Анализируя «знаковые» угрозы, можно отметить, что с 2010 года были обнаружены следующие вредоносные программы с ярлыком «кибероружие»:
В добавок к ним несколько образцов поменьше калибром:
Краткие характеристики
Специалисты Dell SecureWorks считают, что сходство некоторых элементов вредоносных программ Stuxnet и Duqu является случайностью. Аналогичные методы применяются в других образцах ВПО. Тема сравнения Stuxnet и Duqu раскрыта здесь. Со связью Gauss и Flame вообще связан курьезный случай. Сотрудники Kaspesky Lab организовали sinkhole маршрутизатор. Упрощённо, речь идёт о создании поддельных управляющих центров, которые вредоносные программы начинают воспринимать как свои. Таким образом, становится возможным оценить масштабы заражений и их географическое распределение путем анализа IP адресов входящих соединений. В отдельных случаях это даже позволяет перехватить управление и дать команду на самоуничтожение, что, впрочем, редкость. На sinkhole маршрутизатор завели на него трафик с Gauss и Flame. А специалисты компании FireEye, обнаружив, что Gauss и Flame обращаются к одному и тому же серверу, сделала вывод, что за разработкой данных ВПО стоят одни и те же люди. Чуть позднее FireEye принесла публичные извинения за свою ошибку и введение в заблуждение.
Таким образом, все попытки связать между собой Stuxnet, Duqu, Flame и Gauss не очень впечатляют. К тому же было бы слишком затратно разрабатывать для разных операций новый образец ВПО, достаточно было бы изменить уже имеющееся для устранения возможности детектирования антивирусными средствами и нарастить функционал модулями. Вполне вероятно, что мы наблюдаем лишь верхушку айсберга событий, происходящих на Ближнем Востоке, и данные ВПО разработаны разными странами или организациями, не связанными между собой. На арене кибервойн можно выделить следующих ключевых игроков: США, Китай, Россия, Израиль, Южная Корея. К тому же видно, что здесь подключились и местные игроки — некоторые образцы ВПО написаны на Deplhi (Madi, Shamoon, Narilam), что является показателем недостаточно профессиональной работы, однако они с успехом выполняют свои задачи по сбору и удалению информации.
Резюме:
Но в любом случае, несмотря на все передергивания антивирусных компаний, мы с интересом будем следить за процессом развития кибероружия.
- июль 2010 — Stuxnet, обнаружен ВирусБлокАда;
- октябрь 2011 — Duqu, обнаружен Kaspersky Lab;
- март 2012 — Wiper, Kaspersky Lab обнаружил следы;
- апрель 2012 — Flame, обнаружен Kaspersky Lab;
- август 2012 — Gauss, обнаружен Kaspersky Lab;
- октябрь 2012 — MiniFlame, обнаружен Kaspersky Lab.
В добавок к ним несколько образцов поменьше калибром:
- июль 2012 — Madi, обнаружен Kaspersky Lab;
- август 2012 — Shamoon, обнаружен Kaspersky Lab;
- ноябрь 2012 — Narilam, обнаружен Symantec.
