Flame (компьютерный вирус): различия между версиями

Интерактивная навигация по истории

(Показать все непатрулированные изменения)

[отпатрулированная версия]

[непроверенная версия]

← Предыдущая правка

Содержимое удалено Содержимое добавлено

ВизуальныйВики-текст

Линейный

Текущая версия от 15:26, 8 мая 2022

Flame — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows версий XP, 7, Vista.

Его обнаружил Роэль Шувенберг, старший научный сотрудник по компьютерной безопасности Лаборатории Касперского во время исследования вируса Wiper, атаковавшего компьютеры в Иране, о чём было объявлено 28 мая 2012 года. Наиболее пострадавшими странами являются Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия и Египет.

Вирус способен собирать файлы данных, удалённо менять параметры компьютера, записывать звук, скриншоты и подключаться к чатам, действует, по меньшей мере, с марта 2010 года. Код Flame имеет объём 20 МБ и значительно превосходит в этом отношении вирус Stuxnet. Flame использует библиотеки zlib, libbz2, ppmd для сжатия, встроенную СУБД sqlite3, виртуальную машину Lua.

Некоторые части вируса имели цифровую подпись, полученную с помощью сертификата из иерархии Microsoft.^[1] ^[2] Подобный сертификат мог быть получен любым владельцем сервера Terminal Licensing; однако для Flame дополнительно использовалась новая атака для поиска коллизий в хеше MD5 (Flame использует коллизии в хеше MD5, подменяя обновления Майкрософт — своими^[3]). Благодаря проведенной атаке сертификат можно было использовать для подписывания обновлений Windows Update для ОС Windows XP, Vista, 7^[4]^[5].

Некоторые компоненты вируса впервые посылались на сервер VirusTotal весной-летом 2009 года^[6].

В 2012 году эксперты Лаборатории Касперского обнаружили, что разработчики Flame сотрудничали с разработчиками другого сложного червя Stuxnet^[7].

В июне 2012 года газета Washington Post со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации, которая могла бы быть полезна в срыве иранской ядерной программы^[8].

17 сентября 2012 года Лаборатория Касперского в своём официальном блоге опубликовала исследование, согласно которому вирус Flame начал разрабатываться и внедряться в 2006 году, записи командного сервера по управлению заражённых вирусом компьютеров, обнаруженные вирусными аналитиками, датируются 3 декабря 2006 года^[9].

См. также

Примечания

↑ Microsoft certification authority signing certificates added to the Untrusted Certificate Store (неопр.). Дата обращения: 5 июня 2012. Архивировано 5 июня 2012 года.
↑ Flame malware collision attack explained (неопр.). Дата обращения: 12 июня 2012. Архивировано из оригинала 8 июня 2012 года.
↑ Flame’s MD5 collision is the most worrisome security discovery of 2012 (неопр.). Дата обращения: 28 сентября 2017. Архивировано 10 марта 2016 года.
↑ GitHub - trailofbits/presentations: An archive of presentations by Trail of Bits (неопр.). Дата обращения: 31 июля 2013. Архивировано из оригинала 30 ноября 2012 года.
↑ Flame’s crypto attack may have needed $200,000 worth of compute power | Ars Technica (неопр.). Дата обращения: 28 сентября 2017. Архивировано 18 марта 2017 года.
↑ http://labs.alienvault.com/labs/index.php/2012/how-old-is-flame/ Архивная копия от 6 июня 2012 на Wayback Machine "First seen by VirusTotal 2009-07-29 … First seen by VirusTotal 2009-05-21 "
↑ Back to Stuxnet: the missing link — Securelist (неопр.). Дата обращения: 18 мая 2020. Архивировано 14 августа 2020 года.
↑ U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say — The Washington Post (неопр.). Дата обращения: 28 сентября 2017. Архивировано 18 июля 2012 года.
↑ Исследовательский центр "Лаборатории Касперского" (GReAT) (2012-09-17). ""Полный анализ командных серверов Flame"". SecureList. Архивировано 20 сентября 2020. Дата обращения: 18 мая 2020.

