• До виявлення багатофункціонального трояна Flame, названого «Лабораторією Касперського» «кібернетичним супероружием», привів пошук антивірусної компанією зловредів, особи, що видалила дані на комп'ютерах іранського підприємства. У самій Flame, проте, такого функціоналу не виявилося. Це дало аналітикам підстави вважати, що крім Flame існує і інша ще не виявлена анти-іранська розробка.
    Головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв розповів на конференції PHDays подробиці недавнього виявлення кібернетичного «суперзброї» - хробака Worm.Win32.Flame.
    Гостєва, історія почалася 25 квітня 2012 р., коли Іран заявив про дивну видалення даних з комп'ютерів нафтової компанії. Зникла інформація стосувалася відносин з клієнтами підприємства: дати, обсяги поставок і т.п. База була не просто вилучена, поверх робочих даних для виключення можливості їх відновлення сміттєві байти були записані кілька разів.
    За замовленням підключився до вирішення проблеми Міжнародного союзу електрозв'язку (ITU) «Лабораторія» початку дослідження. «Ми виявили сліди присутності троянської програми з багатою функціональністю на декількох комп'ютерах в регіоні, тобто на Близькому Сході», - говорить Гостєв. CNews вже писав про гігантському для такого ПО розмірі основного модуля: після повної розпакування файлу на 6 МБ його повний розмір досяг 20 МБ, що приблизно в 20 разів більше, ніж у відомого Stuxnet. Також стало ясно, що функціонал Flame передбачає завантаження додаткових модулів з серверів управління.
    З визначенням мови програмування, на відміну від Duqu, проблем не виникло. Flame писали на скриптової вільно розповсюджується LUA, створеному в бразильському університеті. Це зажадало додавання код трояна інтерпретатора LUA. Залишилося не ясним як відбувалося первинне зараження машин. Гостєв припускає, що для цього могла використовуватися уразливість в Windows Media Player, що дозволяє замість програвання відео запускати на що атакується ПК довільний код.
    У функціоналі Flame багато нагадує промислове ділове. Після установки трояна він створює базу даних Mini SQL (роботи) з формалізованим описом всього що зберігається на ураженому хості. Скріншоти, надіслані в зашифрованому вигляді на керуючі сервера, Flame знімає тільки з інтерфейсів процесів, перерахованих в спеціальному списку. Крім нього існує «чорний список» процесів, скріншоти вікон яких робити не треба. В першу чергу в нього входять антивіруси. Серед інших функцій трояна - мережевий сніффер, аудиошпион, пошук сусідніх пристроїв Bluetooth, поширення через спільні папки, запуск HTTP-сервера і т.п. Цікаво, що активуючи порт Bluetooth програма присвоює пристрою специфічну назву, що дозволяє виявити інфікований вузол з невеликих відстаней. Дати створення файлів ЗА були відредаговані, що не дозволяє точно визначити час його розробки.
    «Лабораторія» зафіксувала 500 заражених машин, що в Ірані перебувало близько 200. Ще 100 - не території Ізраїлю і Палестини. Олександр Гостєв попередив, що оскільки визначення положення проводилося за допомогою публічних даних про IP-адреси, то можлива похибка. Далі з числа інфікованих хостів йшла Сирія. За його розрахунками на повний аналіз програми буде потрібно не менше півроку. Імітувати порожню заражену машину, аналітикам вдалося отримати запити від керуючого цієї невеликої мережею центру. Країни, звідки вони приходили, постійно змінювалися - Німеччина, Туреччина і т.д.
    Коли оператори Flame вирішили видалити своє пз з контрольованого «Лабораторією» вузла (Гостєв пов'язує це з тим, що нічого цінного на цій машині не було), в черговий що прийшла команді на дєінсталяцію містився повний список файлів і ключів реєстру, які використовуються програмою. Це дуже допомогло аналітикам зрозуміти її повний функціонал, включаючи подгружаемые модулі.
    «Судячи з усього, оператори підтримували популяцію одночасно всього близько 50 активних заражених машин, - говорить Гостєв. - Тривала декілька років операція, для проведення якої був зареєстрований десяток доменів й підключені постійно працюють оператори, була згорнута протягом 2-3 годин після того, як тільки ми оголосили про свою знахідку. Сервери управління кинули заражені хости і стали недоступні».
    Інтрига полягає в тому, що функції надійного видалення файлів, з якої почалися пошуки, в Flame якраз немає. А значить, вважає Гостєв, крім Duqu, Stuxnet і Flame існує щонайменше ще одна розробка, яка вразила промислове підприємство Ірану.
    Зазначимо, що паралельно в кінці травня про виявлення Flame заявив Symantec. У прес-службі «Лабораторії» CNews запевнили, що американський виробник зробив це майже на місяць пізніше: своє перше повідомлення про трояна російський розробник антивірусів датує початком травня.