Участники состоявшегося в Москве международного форума Positive Hack Days одними из самых первых в мире узнали подробности о новой кибернетической суператаке Flame. О ней рассказал главный антивирусный эксперт “Лаборатории Касперского” Александр Гостев.
ЛК оказалась вовлеченной в расследование Flame в конце апреля нынешнего года, когда одна из иранских госструктур заявила о том, что стала жертвой сложной кибератаки, в результате которой на ее серверы попал вирус, сумевший к тому же заразить еще и ИТ-ресурсы крупнейшей национальной нефтяной компании. Инцидент произошел синхронно с вводом международных экономических санкций, связанных с препятствием закупки у Ирана нефти, в ответ на которые Иран обещал активизировать поставки нефти Китаю.
В результате атаки были безвозвратно уничтожены содержащие критическую для бизнеса информацию файловые системы на нескольких серверах упомянутой нефтяной компании и повреждены материнские платы нескольких компьютеров. Бизнес компании встал на несколько дней.
Инцидент, по словам г-на Гостева, вызвал большую обеспокоенность у Международного союза электросвязи (ITU), членами которого являются более 190 стран мира и который одной из своих задач считает защиту киберпространства своих членов. ITU обратилась в ЛК, которая поддерживает с этой организацией тесную связь, с просьбой провести техническое расследование атаки. Иран предоставил образцы кодов заражения антивирусным компаниям и выпустил свою утилиту для лечения.
Специалисты ЛК, опираясь на знания, полученные в ходе исследования двух предыдущих суператак — Stuxnet и Duqu, начали изучать киберситуацию на Ближнем и Среднем Востоке и нашли одинаковые следы вторжения в информационные системы в нескольких странах этого региона. Обнаруженная злонамеренная программа обладает, по словам г-на Гостева, очень большим (свыше 6 Мб в зашифрованном и свернутом виде и около 20 Мб в развернутом виде) ядром и сложным функционалом, затрудняющим однозначно классифицировать ее, например, как бэкдора, червя, шпиона… При этом вредонос имеет возможность подгружать дополнительные модули, создавать и поддерживать на зараженной машине свою рабочую базу данных, доводя общий код заражения до сотен мегабайт.
ЛК располагает косвенными сведениями, которые позволяют предположить, что атака Flame началась весной 2010 г., однако она, несмотря на то что длится уже два года, не детектировалась ни одной антивирусной программой. Не определено, как происходит начальное заражение атакуемых компьютеров. Отталкиваясь от формальной приписки IP-адресов, они установили, что около 200 (из 500) зараженных систем находятся в Иране, 100 в Израиле и Палестине, примерно по 30 систем в Сирии и Судане, остальные размещаются в Саудовской Аравии, Египте, Ливане и других странах региона. IP-адреса управляющих серверов атаки Falme постоянно переносятся из одной страны мира в другую, препятствуя ее расследованию. К сегодняшнему дню ЛК насчитала около 80 доменных имен, связанных с Flame.
После того как 28 мая “Лаборатория Касперского” опубликовала первые сведения об обнаружении Flame, все серверы управления атакой были закрыты. Атака, считают в Лаборатории, сорвана. В то же время расследование, заявил г-н Гостев, только началось. ЛК на сегодняшний день известно не более 20% кодов Flame. Тот код, с поиска которого началось расследование Flame и который уничтожал файлы на зараженных компьютерах, до сих пор не обнаружен — возможно, он не имеет прямого отношения к Flame. Возможно, это самостоятельная атака, которая только навела на след Flame и которую тоже предстоит расследовать.
Как полагает г-н Гостев, настала пора громко говорить о практике разработки и применения в международной сфере кибероружия, поскольку атаки Stuxnet, Duqu и Flame отличаются от того, что используют обычные киберпреступники, и должны быть определены именно как такой класс киберугроз. К кибероружию, по его мнению, страны прибегают тогда, когда проблемы в отношениях между ними никак не решаются дипломатическим путем, но еще не переросли в традиционное военное противостояние. Подводя итоги расследований этих атак “Лабораторией Касперского”, г-н Гостев обращает внимание на его разрушительную силу, способную причинять вред, сравнимый с поражениями от кинетического оружия.
Если не озаботиться созданием международной системы защиты против кибероружия, то с его применением придется столкнуться не только странам Ближнего и Среднего Востока. Для создания такого вида вооружения, по оценкам г-на Гостева, достаточно 20 высококлассных специалистов, а собрать такую команду, как он полагает, может практически любая страна.
Материальные ресурсы перестали играть ключевую роль в международной жизни. Военным мускулам сегодня можно противопоставить компьютерный интеллект. Киберресурсы нивелируют экономические, военные и политические различия между странами, а потому наступила пора регулировать разработку, распространение и применение кибероружия на международном уровне.
Принимавший участие в форуме Positive Hack Days председатель Международного многостороннего партнерства против киберугроз (IMPACT) Датук Мохд Нур Амин, со своей стороны, отметил, что выстраиванию системы международной кибербезопасности сильно мешает отсутствие единого законодательного регулирования этой области, при том что киберпреступность границ не знает. Разработка таких международных законов упирается в сложности нахождения консенсуса, устраивающего всех заинтересованных участников этого процесса. Для многих стран Интернет все еще остается явлением новым, и международное сообщество находится в поиске устраивающих его рамок законодательного регулирования киберпространства. По мнению г-на Амина, пройдет еще несколько лет, прежде чем мы почувствуем в организации международной кибербезопасности подвижки, которые приблизят нас в этой области к состоянию регулирования международных военных конфликтов.
