«Лабораторія Касперського» виявила мінікібершпіона

«Лабораторія Касперського» оголосила про виявлення miniFlame – невеликий і дуже гнучкою шкідливої програми, призначеної для крадіжки даних і управління зараженими системами в ході точкових атак, що проводяться з метою кібершпіонажу.

Програма miniFlame, відома також як SPE, була виявлена експертами «Лабораторії Касперського» в липні 2012 року і спочатку була ідентифікована як модуль шкідливої програми Flame. У вересні 2012 року, після вивчення серверів управління Flame, стало ясно, що модуль miniFlame є інтероперабельності і може застосовуватися одночасно і в якості автономної шкідливої програми, і в якості плагіна для шкідливих програм Flame і Gauss.

miniFlame був виявлений в ході детального аналізу шкідливих програм Flame і Gauss. У липні 2012 року експерти «Лабораторії Касперського» виявили додатковий модуль Gauss під кодовою назвою «John» і виявили посилання на аналогічний модуль в конфігураційних файлах Flame.

Подальший аналіз серверів управління Flame, здійснений у вересні 2012 року, дозволив прийти до висновку, що знову виявлений модуль є насправді окремої шкідливою програмою, незважаючи на те, що він може працювати спільно як з Gauss, так і з Flame. На серверах управління Flame програма miniFlame значилася під кодовою назвою SPE.

«Лабораторія Касперського» виявила шість різних варіантів miniFlame, причому всі датуються 2010-2011 роками. У той же час аналіз miniFlame вказує на ще більш ранню дату початку розробки – не пізніше 2007 року.

Можливість використання miniFlame в якості плагіна як до Flame, так і до Gauss ясно вказує на взаємодію між групами розробників, відповідальних за створення цих шкідливих програм. Оскільки зв’язок між Flame і Stuxnet / Duqu вже встановлена, можна зробити висновок, що всі ці програми створені на одній і тій же «фабриці кіберзброї».

Враховуючи підтверджену взаємозв’язок між miniFlame, Flame і Gauss, ймовірно, що miniFlame встановлювався на комп’ютерах, вже заражених Flame або Gauss. Проникнувши в систему, miniFlame виконує функції бекдора, дозволяючи оператору шкідливої програми отримати із зараженої машини будь-який файл.

У число додаткових можливостей, пов’язаних з крадіжкою даних, входить створення знімків екрану зараженого комп’ютера при роботі в окремих програмах і додатках, таких як браузери, програми Microsoft Office, Adobe Reader, сервіси миттєвого обміну повідомленнями і FTP-клієнти. miniFlame передає вкрадені дані, з’єднавшись зі своїм сервером управління (який може бути виділеним або спільним з Flame). Крім того, за запитом оператора сервера управління miniFlame на заражену систему може бути завантажений додатковий модуль для крадіжки даних, що заражає USB-накопичувачі і використовує їх для зберігання даних, зібраних на заражених машинах, в відсутність інтернет-з’єднання.

«MiniFlame являє собою інструмент для проведення високоточних атак. Найімовірніше, це кіберзброя з чітко позначеними цілями, що застосовується в ході того, що можна назвати другою хвилею кібератаки, – коментує головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв. – Спочатку використовується Flame або Gauss для зараження якомога більшого числа жертв та збору значного обсягу інформації.

Після цього зібрані дані аналізуються, визначаються і ідентифікуються потенційно цікаві жертви, і вже на їх комп’ютерах встановлюється miniFlame для здійснення поглибленої стеження і кібершпіонажу. Виявлення miniFlame дало нам додаткові докази взаємодії між творцями найбільш примітних шкідливих програм, що застосовуються в якості кіберзброї: Stuxnet, Duqu, Flame і Gauss ».

It is main inner container footer text