Александр Гостев, ведущий эксперт «Лаборатории Касперского», рассказал Юлии Смирновой о новом кибервирусе.
Die Welt: Каким образом вы напали на след вируса Flame?
Александр Гостев: В апреле этого года несколько компьютеров Национальной иранской нефтяной компании (National Iranian Oil Company), а также нескольких иранских министерств были заражены неизвестным вирусом. Этот случай был звеном в целой цепи кибератак, в ходе которых использовались такие вирусы как Stuxnet и Duqu. Международный союз электросвязи (МСЭ) попросил нас проанализировать сложившуюся ситуацию. Мы занимались поисками вируса под названием Wiper, но вместо этого обнаружили кое-что пострашнее – Flame.
- Что именно делает Flame?
- Flame, как и Duqu, предназначен для похищения различных баз данных. Абсолютно новым у Flame является то, что он может применяться как аудиошпион. Вирус Flame находит микрофон на зараженном компьютере, включает его и затем записывает все проходящие в этом помещении разговоры. Записи тут же передаются на тот сервер, с которого он начал распространяться.
Читайте также: Кибератаки на российских пользователей Ustream
- Flame в Иране атаковал те же объекты, что и Stuxnet?
- В отличие от случая с использованием Stuxnet, спектр подверженных атаке компьютеров оказался более широким. Помимо частных лиц, среди пострадавших были университеты, а также различные предприятия.
- Осуществлялась ли таким образом слежка на учеными-ядерщиками?
- Мы не располагаем информацией о том, кому принадлежали зараженные компьютеры.
- Стоят ли за Flame те же люди, что и за Stuxnet?
- На наш взгляд, это были явно не одни и те же разработчики. При создании Flame использовался другой язык программирования, а также другая программная архитектура. Но есть и очень большое сходство. Например, то, каким образом оба вируса распространяются по внутренней сети соответствующего предприятия и USB-флешкам. Кроме того, используемые при этом пробелы в области безопасности почти идентичны. Подобные методы больше нигде не применяются.
- Чем вы это объясняете?
- Вероятнее всего, речь идет о двух параллельных проектах, работа над которыми велась одновременно. Разработчики Flame имели доступ к той же базе данных, где собраны пробелы в области безопасности, что и разработчики Stuxnet. Возможно также, что Flame был создан позже, и его создатели использовали уже опубликованную информацию о вирусе Stuxnet.
Также по теме: Россия - США, сотрудничество в киберпространстве
- Кто может стоять за этой программой?
- Вирус Flame - намного сложнее, и объем его кодов в 20 раз больше, чем у Stuxnet. Flame используется уже с 2010 года, и его авторы постоянно разрабатывали все новые модули, управляли серверами, и вручную собирали информацию с сотен компьютеров. Это совсем не простая задача. Я считаю, что только в разработке этого вируса принимали участие от 10 до 20 программистов, и к этому следует еще добавить обслуживающий персонал для серверов. Я не думаю, что на это способна какая-либо из известных групп киберпреступников. Мы считаем Flame, а также Stuxnet и Duqu, кибероружием, которое было разработано государствами. Но у нас нет однозначных доказательств того, что какое-то конкретное государство принимало участие в его разработке.
- Где расположены те серверы, на которые посылались похищенные данные?
- У нас под подозрением находятся по меньшей мере 80 серверов, которые использовались вирусом Flame. Они расположены в различных странах – в Германии, Турции, Италии, Вьетнаме. До вчерашнего дня особенно активно использовались четыре сервера, но после того, как мы сообщили общественности о новом вирусе, эти четыре сервера были очищены.
Читайте также: Кибер-война и мир
- Откуда велось управление этими серверами?
- Те люди, которые запускали новый вирус, не обязательно должны были находиться в то же стране, в котором физически расположены серверы. В последние полтора месяца его операторы несколько раз меняли место нахождения серверов. Когда мы обнаружили вирус, самые важные серверы располагались в Турции, а через несколько дней они оказались уже в Германии.
- Вы когда-нибудь получали заказы из Ирана?
- Нет, отношения с Ираном - очень сложные. При анализе Stuxnet и Duqu нам понадобился контакт с жертвами нападения в Иране. Но это очень закрытая страна. Ни на один наш запрос мы не получили ответа. Мы могли бы обнаружить больше вирусов, если бы Иран сотрудничал с нами.