2012: перша кибермировая вже почалася?

2012 рік став переломним з точки зору розвитку кіберозброєння: до його початку людство підійшло зі знанням всього лише двох шкідливих програм, до розробки яких, на думку експертів, мають відношення урядові структури - Stuxnet і Duqu.

Географія застосування кибероружния в 2012 році

Вже в перші місяці цього року фахівцям «Лабораторії Касперського» довелося зіткнутися з вивченням інцидентів, пов'язаних як мінімум ще з чотирма видами шкідливих програм, які мають право бути віднесеними до класу кібероружія. Про те, яка між ними зв'язок і чому їх діяльність в основному обмежена одним і тим же геополітичним регіоном розповідає головний антивірусний експерт «Лабораторії Касперського» Олекандр Гостєв у своїй статті, присвяченій розвитку кібероружія.

Одним з основних подій року, що минає в області інформаційної безпеки стало виявлення експертами «Лабораторії Касперського» складної шкідливої програми Flame, значно перевершує по складності і функціоналу свого попередника» - Duqu. Новий троян поєднував у собі властивості бекдор і хробака, маючи можливість поширюватися по локальній мережі і через знімні носії при отриманні відповідного наказу. Після зараження системи Flame приступав до виконання складного набору операцій, у тому числі до аналізу мережевого трафіку, створення знімків екрану, аудіозаписи розмов, перехоплення клавіатурних натискань і т.д. Зібрані дані передавалися на сервери Flame. Детальний аналіз шкідливої програми дозволив дослідникам встановити, що її розробка почалася ще в 2008 році і активно тривала аж до моменту виявлення в травні 2012 року. Крім того, з'ясувалося, що один з модулів платформи Flame був використаний в 2009 році для поширення хробака Stuxnet.

Подальші пошуки привели дослідників до виявлення ще однією складною шкідливої програми, створеної на платформі Flame, проте відрізняється по функціоналу і ареалу розповсюдження. Складний комплекс інструментів для здійснення кибершпионажа Гаус мав модульною структурою і функціоналом банківського троянця, призначеного для крадіжки фінансової інформації користувачів заражених комп'ютерів. Численні модулі Гаус використовувалися для збору інформації, що міститься в браузері, включаючи історію відвідуваних сайтів і паролі, які використовуються в онлайн-сервісах. Жертвами вредоноса стали клієнти ряду ліванських банків, таких як Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank і Credit Libanais, а також Citibank і користувачі електронної платіжної системи PayPal. Варто відзначити, що при всій численності різних модулів у складі Гаус був відсутній модуль, призначений для крадіжки грошей - троянець лише збирав і передавав на командні сервери докладні дані про всі транзакції, але не міг виробляти їх самостійно.

Згодом експерти виявили ще один цікавий модуль, створений на платформі Flame - miniFlame. Володіє повноцінним шпигунським функціоналом, він був призначений для крадіжки інформації та забезпечення безпосереднього доступу до зараженій системі. Примітно, що для його функціонування наявність в системі основних модулів Flame було зовсім необов'язково. Крім того, було встановлено, що миникибершпион міг використовуватися в комплекті з банківським троянцем Гаусса. Судячи по функціоналу бекдор і незначній кількості інфікованих машин, miniFlame використовувався дуже вибірково, для отримання найбільш цінних відомостей.

Підводячи підсумки кибервооруженных конфліктів, які мали місце в 2012 році, не можна не згадати «містичну» шкідливу програму Wiper, яка в квітні видалила всю інформацію з комп'ютерів низки промислових об'єктів нафтогазової галузі близькосхідного регіону. Саме в процесі пошуку Wiper експерти «Лабораторії Касперського» виявили Flame, Гаус і miniFlame. Детальний аналіз образів жорстких дисків, що піддалися атаці Wiper, дозволив майже повністю відновити картину того, як відбувалося зараження системи і її подальше знищення. Однак, незважаючи на всі зусилля експертів, знайти файли самого «стирателя» поки так і не вдалося.

«У 2012 році відбулося розширення території застосування кібероружія: якщо раніше зоною кибервоенных конфліктів вважався Іран, то тепер вона розширилася на весь прилеглий до нього регіон Західної Азії. Подібна динаміка є точним відображенням політичних процесів, що відбуваються в цьому регіоні, давно вже є «гарячою точкою», - упевнений Олександр Гостєв. - І без того непросту ситуацію в регіоні, яка склалася з-за іранської ядерної програми, в 2012 році доповнили політичні кризи в Сирії та Єгипті. Ліван, Палестинська автономія, хвилювання у ряді країн Перської затоки доповнюють загальну картину нестабільності. У цих умовах прагнення інших держав світу, що мають інтереси в регіоні, використовувати для досягнення своїх цілей всі можливі інструменти - у тому числі високотехнологічні - цілком логічно».

Повна версія статті Олександра Гостєва, присвячена розвитку кібероружія в 2012 році, доступна на сайті

www.securelist.com/ru/analysis/208050779/Kaspersky_Security_Bulletin_2012_Kiberoruzhie.