Ссылки

Новый вирус поражает компьютеры на Ближнем Востоке MIGnews.com
Лаборатория Касперского: программа Flame атаковала Иран и Израиль NEWSru.co.il
Александр Гостев, Kaspersky Lab (2012-05-28). ""The Flame: Questions and Answers"". SecureList (англ.). Архивировано 12 июня 2012. Дата обращения: 18 сентября 2012.
Технический анализ, Будапештский университет технологий и экономики.
Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East Symantec
Flame removal tool, CERTCC (MAHER) Security Operations Center

[1] Microsoft certification authority signing certificates added to the Untrusted Certificate Store (неопр.). Дата обращения: 5 июня 2012. Архивировано 5 июня 2012 года.

[2] Flame malware collision attack explained (неопр.). Дата обращения: 12 июня 2012. Архивировано из оригинала 8 июня 2012 года.

[3] Flame’s MD5 collision is the most worrisome security discovery of 2012 (неопр.). Дата обращения: 28 сентября 2017. Архивировано 10 марта 2016 года.

[4] GitHub - trailofbits/presentations: An archive of presentations by Trail of Bits (неопр.). Дата обращения: 31 июля 2013. Архивировано из оригинала 30 ноября 2012 года.

[5] Flame’s crypto attack may have needed $200,000 worth of compute power | Ars Technica (неопр.). Дата обращения: 28 сентября 2017. Архивировано 18 марта 2017 года.

[6] ttp://labs.alienvault.com/labs/index.php/2012/how-old-is-flame/ Архивная копия от 6 июня 2012 на Wayback Machine "First seen by VirusTotal 2009-07-29 … First seen by VirusTotal 2009-05-21 "

[7] Back to Stuxnet: the missing link — Securelist (неопр.). Дата обращения: 18 мая 2020. Архивировано 14 августа 2020 года.

[8] U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say — The Washington Post (неопр.). Дата обращения: 28 сентября 2017. Архивировано 18 июля 2012 года.

[9] Исследовательский центр "Лаборатории Касперского" (GReAT) (2012-09-17). ""Полный анализ командных серверов Flame"". SecureList. Архивировано 20 сентября 2020. Дата обращения: 18 мая 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

