Pull to refresh

Кибервойнушка — Stuxnet, Duqu, Flame, Gauss и все, все, все…

Reading time4 min
Views16K
Анализируя «знаковые» угрозы, можно отметить, что с 2010 года были обнаружены следующие вредоносные программы с ярлыком «кибероружие»:
  • июль 2010 — Stuxnet, обнаружен ВирусБлокАда;
  • октябрь 2011 — Duqu, обнаружен Kaspersky Lab;
  • март 2012 — Wiper, Kaspersky Lab обнаружил следы;
  • апрель 2012 — Flame, обнаружен Kaspersky Lab;
  • август 2012 — Gauss, обнаружен Kaspersky Lab;
  • октябрь 2012 — MiniFlame, обнаружен Kaspersky Lab.

В добавок к ним несколько образцов поменьше калибром:
  • июль 2012 — Madi, обнаружен Kaspersky Lab;
  • август 2012 — Shamoon, обнаружен Kaspersky Lab;
  • ноябрь 2012 — Narilam, обнаружен Symantec.



Краткие характеристики
ВПО Stuxnet Duqu Flame Gauss
Дата обнаружения июль 2010 сентябрь 2011 май 2012 август 2012
Количество заражений (по данным KSN) около 180 тысяч около 20 около 700 около 2500
Где больше всего было заражений Индия, Индонезия, Иран Иран, Индия, Судан, Вьетнам, Франция, Нидерланды, Швейцария, Украина, Австрия, Венгрия, Индонезия, Великобритания (по данным Symantec) Иран, Израиль Ливан, Израиль, Палестина
Первоначальный вектор заражения неизвестен (возможно, USB Flash); через документ Microsoft Word, адресно отправляемый по электронной почте интересуемым людям неизвестен, имеется метод распространения через поддельный механизм обновления Windows, подпись Microsoft позволяет инсталлироваться без предупредждений неизвестен
Метод запуска при загрузке компьютера загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти загрузка подписанного драйвера в качестве сервиса с последующей загрузкой основного модуля из зашифрованного файла, расшифровка и запуск производится только в памяти основной модуль регистрируется в качестве LSA Authentication Package изменяет запись в реестре, отвечающую за загрузку подсистемы wbem, на себя и потом вызывает оригинальную библиотеку wbem
Среда разработки (язык) Visual Studio (основной модуль) Visual Studio, основной модуль написан с применением объектной надстройки над языком Си С++, часть кода написана на интерпретируемом языке Lua С++
Использование цифровой подписи Realtek C-Media (возможно, JMicron) Microsoft (сертификат создан путем подбора коллизии MD5) нет
Отличительные особенности основной модуль содержит несколько компонентов в виде ресурсов контейнерная структура — матрешка большой размер — порядка 20 Mb, использование большого количества стороннего кода использование «полезной нагрузки», расшифровываемой только в случае наличия на компьютере заданного пути (path)
Функционал поиск и передача файлов, внедрение в систему SCADA Siemens WinCC поиск и передача файлов, отслеживание нажатий на клавиатуру, сбор данных о сетевой инфраструктуре поиск и передача файлов, запись речевой информации, использование bluetooth перехвата информации с других устройств поиск и передача файлов, перехват паролей систем дистанционного банковского обслуживания Ближнего Востока, перехват паролей в социальных сетях, почтовых сервисах и системах мгновенного обмена сообщениями
Цель нарушение функционирования системы SCADA Siemens WinCC шпионаж и подготовка данных для последующего внедрения в сетевую инфраструктуру шпионаж воздействие на социальную обстановку
Сходство с другим ВПО метод запуска похож на аналогичный в Duqu, использование в версии 2009 года модуля заражения USB аналогичного Flame метод запуска похож на аналогичный в Stuxnet использование модуля заражения USB аналогичного Stuxnet версии 2009 года, множество модулей c расширением OCX как у Gauss множество модулей c расширением OCX как у Flame
Предположительный год разработки 2009 2008 2006 2011

Специалисты Dell SecureWorks считают, что сходство некоторых элементов вредоносных программ Stuxnet и Duqu является случайностью. Аналогичные методы применяются в других образцах ВПО. Тема сравнения Stuxnet и Duqu раскрыта здесь. Со связью Gauss и Flame вообще связан курьезный случай. Сотрудники Kaspesky Lab организовали sinkhole маршрутизатор. Упрощённо, речь идёт о создании поддельных управляющих центров, которые вредоносные программы начинают воспринимать как свои. Таким образом, становится возможным оценить масштабы заражений и их географическое распределение путем анализа IP адресов входящих соединений. В отдельных случаях это даже позволяет перехватить управление и дать команду на самоуничтожение, что, впрочем, редкость. На sinkhole маршрутизатор завели на него трафик с Gauss и Flame. А специалисты компании FireEye, обнаружив, что Gauss и Flame обращаются к одному и тому же серверу, сделала вывод, что за разработкой данных ВПО стоят одни и те же люди. Чуть позднее FireEye принесла публичные извинения за свою ошибку и введение в заблуждение.
Таким образом, все попытки связать между собой Stuxnet, Duqu, Flame и Gauss не очень впечатляют. К тому же было бы слишком затратно разрабатывать для разных операций новый образец ВПО, достаточно было бы изменить уже имеющееся для устранения возможности детектирования антивирусными средствами и нарастить функционал модулями. Вполне вероятно, что мы наблюдаем лишь верхушку айсберга событий, происходящих на Ближнем Востоке, и данные ВПО разработаны разными странами или организациями, не связанными между собой. На арене кибервойн можно выделить следующих ключевых игроков: США, Китай, Россия, Израиль, Южная Корея. К тому же видно, что здесь подключились и местные игроки — некоторые образцы ВПО написаны на Deplhi (Madi, Shamoon, Narilam), что является показателем недостаточно профессиональной работы, однако они с успехом выполняют свои задачи по сбору и удалению информации.
Резюме:
  • антивирусные компании излишне «раздувают» тему кибервойн, манипулируя фактами. Делают они это для расширения рынков сбыта. Лучше бы рассказали, как замечательно работают все их эвристические методы, проактивные защиты и песочницы, если ВПО годами делает свою «черную» работу;
  • не доверяйте новостным сайтам, там тоже украшательств много. В идеале неплохо читать статьи в оригинале, но не все же хорошо владеют английским языком, да и поиск первоисточников тоже требует определенной доли терпения.

Но в любом случае, несмотря на все передергивания антивирусных компаний, мы с интересом будем следить за процессом развития кибероружия.
Tags:
Hubs:
Total votes 20: ↑13 and ↓7+6
Comments22

Articles