„Kaspersky Lab“ paskelbė aptikusi miniFlame – nedidelę ir labai lanksčią kenkėjišką programą, skirtą vogti duomenis ir valdyti užkrėstas sistemas per kibernetinio šnipinėjimo metu atliekamas taškines atakas.
„Kaspersky Lab“ paskelbė aptikusi miniFlame – nedidelę ir labai lanksčią kenkėjišką programą, skirtą vogti duomenis ir valdyti užkrėstas sistemas per kibernetinio šnipinėjimo metu atliekamas taškines atakas.
Modulį miniFlame, taip pat žinomą kaip SPE, „Kaspersky Lab“ ekspertai aptiko 2012 m. liepą, iš pradžių ji buvo atpažinta kaip kenkėjiškos programos Flame modulis. 2012 m. rugsėjį atlikus Flame serverių valdymo tyrimą paaiškėjo, kad miniFlame modulis yra interoperabelinis ir gali būti naudojamas tuo pačiu metu ir kaip savarankiška kenkėjiška programa, ir kaip prisijungimas (plaginas) prie kenkėjiškų programų Flame ir Gauss.
Aptikimas
Modulis miniFlame aptiktas per detalų kenkėjiškų programų Flame ir Gauss tyrimą. 2012 m. liepą „Kaspersky Lab“ ekspertai pastebėjo papildomą modulį Gauss, kodiniu pavadinimu John, ir nuorodas į analogišką konfigūracinių Flame failų modulį. 2012 m. rugsėjo Flame serverių valdymo tyrimas leido padaryti išvadą, kad naujasis modulis iš tikrųjų yra savarankiška kenkėjiška programa, nors gali kartu veikti ir su Gauss, ir su Flame. Flame serveriuose miniFlame programa buvo pažymėta kodiniu pavadinimu SPE.
„Kaspersky Lab“ aptiko šešis skirtingus miniFlame variantus, datuojamus 2010–2011 m. Tuo pat metu miniFlame tyrimas rodo dar ankstesnę darbo su moduliu pradžios datą – ne vėliau kaip 2007 m. Galimybė taikyti miniFlame kaip prisijungimą (plaginą) ir prie Flame, ir prie Gauss aiškiai rodo, kad kenkėjiškų programų kūrėjų grupės bendradarbiavo. Kadangi ryšys tarp Flame ir Stuxnet/Duqu jau nustatytas, galima teigti, kad visos šios programos sukurtos tame pačiame „kibernetinių ginklų fabrike“.
Funkcionalas
Turint omenyje miniFlame, Flame ir Gauss tarpusavio ryšį galima manyti, kad miniFlame buvo diegiamas jau Flame arba Gauss užkrėstuose kompiuteriuose. Patekęs į sistemą miniFlame atlieka BackDoor programos funkciją ir leidžia kenkėjiškos programos operatoriui gauti bet kurį failą iš užkrėsto kompiuterio. Tarp papildomų duomenų vagystės galimybių – užkrėsto kompiuterio ekrano nuotraukų kūrimas, kai dirbama su atskiromis programomis arba priedais, tokiomis kaip paieškos sistemos, Microsoft Office, Adobe Reader programos, momentalaus žinučių apsikeitimo sistemos ir FTP klientai. miniFlame perduoda pavogtus duomenis susijungęs su savo valdymo serveriu (kuris gali būti atskiras arba bendras su Flame). Be to, miniFlame serverio užkrėstos sistemos valdymo operatoriui užklausus gali būti pakrautas papildomas modulis duomenims vogti, užkrečiantis atminties USB nešiklius ir naudojantis juos iš užkrėstų kompiuterių surinktiems duomenims saugoti, kai nėra interneto ryšio.
„Programa miniFlame – tai instrumentas labai taiklioms atakoms vykdyti. Panašu, kad tai aiškių tikslų turintis kibernetinis ginklas, taikomas per vadinamąją antrąją kibernetinės atakos bangą, – komentuoja Aleksandras Gostevas, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas. – Iš pradžių stengiamasi Flame arba Gauss užkrėsti kuo daugiau aukų ir surinkti kuo daugiau informacijos. Vėliau surinkti duomenys analizuojami, nustatomos bei identifikuojamos potencialiai įdomios aukos – tada jau jų kompiuteriuose gilesniam sekimui ir kibernetiniam šnipinėjimui diegiamas miniFlame. Aptikę miniFlame gavome papildomų įrodymų apie populiariausių kenkėjiškų programų – Stuxnet, Duqu, Flame ir Gauss – kūrėjų bendradarbiavimą.“
Pagrindiniai tyrimo rezultatai
- miniFlame, arba SPE, sukurtas tos pačios architektūrinės platformos pagrindu kaip ir Flame. Jis gali veikti kaip savarankiška kibernetinio šnipinėjimo programa arba kaip Flame bei Gauss komponentas.
- Šis kibernetinio šnipinėjimo instrumentas atlieka BackDoor programos funkcijas ir leidžia pavogti duomenis bei tiesiogiai valdyti užkrėstas sistemas.
- Faktai rodo, kad miniFlame kurtas nuo 2007 m. iki 2011 m. pabaigos. Tikriausiai buvo sukurtas didelis programos modifikacijų skaičius. Iki šiol „Kaspersky Lab“ pavyko aptikti šešis variantus, priklausančius dviem pagrindinėms kartoms: 4.x ir 5.x.
- Skirtingai nei Flame ir Gauss, kurie pasižymi dideliu užkrėtimo skaičiumi, miniFlame užkrėstų sistemų skaičius žymiai mažesnis. Remiantis „Kaspersky Lab“ turimais duomenimis, užkrėstų kompiuterių skaičius svyruoja nuo 10 iki 20; o bendras miniFlame užkrėstų kompiuterių skaičius visame pasaulyje – 50–60.
- Nedidelis miniFlame užkrėstų kompiuterių kiekis kartu su duomenų vogimo ir lanksčiomis naudojimo galimybėmis liudija, kad kenkėjiška programa buvo naudojama tik siaurais tikslais, susijusiais su kibernetiniu šnipinėjimu, ir greičiausiai buvo diegiama jau Flame arba Gauss užkrėstuose kompiuteriuose.