@@ Строка 4: / Строка 4: @@
 Его обнаружил Роэль Шувенберг, старший научный сотрудник по компьютерной безопасности [[Лаборатория Касперского|Лаборатории Касперского]] во время исследования вируса Wiper, атаковавшего компьютеры в Иране, о чём было объявлено 28 мая [[2012 год]]а. Наиболее пострадавшими странами являются [[Иран]], [[Израиль]], [[Судан]], [[Сирия]], [[Ливан]], [[Саудовская Аравия]] и [[Египет]].
-Вирус способен собирать файлы данных, удалённо менять параметры компьютера, записывать звук, [[Снимок экрана|скриншоты]] и подключаться к чатам, действует, по меньшей мере, с марта 2010 года. Код Flame имеет объем 20 МБ и значительно превосходит в этом отношении вирус [[Stuxnet]]. Flame использует библиотеки [[zlib]], [[bzip2|libbz2]], [[PPMd|ppmd]] для сжатия, встроенную [[Система управления базами данных|СУБД]] [[SQLite|sqlite3]], виртуальную машину [[Lua]].
+Вирус способен собирать файлы данных, удалённо менять параметры компьютера, записывать звук, [[Снимок экрана|скриншоты]] и подключаться к чатам, действует, по меньшей мере, с марта 2010 года. Код Flame имеет объём 20 МБ и значительно превосходит в этом отношении вирус [[Stuxnet]]. Flame использует библиотеки [[zlib]], [[bzip2|libbz2]], [[PPMd|ppmd]] для сжатия, встроенную [[Система управления базами данных|СУБД]] [[SQLite|sqlite3]], виртуальную машину [[Lua]].
+Некоторые части вируса имели цифровую подпись, полученную с помощью сертификата из иерархии Microsoft.<ref>{{Cite web |url=http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx |title=Microsoft certification authority signing certificates added to the Untrusted Certificate Store |access-date=2012-06-05 |archive-date=2012-06-05 |archive-url=https://web.archive.org/web/20120605235509/http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx |deadlink=no }}</ref> <ref>{{Cite web |url=http://blogs.technet.com/b/srd/archive/2012/06/06/more-information-about-the-digital-certificates-used-to-sign-the-flame-malware.aspx |title=Flame malware collision attack explained |accessdate=2012-06-12 |archiveurl=https://web.archive.org/web/20120608225029/http://blogs.technet.com/b/srd/archive/2012/06/06/more-information-about-the-digital-certificates-used-to-sign-the-flame-malware.aspx |archivedate=2012-06-08 |deadlink=yes }}</ref> Подобный сертификат мог быть получен любым владельцем сервера Terminal Licensing; однако для Flame дополнительно использовалась новая атака для поиска коллизий в хеше MD5 (Flame использует [[Коллизия хеш-функции|коллизии в хеше MD5]], подменяя обновления Майкрософт — своими<ref>{{Cite web |url=https://www.forbes.com/sites/richardstiennon/2012/06/14/flames-md5-collision-is-the-most-worrisome-security-discovery-of-2012/ |title=Flame’s MD5 collision is the most worrisome security discovery of 2012 |access-date=2017-09-28 |archive-date=2016-03-10 |archive-url=https://web.archive.org/web/20160310151502/http://www.forbes.com/sites/richardstiennon/2012/06/14/flames-md5-collision-is-the-most-worrisome-security-discovery-of-2012/ |deadlink=no }}</ref>). Благодаря проведенной атаке сертификат можно было использовать для подписывания обновлений Windows Update для ОС Windows XP, Vista, 7<ref>{{Cite web |url=http://www.trailofbits.com/resources/flame-md5.pdf |title=GitHub - trailofbits/presentations: An archive of presentations by Trail of Bits<!-- Заголовок добавлен ботом --> |accessdate=2013-07-31 |archiveurl=https://web.archive.org/web/20121130234910/http://www.trailofbits.com/resources/flame-md5.pdf |archivedate=2012-11-30 |deadlink=yes }}</ref><ref>{{Cite web |url=https://arstechnica.com/security/2012/06/flame-crypto-attack-may-have-needed-massive-compute-power/ |title=Flame’s crypto attack may have needed $200,000 worth of compute power {{!}} Ars Technica<!-- Заголовок добавлен ботом --> |access-date=2017-09-28 |archive-date=2017-03-18 |archive-url=https://web.archive.org/web/20170318220946/https://arstechnica.com/security/2012/06/flame-crypto-attack-may-have-needed-massive-compute-power/ |deadlink=no }}</ref>.
-Некоторые части вируса имели цифровую подпись из иерархии Microsoft.<ref>[http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx?Redirected=true][http://blogs.technet.com/b/srd/archive/2012/06/06/more-information-about-the-digital-certificates-used-to-sign-the-flame-malware.aspx]</ref>
-Некоторые компоненты вируса впервые посылались на сервер [[virustotal]] весной-летом 2009 года<ref>http://labs.alienvault.com/labs/index.php/2012/how-old-is-flame/ "First seen by VirusTotal 2009-07-29 ... First seen by VirusTotal 2009-05-21 "</ref>
+Некоторые компоненты вируса впервые посылались на сервер [[VirusTotal]] весной-летом 2009 года<ref>http://labs.alienvault.com/labs/index.php/2012/how-old-is-flame/ {{Wayback|url=http://labs.alienvault.com/labs/index.php/2012/how-old-is-flame/ |date=20120606163454 }} "First seen by VirusTotal 2009-07-29 … First seen by VirusTotal 2009-05-21 "</ref>.
-В 2012 году эксперты [[Лаборатория Касперского|лаборатории Касперского]] обнаружили, что разработчики Flame сотрудничали с разработчиками другого сложного червя [[Stuxnet]]<ref>[https://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link Back to Stuxnet: the missing link - Securelist<!-- Заголовок добавлен ботом -->]</ref>.
