Российская компания, занимающаяся антивирусной защитой, обнаружила новую шпионскую программу под названием Flame. Александр Гостев, ведущий эксперт "Лаборатории Касперского", рассказал Юлии Смирновой о новом кибервирусе.

Die Welt: Каким образом вы напали на след вируса  Flame?

Александр Гостев: В апреле этого года несколько компьютеров Национальной иранской нефтяной компании (National Iranian Oil Company), а также нескольких иранских министерств были заражены неизвестным вирусом. Этот случай был звеном в целой цепи кибератак, в ходе которых использовались такие вирусы как Stuxnet и Duqu. Международный союз электросвязи (МСЭ) попросил нас проанализировать сложившуюся ситуацию. Мы занимались поисками вируса под названием Wiper, но вместо этого обнаружили кое-что пострашнее – Flame.

- Что именно делает Flame?

- Flame, как и Duqu, предназначен для похищения различных баз данных. Абсолютно новым у Flame является то, что он может применяться как аудиошпион. Вирус Flame находит микрофон на зараженном компьютере, включает его и затем записывает все проходящие в этом помещении разговоры. Записи тут же передаются на тот сервер, с которого он начал распространяться.

- Flame в Иране атаковал те же объекты, что и Stuxnet?

- В отличие от случая с использованием Stuxnet, спектр подверженных атаке компьютеров оказался более широким. Помимо частных лиц, среди пострадавших были университеты, а также различные предприятия.

- Осуществлялась ли таким образом слежка на учеными-ядерщиками?

- Мы не располагаем информацией о том, кому принадлежали зараженные компьютеры.

Александр Гостев. Фото securitylab.ru

- Стоят ли за Flame те же люди, что и за Stuxnet?

- На наш взгляд, это были явно не одни и те же разработчики. При создании Flame использовался другой язык программирования, а также другая программная архитектура. Но есть и очень большое сходство. Например, то, каким образом оба вируса распространяются по внутренней сети соответствующего предприятия и USB-флешкам. Кроме того, используемые при этом пробелы в области безопасности почти идентичны. Подобные методы больше нигде не применяются.

- Чем вы это объясняете?

- Вероятнее всего, речь идет о двух параллельных проектах, работа над которыми велась одновременно. Разработчики Flame имели доступ к той же базе данных, где собраны пробелы в области безопасности, что и разработчики Stuxnet. Возможно также, что Flame был создан позже, и его создатели использовали уже опубликованную информацию о вирусе Stuxnet.

- Кто может стоять за этой программой?

- Вирус Flame - намного сложнее, и объем его кодов в 20 раз больше, чем у Stuxnet. Flame используется уже с 2010 года, и его авторы постоянно разрабатывали все новые модули, управляли серверами, и вручную собирали информацию с сотен компьютеров. Это совсем не простая задача. Я считаю, что только в разработке этого вируса принимали участие от 10 до 20 программистов, и к этому следует еще добавить обслуживающий персонал для серверов. Я не думаю, что на это способна какая-либо из известных групп киберпреступников. Мы считаем Flame, а также Stuxnet и Duqu, кибероружием, которое было разработано государствами. Но у нас нет однозначных доказательств того, что какое-то конкретное государство принимало участие в его разработке.

- Где расположены те серверы, на которые посылались похищенные данные?

- У нас под подозрением находятся по меньшей мере 80 серверов, которые использовались вирусом Flame. Они расположены в различных странах – в Германии, Турции, Италии, Вьетнаме. До вчерашнего дня особенно активно использовались четыре сервера, но после того, как мы сообщили общественности о новом вирусе, эти четыре сервера были очищены.

Фото thg.ru

- Откуда велось управление этими серверами?

- Те люди, которые запускали новый вирус, не обязательно должны были находиться в то же стране, в котором физически расположены серверы. В последние полтора месяца его операторы несколько раз меняли место нахождения серверов. Когда мы обнаружили вирус, самые важные серверы располагались в Турции, а через несколько дней они оказались уже в Германии.

- Вы когда-нибудь получали заказы из Ирана?

- Нет, отношения с Ираном - очень сложные. При анализе Stuxnet и Duqu нам понадобился контакт с жертвами нападения в Иране. Но это очень закрытая страна. Ни на один наш запрос мы не получили ответа. Мы могли бы обнаружить больше вирусов, если бы Иран сотрудничал с нами.

Оригинал публикации: Der Feind am Ende der Leitung hört mit

Перевод на русский ИноСМИ