Краткие характеристики
| ВПО | Stuxnet | Duqu | Flame | Gauss |
| Дата обнаружения | июль 2010 | сентябрь 2011 | май 2012 | август 2012 |
| Количество заражений (по данным KSN) | около 180 тысяч | около 20 | около 700 | около 2500 |
| Где больше всего было заражений | Индия, Индонезия, Иран | Иран, Индия, Судан, Вьетнам, Франция, Нидерланды, Швейцария, Украина, Австрия, Венгрия, Индонезия, Великобритания (по данным Symantec) | Иран, Израиль | Ливан, Израиль, Палестина |
| Первоначальный вектор заражения | неизвестен (возможно, USB Flash); | через документ Microsoft Word, адресно отправляемый по электронной почте интересуемым людям | неизвестен, имеется метод распространения через поддельный механизм обновления Windows, подпись Microsoft позволяет инсталлироваться без предупредждений | неизвестен |
| Метод запуска при загрузке компьютера | загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти | загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти | основной модуль регистрируется в качестве LSA Authentication Package | изменяет запись в реестре, отвечающую за загрузку подсистемы wbem, на себя и потом вызывает оригинальную библиотеку wbem |
| Среда разработки (язык) | Visual Studio (основной модуль) | Visual Studio, основной модуль написан с применением объектной надстройки над языком Си | С++, часть кода написана на интерпретируемом языке Lua | С++ |
| Использование цифровой подписи | Realtek | C-Media (возможно, JMicron) | Microsoft (сертификат создан путем подбора коллизии MD5) | нет |
| Отличительные особенности | основной модуль содержит несколько компонентов в виде ресурсов | контейнерная структура — матрешка | большой размер — порядка 20 Mb, использование большого количества стороннего кода | использование «полезной нагрузки», расшифровываемой только в случае наличия на компьютере заданного пути (path) |
| Функционал | поиск и передача файлов, внедрение в систему SCADA Siemens WinCC | поиск и передача файлов, отслеживание нажатий на клавиатуру, сбор данных о сетевой инфраструктуре | поиск и передача файлов, запись речевой информации, использование bluetooth перехвата информации с других устройств | поиск и передача файлов, перехват паролей систем дистанционного банковского обслуживания Ближнего Востока, перехват паролей в социальных сетях, почтовых сервисах и системах мгновенного обмена сообщениями |
| Цель | нарушение функционирования системы SCADA Siemens WinCC | шпионаж и подготовка данных для последующего внедрения в сетевую инфраструктуру | шпионаж | воздействие на социальную обстановку |
| Сходство с другим ВПО | метод запуска похож на аналогичный в Duqu, использование в версии 2009 года модуля заражения USB аналогичного Flame | метод запуска похож на аналогичный в Stuxnet | использование модуля заражения USB аналогичного Stuxnet версии 2009 года, множество модулей c расширением OCX как у Gauss | множество модулей c расширением OCX как у Flame |
| Предположительный год разработки | 2009 | 2008 | 2006 | 2011 |
Специалисты Dell SecureWorks считают, что сходство некоторых элементов вредоносных программ Stuxnet и Duqu является случайностью. Аналогичные методы применяются в других образцах ВПО. Тема сравнения Stuxnet и Duqu раскрыта здесь. Со связью Gauss и Flame вообще связан курьезный случай. Сотрудники Kaspesky Lab организовали sinkhole маршрутизатор. Упрощённо, речь идёт о создании поддельных управляющих центров, которые вредоносные программы начинают воспринимать как свои. Таким образом, становится возможным оценить масштабы заражений и их географическое распределение путем анализа IP адресов входящих соединений. В отдельных случаях это даже позволяет перехватить управление и дать команду на самоуничтожение, что, впрочем, редкость. На sinkhole маршрутизатор завели на него трафик с Gauss и Flame. А специалисты компании FireEye, обнаружив, что Gauss и Flame обращаются к одному и тому же серверу, сделала вывод, что за разработкой данных ВПО стоят одни и те же люди. Чуть позднее FireEye принесла публичные извинения за свою ошибку и введение в заблуждение.
Таким образом, все попытки связать между собой Stuxnet, Duqu, Flame и Gauss не очень впечатляют. К тому же было бы слишком затратно разрабатывать для разных операций новый образец ВПО, достаточно было бы изменить уже имеющееся для устранения возможности детектирования антивирусными средствами и нарастить функционал модулями. Вполне вероятно, что мы наблюдаем лишь верхушку айсберга событий, происходящих на Ближнем Востоке, и данные ВПО разработаны разными странами или организациями, не связанными между собой. На арене кибервойн можно выделить следующих ключевых игроков: США, Китай, Россия, Израиль, Южная Корея. К тому же видно, что здесь подключились и местные игроки — некоторые образцы ВПО написаны на Deplhi (Madi, Shamoon, Narilam), что является показателем недостаточно профессиональной работы, однако они с успехом выполняют свои задачи по сбору и удалению информации.
Резюме:
- антивирусные компании излишне «раздувают» тему кибервойн, манипулируя фактами. Делают они это для расширения рынков сбыта. Лучше бы рассказали, как замечательно работают все их эвристические методы, проактивные защиты и песочницы, если ВПО годами делает свою «черную» работу;
- не доверяйте новостным сайтам, там тоже украшательств много. В идеале неплохо читать статьи в оригинале, но не все же хорошо владеют английским языком, да и поиск первоисточников тоже требует определенной доли терпения.
Но в любом случае, несмотря на все передергивания антивирусных компаний, мы с интересом будем следить за процессом развития кибероружия.