+В 2012 году эксперты [[Лаборатория Касперского|Лаборатории Касперского]] обнаружили, что разработчики Flame сотрудничали с разработчиками другого сложного червя [[Stuxnet]]<ref>{{Cite web |url=https://securelist.com/back-to-stuxnet-the-missing-link/33174/ |title=Back to Stuxnet: the missing link — Securelist<!-- Заголовок добавлен ботом --> |access-date=2020-05-18 |archive-date=2020-08-14 |archive-url=https://web.archive.org/web/20200814143247/https://securelist.com/back-to-stuxnet-the-missing-link/33174/ |deadlink=no }}</ref>.
-В июне 2012 года газета [[Washington Post]] со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации, которая могла бы быть полезна в срыве [[Ядерная программа Ирана|иранской ядерной программы]]<ref>[http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story.html U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say - The Washington Post<!-- Заголовок добавлен ботом -->]</ref>.
+В июне 2012 года газета [[Washington Post]] со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами [[Соединённые Штаты Америки|США]] и Израиля для получения информации, которая могла бы быть полезна в [[операция «Олимпийские игры»|срыве иранской ядерной программы]]<ref>{{Cite web |url=https://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story.html |title=U.S., Israel developed Flame computer virus to slow Iranian nuclear efforts, officials say — The Washington Post<!-- Заголовок добавлен ботом --> |access-date=2017-09-28 |archive-date=2012-07-18 |archive-url=https://web.archive.org/web/20120718101813/http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story.html |deadlink=no }}</ref>.
-сентября 2012 года [[Лаборатория Касперского]] в своём официальном блоге опубликовала исследование, согласно которому вирус Flame начал разрабатываться и внедряться в 2006 году, записи командного сервера по управлению заражённых вирусом компьютеров, обнаруженные вирусными аналитиками, датируются 3 декабря 2006 года<ref>{{cite news |url=http://www.securelist.com/ru/blog/207764193/Polnyy_analiz_komandnykh_serverov_Flame |title="Полный анализ командных серверов Flame" |author=Исследовательский центр "Лаборатории Касперского" (GReAT) |date=2012-09-17 |work=securelist.com |lang=ru |accessdate=18 сентября 2012}}</ref>.
+сентября 2012 года [[Лаборатория Касперского]] в своём официальном блоге опубликовала исследование, согласно которому вирус Flame начал разрабатываться и внедряться в 2006 году, записи командного сервера по управлению заражённых вирусом компьютеров, обнаруженные вирусными аналитиками, датируются 3 декабря 2006 года<ref>{{cite news |url=https://securelist.ru/polny-j-analiz-komandny-h-serverov-flame/3025/ |title="Полный анализ командных серверов Flame" |author=Исследовательский центр "Лаборатории Касперского" (GReAT) |date=2012-09-17 |work=[[SecureList]] |lang=ru |accessdate=2020-05-18 |archivedate=2020-09-20 |archiveurl=https://web.archive.org/web/20200920095332/https://securelist.ru/polny-j-analiz-komandny-h-serverov-flame/3025/ }}</ref>.
 == См. также ==
@@ Строка 26: / Строка 26: @@
 * [http://www.mignews.com/news/technology/world/280512_191738_42711.html Новый вирус поражает компьютеры на Ближнем Востоке] MIGnews.com
 * [http://www.newsru.co.il/mideast/28may2012/flame8006.html Лаборатория Касперского: программа Flame атаковала Иран и Израиль] NEWSru.co.il
-* {{cite news |url=http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers |title="The Flame: Questions and Answers" |author=Александр Гостев, Kaspersky Lab |date=2012-05-28 |work=securelist.com |lang=en |accessdate=18 сентября 2012}}
+* {{cite news |url=https://securelist.com/the-flame-questions-and-answers/34344/ |title="The Flame: Questions and Answers" |author=Александр Гостев, Kaspersky Lab |date=2012-05-28 |work=SecureList |lang=en |accessdate=2012-09-18 |archiveurl=https://web.archive.org/web/20120612091027/http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers |archivedate=2012-06-12 }}
-* [http://www.crysys.hu/skywiper/skywiper.pdf Технический анализ], Будапештский университет технологий и экономики.
+* [https://web.archive.org/web/20120528142705/http://www.crysys.hu/skywiper/skywiper.pdf Технический анализ], Будапештский университет технологий и экономики.
 * [http://www.symantec.com/connect/blogs/flamer-highly-sophisticated-and-discreet-threat-targets-middle-east Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East] Symantec
-* [http://certcc.ir/index.php?name=news&file=article&sid=1901 Flame removal tool], CERTCC (MAHER) Security Operations Center
+* [https://web.archive.org/web/20120602145433/http://www.certcc.ir/index.php?name=news&file=article&sid=1901 Flame removal tool], CERTCC (MAHER) Security Operations Center
+{{Хакерские атаки 2010-х}}
-{{compu-soft-stub}}
-{{Вредоносное программное обеспечение}}
 [[Категория:Компьютерные вирусы и сетевые черви]]
 [[Категория:Руткиты]]
+[[Категория:Кибервойна]]
-[[ar:فلام (برنامج خبيث)]]
-[[az:Flame]]
-[[de:Flame (Schadprogramm)]]
-[[en:Flame (malware)]]
-[[es:Flame (malware)]]
-[[fa:بدافزار شعله]]
-[[fr:Flame (ver informatique)]]
-[[he:להבה (נוזקה)]]
-[[ko:플레임 (악성코드)]]
-[[ml:ഫ്ലെയിം]]
-[[nl:Flame (malware)]]
-[[pt:Flame (malware)]]
-[[tr:Flame (malware)]]
-[[zh:火焰病毒]]

