Российские и международные пользователи под атакой беспрецедентного по сложности и объёму вредоносного программного обеспечения W32.Flamer

Статистика географического расположения инфицированных систем позволяет предположить, что его первичная нацеленность – это страны Ближнего Востока, в особенности Иран, а также Ливия, Палестина и Венгрия. Немного позже он также был обнаружен в Австрии, Гонконге, ОАЭ и России.

Целью для атак являются как компании, так и частные пользователи, вне зависимости от видов их профессиональной деятельности. Пока не ясно, какой промышленный сектор наиболее интересен злоумышленникам, и какова принадлежность атакуемых лиц. Однако имеющиеся свидетельства показывают, что есть вероятность того, что не все жертвы атакуются по одним и тем же причинам. Похоже, что многие цели интересны злоумышленникам в связи с их индивидуальной личной деятельностью без привязки к их месту работы либо бизнесу.

W32.Flamer – высокоинтеллектуальная разработка, в которой сочетаются бэкдор -технологии для проникновения в компьютерные системы, троянские технологии кражи информации и функционал червей для самораспространения в сетевых средах и через сменные носители. Из уникальных технологий следует отметить перехват речевой информации через встроенный микрофон (и её пересылку в зашифрованном виде) и использование Bluetooth-интерфейсов для взаимодействия с близкорасположенными компьютерами. Он отключает установленные продукты информационной безопасности, уничтожает компьютерные файлы, делает снимки экрана, крадёт информацию из документов различного типа, цифровые снимки (в том числе с данными GPS), презентации, проектные и технические схемы. Общий размер кода всех модулей достигает 20 МБ, что в 20 раз превосходит по размеру Stuxnet.

Как и две предыдущие угрозы – Stuxnet и Duqu – столь серьёзная разработка могла быть выполнена лишь чётко координируемой и хорошо финансируемой командой экспертов. Его код содержит многочисленные ссылки на строку «FLAME» (англ. – «Пламя»), которые могут идентифицировать и атакующие участки кода, и принадлежность проекту с таким названием. Установить дату создания W32.Flamer пока не представляется возможным – различные модули имеют различные даты создания. Но можно утверждать, что он ведёт своё скрытное существование в течение не менее двух лет.

В недавнем отчёте компании Symantec по угрозам интернет-безопасности (том 17) приведены данные о значительном увеличении количества целенаправленных атак в 2011 году. Если в 2010 году было зафиксировано в среднем 77 атак в день, то в 2011 году этот показатель вырос до 82. Отчет также показывает, что целенаправленные атаки и средства их автоматизированной разработки будут и дальше представлять собой серьёзную проблему, а их количество и техническая сложность будут лишь возрастать.

Исследовательский центр компании Symantec продолжает анализ и исследование W32.Flamer, и мы будем публиковать информацию по мере её поступления. В настоящее время антивирусные продукты компании Symantec определяют эту угрозу как W32.Flamer.

О корпорации Symantec

Корпорация Symantec — мировой лидер в области решений для обеспечения безопасности, один из мировых лидеров в области хранения данных и управления системами. Программное обеспечение и услуги корпорации эффективно защищают предприятия и индивидуальных пользователей всего мира от информационных рисков, позволяя с уверенностью использовать и хранить информацию.