31 мая 2012
Александр Гостев, ведущий эксперт «Лаборатории Касперского», рассказал Юлии Смирновой о новом кибервирусе. Die Welt: Каким образом вы напали на след вируса Flame? Александр Гостев: В апреле этого года несколько компьютеров Национальной иранской нефтяной компании (National Iranian Oil Company), а также нескольких иранских министерств были заражены неизвестным вирусом. Этот случай был звеном в целой цепи кибератак, в ходе которых использовались такие вирусы как Stuxnet и Duqu. Международный союз электросвязи (МСЭ) попросил нас проанализировать сложившуюся ситуацию. Мы занимались поисками вируса под названием Wiper, но вместо этого обнаружили кое-что пострашнее – Flame. - Что именно делает Flame? - Flame, как и Duqu, предназначен для похищения различных баз данных. Абсолютно новым у Flame является то, что он может применяться как аудиошпион. Вирус Flame находит микрофон на зараженном компьютере, включает его и затем записывает все проходящие в этом помещении разговоры. Записи тут же передаются на тот сервер, с которого он начал распространяться. - Flame в Иране атаковал те же объекты, что и Stuxnet? - В отличие от случая с использованием Stuxnet, спектр подверженных атаке компьютеров оказался более широким. Помимо частных лиц, среди пострадавших были университеты, а также различные предприятия. - Осуществлялась ли таким образом слежка на учеными-ядерщиками? - Мы не располагаем информацией о том, кому принадлежали зараженные компьютеры. - Стоят ли за Flame те же люди, что и за Stuxnet? - На наш взгляд, это были явно не одни и те же разработчики. При создании Flame использовался другой язык программирования, а также другая программная архитектура. Но есть и очень большое сходство. Например, то, каким образом оба вируса распространяются по внутренней сети соответствующего предприятия и USB-флешкам. Кроме того, используемые при этом пробелы в области безопасности почти идентичны. Подобные методы больше нигде не применяются. - Чем вы это объясняете? - Вероятнее всего, речь идет о двух параллельных проектах, работа над которыми велась одновременно. Разработчики Flame имели доступ к той же базе данных, где собраны пробелы в области безопасности, что и разработчики Stuxnet. Возможно также, что Flame был создан позже, и его создатели использовали уже опубликованную информацию о вирусе Stuxnet. - Кто может стоять за этой программой? - Вирус Flame - намного сложнее, и объем его кодов в 20 раз больше, чем у Stuxnet. Flame используется уже с 2010 года, и его авторы постоянно разрабатывали все новые модули, управляли серверами, и вручную собирали информацию с сотен компьютеров. Это совсем не простая задача. Я считаю, что только в разработке этого вируса принимали участие от 10 до 20 программистов, и к этому следует еще добавить обслуживающий персонал для серверов. Я не думаю, что на это способна какая-либо из известных групп киберпреступников. Мы считаем Flame, а также Stuxnet и Duqu, кибероружием, которое было разработано государствами. Но у нас нет однозначных доказательств того, что какое-то конкретное государство принимало участие в его разработке. - Где расположены те серверы, на которые посылались похищенные данные? - У нас под подозрением находятся по меньшей мере 80 серверов, которые использовались вирусом Flame. Они расположены в различных странах – в Германии, Турции, Италии, Вьетнаме. До вчерашнего дня особенно активно использовались четыре сервера, но после того, как мы сообщили общественности о новом вирусе, эти четыре сервера были очищены. - Откуда велось управление этими серверами? - Те люди, которые запускали новый вирус, не обязательно должны были находиться в то же стране, в котором физически расположены серверы. В последние полтора месяца его операторы несколько раз меняли место нахождения серверов. Когда мы обнаружили вирус, самые важные серверы располагались в Турции, а через несколько дней они оказались уже в Германии. - Вы когда-нибудь получали заказы из Ирана? - Нет, отношения с Ираном - очень сложные. При анализе Stuxnet и Duqu нам понадобился контакт с жертвами нападения в Иране. Но это очень закрытая страна. Ни на один наш запрос мы не получили ответа. Мы могли бы обнаружить больше вирусов, если бы Иран сотрудничал с нами.
Источник:
ИНОСМИ
Поделиться:
Комментарии
Только зарегистрированные пользователи могут оставлять комментарий