программ. Поскольку связь между Flame и Stuxnet/Duqu уже установлена, можно сделать вывод, что все эти программы созданы на одной и той же «фабрике кибероружия».

Функционал

Учитывая подтвержденную взаимосвязь между miniFlame, Flame, и Gauss, вероятно, что miniFlame устанавливался на компьютерах, уже зараженных Flame или Gauss. Проникнув в систему, miniFlame выполняет функции бэкдора, позволяя оператору вредоносной программы получить с зараженной машины любой файл. В число дополнительных возможностей, связанных с кражей данных, входит создание снимков экрана зараженного компьютера при работе в отдельных программах и приложениях, таких как браузеры, программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена сообщениями и FTP-клиенты. miniFlame передает украденные данные, соединившись со своим сервером управления (который может быть выделенным или общим с Flame). Кроме того, по запросу оператора сервера управления miniFlame на зараженную систему может быть загружен дополнительный модуль для кражи данных, заражающий USB-накопители и использующий их для хранения данных, собранных на зараженных машинах, в отсутствие интернет-соединения.

«miniFlame представляет собой инструмент для проведения высокоточных атак. Вероятнее всего, это кибероружие с четко обозначенными целями, применяемое в ходе того, что можно назвать второй волной кибератаки, – комментирует главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев. – Вначале используется Flame или Gauss для заражения как можно большего числа жертв и сбора значительного объема информации. После этого собранные данные анализируются, определяются и идентифицируются потенциально интересные жертвы, и уже на их компьютерах устанавливается miniFlame для осуществления углубленной слежки и кибершпионажа. Обнаружение miniFlame дало нам дополнительные доказательства взаимодействия между создателями наиболее примечательных вредоносных программ, применяемых в качестве кибероружия: Stuxnet, Duqu, Flame и Gauss».

Основные результаты исследования

  • miniFlame, известный также как SPE, основан на той же архитектурной платформе, что и Flame. Он способен функционировать как самостоятельная программа для осуществления кибершпионажа или в качестве компонента, входящего в состав как Flame, так и Gauss.
  • Этот инструмент кибершпионажа выполняет функции бэкдора, обеспечивая возможность кражи данных и непосредственного управления зараженными системами.
  • Судя по всему, разработка miniFlame началась еще в 2007 году и продолжалась до конца 2011 года. Скорее всего было создано большое число модификаций программы. На сегодняшний день «Лаборатории Касперского» удалось выявить шесть вариантов, принадлежащих двум основным поколениям: 4.x and 5.x.
  • В отличие от Flame и Gauss, на счету которых большое число заражений, количество систем, зараженных miniFlame, значительно меньше. Исходя из имеющихся у «Лаборатории Касперского» данных, число заражений находится в диапазоне от 10 до 20 машин; при этом общее число зараженных miniFlame компьютеров по всему миру оценивается в 50-60 машин.
  • Малое число компьютеров, зараженных miniFlame, в сочетании с функционалом кражи данных и гибкими возможностями применения свидетельствует о том, что вредоносная программа использовалась лишь для узкоцелевых операций, связанных с кибершпионажем и, вероятно, развертывалась на машинах, уже зараженных Flame или Gauss.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Apple может купить у Intel производство модемов для смартфона за $1 млрд

Apple ведет переговоры о приобретении бизнеса Intel по производству модемов для смартфонов. The Wall Street Journal сообщает, что сумма сделки будет «близка к $1 миллиарду или даже больше».

Еще в прошлом месяце издание The Information писало, что Apple обсуждает вопрос приобретения части бизнеса Intel, касающегося выпуска модемов для мобильных устройств.

Теперь же The Wall Street Journal пишет, что компании могут подписать соглашение уже на следующей неделе. Если только «переговоры не зайдут в тупик».

Такой шаг позволит Apple заполучить сотни инженеров и ключевых патентов Intel. Все это должно позволить техногиганту из Купертино создать собственные решения, а не заказывать их у Qualcomm.

Официальные представители Apple пока никак не прокомментировали процесс переговоров и их стадию.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru