"Лаборатория Касперского", исследуя Flame, обнаружила следы еще трех опасных программ
"Лаборатория Касперского" объявила 17 сентября о результатах нового исследования сложной вредоносной программы Flame, проведенного совместно с МСЭ-ИМПАКТ, CERT-Bund/BSI и компанией Symantec.
"В результате анализа нескольких командных серверов, которые использовались создателями Flame, эксперты обнаружили следы трех других вредоносных программ. Кроме того, они установили, что разработка платформы Flame началась еще в 2006 году", - говорится в сообщении.
"Результаты настоящего исследования основаны на анализе контента нескольких командных серверов, которые использовались Flame. Эту информацию удалось получить, несмотря на то, что инфраструктура управления Flame была отключена немедленно после обнаружения вредоносной программы специалистами "Лаборатории Касперкого". Все серверы работали на 64-битной версии операционной системы Debian с виртуализацией на базе контейнеров OpenVZ. Серверный код был по большей части написан на языке программирования PHP. Создатели Flame сделали интерфейс командного сервера похожим на обычную систему управления контентом (CMS), чтобы избежать подозрений со стороны хостинг-провайдера. Для того чтобы никто кроме киберпрестуников не мог получить данные, загружаемые с зараженных компьютеров, были применены сложные методы шифрования. Анализ скриптов, которые использовались для управления передачей данных на компьютеры жертв, выявил наличие четырех коммуникационных протоколов, только один из которых был совместим с Flame. Это означает, что данные командные серверы использовались, по крайней мере, еще тремя вредоносными программами. Кроме того, есть достаточно доказательств в пользу того, что как минимум одна родственная с Flame вредоносная программа продолжает активно распространяться", - отмечается на сайте "Лаборатории Касперского".
Эксперты также сделали вывод о том, что работа над платформой командных серверов Flame началась еще в декабре 2006 года: "Есть признаки того, что платформа по-прежнему находится в процессе разработки: на серверах были обнаружены упоминания нового еще не реализованного "Красного протокола" (Red Protocol). Последнее изменение серверного кода было внесено 18 мая 2012 года".
Агентство Reuters, сообщая о публикации данного отчета, приводит мнение неких анонимных экспертов, связанных с западными спецслужбами, по поводу того, что в создании Flame принимали участие американские специалисты по "кибервойнам". "Лаборатория Касперского" воздерживается от каких-либо заявлений по поводу "авторства" этого вируса. Ранее публиковались предположения о причастности Израиля к созданию вредоносных программ Flame и Stuxnet.
