Flame - кибероружие спецслужб?

В реальном аналоговом мире рассудительные политики и дипломаты все еще призывают Иран опомниться и отказаться от планов производства ядерного оружия. "Ястребы" в правительстве Израиля давно и весьма конкретно угрожают нанести, в крайнем случае, превентивный удар по иранским атомным объектам. В цифровом же мире - в киберпространстве - военные действия уже идут полным ходом. Одна лексика чего стоит: "кибервойна", "кибероружие". При этом цифровой саботаж может иметь очень серьезные последствия и для аналогового мира. Так, обнаруженный в 2010 году компьютерный вирус Stuxnet очевидно был нацелен на то, чтобы вывести из строя центрифуги на иранских предприятиях по обогащению урана.

"Заинтересованные" спецслужбы

До сих пор не ясно, кто тогда разработал и запустил в сеть этот чрезвычайно сложный вирус. Большинство экспертов считают автором одну из, как они выражаются, "заинтересованных" спецслужб. Неизвестно также, кто несет ответственность за то, что в конце апреля иранское министерство нефтяной промышленности и важнейшие нефтяные терминалы на берегу Персидского залива пришлось временно отключить от интернета после того, как вирус стер данные с жестких дисков ведомственных компьютеров.

Расследуя этот случай, эксперты всемирно известной антивирусной компании "Лаборатория Касперского" обнаружили на одном из зараженных компьютеров еще одного до тех пор неведомого вредителя. Его целью было не бесцеремонное уничтожение данных, а их незаметный сбор.

Изощренный шпион

По данным Виталия Камлука из фирмы Касперского, вирус Flame протоколирует удары по клавишам, делает скриншоты экрана, разыскивает через систему Bluetooth подключенные к компьютеру приборы. В сети он распространяется только по команде своего оператора в интернете, который при необходимости может его отключить.

Но почему до сих пор не удавалось обнаружить этот вирус? "Вторгаясь в компьютер, - поясняет Виталий Камлук, - он для начала изучает установленную на нем антивирусную защиту и воздерживается от операций, которые могли бы его выдать". А вторая причина - крайне ограниченное применение вируса. По первым оценкам Касперского, в Иране вирусом были заражены 189 компьютеров, затем его обнаружили на сотне компьютеров в палестинской автономии в Израиле. В Судане и Сирии было зарегистрировано примерно по 30 случаев. В сравнении с распространением обычных вирусов это почти ничто. Антивирусные же фирмы обращают внимание на новых вредителей только, когда становится известно о массовом заражении.

Целенаправленная сдержанность

Марк Феледьхази из лаборатории криптографии и системной безопасности технического университета в Будапеште считает, что такая целенаправленная сдержанность при использовании Flame свидетельствует о наличии хорошо продуманного плана. О возможном авторстве вредоносного софта Феледьхази, участвовавший в обнаружении преемника программы Stuxnet - вируса Duqu, предпочитает не гадать.

"Одно очевидно, - говорит он, - тут поработали далеко не любители". Издержки на разработку такого вируса огромны. И хотя техническое воплощение было иным, чем у Stuxnet, эксперт усматривает определенные параллели. "Согласно одной из гипотез, - заявил он, - это работа одной из государственных инстанций. Кто-то применил Flame для целенаправленной операции".

Возможно, шпионская программа Flame была разработана одновременно с вирусом Stuxnet для подготовки новых кибератак и по указанию одного и того же заказчика. Но это все домыслы. "Мы пытаемся отследить в интернете следы компьютера-оператора", - рассказал Виталий Камлук. Но пожелавшие остаться анонимными авторы не пожалели сил, чтобы их замести. По словам Камлука, нити ведут к десяткам серверов, расположенных в разных странах мира, а потому и установить хотя бы географическое происхождение, не говоря уже о том, чтобы вычислить конкретного производителя вируса невозможно.