Сложнее некуда Иран стал жертвой неизвестного компьютерного вируса

28 мая "Лаборатория Касперского" ("ЛК") рассказала о вирусе Flame, ворующем конфиденциальную информацию с компьютеров в странах Ближнего Востока. Антивирусная компания заявила, что Flame является "возможно, самым сложным" вирусом и похож по своим функциям на нашумевшие трояны Stuxnet и Duqu, атаковавшие Иран в 2010 и 2011 годах. В этот раз главной жертвой вируса также стал Иран.

Угроза

Flame был обнаружен случайно после того, как к "ЛК" за помощью обратились представители Международного союза электросвязи (ITU), подразделения ООН. ITU попросил компанию найти странный вирус, стирающий данные с ближневосточных компьютеров.

"ЛК" никаких подробностей о зловредной программе, получившей кодовое название Wiper, выяснить не смогла, зато наткнулась на Flame. Этот вирус "гуманнее": он ничего не удаляет и не портит, зато внимательно изучает содержимое зараженного компьютера и всего, что находится рядом. Flame не только отправляет на удаленный сервер документы, почту и другую информацию с жесткого диска, но и снимает скриншоты с экрана (причем умеет это делать только в "нужные" моменты, например, когда запущена "аська"), записывает звук с микрофона, изучает и по возможности заражает компьютеры из сетевого окружения и так далее.

Список этих "и так далее" открыт: вирус имеет 20 модулей, причем функции некоторых из них еще не изучены. Забравшись в компьютер, троян загружает с командного сервера нужные модули (утверждается, что их набор варьируется от случая к случаю) и начинает свое тайное дело. При этом, отмечают в "ЛК", Flame по команде с сервера может полностью удалить следы своего пребывания на компьютере.

Всего в отчете "ЛК" указано более 600 "жертв" (по всей видимости, речь идет о 600 компьютерах) в ряде стран, включая Иран, Египет, Судан, Сирию, Ливан и Израиль, оказавшийся в связке с Палестинской автономией. Причиной создания вируса эксперты российской компании назвали "систематический сбор информации" о деятельности некоторых ближневосточных стран.

Однако больше всего "жертв" (вероятно, в этом случае речь идет уже о компаниях) находится на территории Ирана: 189 против 98 у ближайшего "конкурента" в виде связки Израиль - Палестинская автономия. Этого обстоятельства с учетом опыта Stuxnet и Duqu хватило для того, чтобы Flame превратился из "антиближневосточного" в "антииранский" вирус. Исламская республика же стала и главным борцом с трояном.

Иранский Центр по противодействию киберугрозам (CERT) Maher моментально отреагировал и объявил, что он уже давно следил за Flame, а в первых числах мая "противоядие" было готово и его получили некоторые местные организации. Ни один из 43 испробованных "обычных" антивирусов, заверили в CERT, вирус не обнаруживает.

Спустя пару дней иранские киберборцы выпустили антивирус, снабдив его подробными инструкциями по удалению следов Flame вручную (для недоверчивых). Подхватив тренд, "ЛК" начала публикацию серии постов в своем блоге с описанием функций вируса. В первой же записи компания указала, что для уверенной защиты достаточно установить один из ее антивирусных пакетов. Подробный и сугубо технический анализ (pdf) трояна представил и Будапештский университет технологий и экономики.

Сам по себе вирус, по крайней мере, на данном этапе, можно считать побежденным. Но вот на выяснение того, кто же стоит за его созданием, могут уйти месяцы, а то и годы, уверены в "ЛК". Еще в первом обзоре компания заявила: Flame - дело рук властей какой-либо из стран. К такому выводу она пришла после недлинной цепочки рассуждений.

Вирусы, сообщала "ЛК", создают либо независимые группы хакеров, либо киберпреступники, либо власти. Но задачи красть банковские данные перед "самым сложным" трояном не стояла, значит киберпреступники ни при чем. Из-за высокой "сложности" вируса отметаются и "рядовые" хакеры. Остаются только власти, у которых есть ресурсы для долговременной разработки таких продуктов: на один только Duqu, по оценкам "ЛК", могло уйти до четырех лет, а Flame, предположительно, создавался параллельно с ним.

Создатели

Главных врагов у Ирана, как известно, два: США и Израиль. Анонимный источник NBC, связанный с американскими властями, заявил, что за созданием вируса действительно стоят США. Эксперты издания подхватили эту версию и сделали несложное умозаключение: Америка таким образом борется с ядерной программой Ирана. Официальный Вашингтон, естественно, свою причастность к появлению Flame опроверг.

Но масла в огонь подлил вице-премьер Израиля Моше Яалон, который в интервью местному радио не исключил участия двух стран в создании трояна. "Я могу представить, что каждый, кто видит в ядерной программе Ирана ключевую угрозу, - и это не только Израиль, но и весь западный мир во главе с США, - способен использовать любую доступную возможность навредить программе, включая и эту," - заявил он, говоря о вирусе. Однако вскоре представители израильских властей подчеркнули, что из интервью не следует, будто их страна за что-то там ответственна.

Не были найдены и виновники создания двух других "антииранских" вирусов: Stuxnet, который в 2010 году смог отбросить развитие ядерной программы в стране на два года назад, и Duqu, которого называют "потомком" Stuxnet. Второй действовал в 2011 году и был направлен не на совершение диверсий, а на кражу конфиденциальной информации.

В 2011 году в создании и распространении вируса-"диверсанта" Тегеран обвинял США, а чуть раньше появились косвенные свидетельства того, что к разработке Stuxnet причастен Израиль.

В этот раз Иран не спешит с обвинениями в чей-либо адрес. Власти страны заявили, что целью Flame была нефтяная система страны, но большого вреда он не принес. Заявление это, впрочем, может оказаться блефом: в отчете "ЛК" утверждается, что первые следы активности трояна относятся еще к 2010 году, а каких-либо конкретных целей у него не было. "Жертвами", отмечала компания, становились как государственные учреждения, так и обычные пользователи компьютеров, на которых установлены операционные системы семейства Windows.

Лента добра деактивирована.
Добро пожаловать в реальный мир.
Бонусы за ваши реакции на Lenta.ru
Как это работает?
Читайте
Погружайтесь в увлекательные статьи, новости и материалы на Lenta.ru
Оценивайте
Выражайте свои эмоции к материалам с помощью реакций
Получайте бонусы
Накапливайте их и обменивайте на скидки до 99%
Узнать больше