Хакерские атаки 2010-х
Крупнейшие атаки	Кибератаки в Австралии (2010)^[англ.] Операция «Payback»^[англ.] DigiNotar^[англ.] Операция «Тунис»^[англ.] Взлом и отключение PlayStation Network Операция «AntiSec»^[англ.] Icefog Операция «Red October» Взлом электронной почты компании Stratfor^[англ.] Взлом LinkedIn (2012)^[англ.] Кибератака на Южную Корею (2013)^[англ.] Snapchat Операция Tovar^[англ.] Массовый взлом аккаунтов iCloud Взлом серверов Sony Pictures Entertainment Кибератака на Национальный комитет Демократической партии США Кибератака на Dyn Кибератака на Вестминстерский дворец Атака шифровальщика WannaCry Хакерские атаки на Украину (2017)
Группы и сообщества хакеров	Анонимный интернационал Анонимус Киберберкут Подразделение 121 Cozy Bear Derp^[англ.] Evil Corp Fancy Bear GNAA^[англ.] Goatse Security^[англ.] Lizard Squad^[англ.] LulzRaft^[англ.] LulzSec NullCrew^[англ.] Подразделение 61398 RedHack Сирийская электронная армия Электронная армия Йемена Электронная армия Ирана TeaMp0isoN^[англ.] Tailored Access Operations^[англ.] UGNazi^[англ.]
Хакеры-одиночки	Джереми Хаммонд Джордж Хоц Guccifer^[англ.] Guccifer 2.0^[англ.] Sabu^[англ.] Topiary^[англ.] The Jester^[англ.] weev^[англ.]
Обнаруженные критические уязвимости	Heartbleed (SSL, 2014) Bashdoor (Bash, 2014) POODLE (SSL, 2014) Rootpipe^[англ.] (OSX, 2014) JASBUG^[англ.] (Windows, 2015) Stagefright^[англ.] (Android, 2015) DROWN^[англ.] (TLS, 2016) Badlock (SMB/CIFS, 2016) Dirty COW (Linux, 2016) EternalBlue (SMBv1, 2017) DoublePulsar (2017) KRACK (2017) ROCA^[англ.] (2017) BlueBorne (2017) Meltdown (2018) Spectre (2018) BlueKeep (2019)
Компьютерные вирусы	Asprox Bad Rabbit BASHLITE Bredolab Carbanak Carberp Careto Carna Citadel CryptoLocker Cutwail Dexter Donbot Dridex Duqu EternalRocks FinFisher Flame Gameover ZeuS Gauss Grum Gumblar Kelihos Koobface Lethic Locky Madi Mahdi Mariposa Metulji Mirai Necurs NetTraveler Nitol Petya R2D2 Regin Rustock Shamoon SpyEye Stars Stuxnet TDL-4 Virut Vulcanbot WannaCry ZeroAccess Каталог ANT
2000-е 2010-е 2020-е

Flame (компьютерный вирус): различия между версиями

Текущая версия от 15:26, 8 мая 2022

См. также

Примечания

Ссылки

Навигация

Поиск