Иран приходит в себя после нанесённого по стране очередного удара высокоточным цифровым оружием. Компьютерный вирус Flame, обнаруженный российскими специалистами (Лаборатория Касперского), предположительно был нацелен на иранский нефтепром, хоть в последние часы и стало известно, что заражению подверглись также компьютеры вне стен компаний и организаций, связанных с нефтью. Средства выявления и лечения вируса уже имеются, но будьте готовы к продолжению истории, неожиданным новым фактам и резким поворотам сюжета: в «Касперском» Flame назвали одной из сложнейших цифровых инфекций за всю историю существования вредоносных программ — и западные эксперты с этим диагнозом в общем согласны.
Если коротко, Flame — компьютерный вирус, способный инфицировать персоналки под управлением Microsoft Windows 7, Vista и XP с полным набором установленных патчей. Очевидно, что для проникновения на машину используются пока неизвестные спецам по безопасности уязвимости. Обосновавшись на новом месте, он способен пустить в ход и более старые трюки, распространяясь через USB-флэшки и локальную сеть.
Судить о всех его возможностях рано: полностью укомплектованный вариант Flame занимает 20 мегабайт, то есть в десятки раз больше обычных вирусов. Это в высшей степени профессиональный, сложный программный продукт, на написание которого потрачены многие месяцы труда большого коллектива. Flame разбит на модули-библиотеки (собственно имя для вируса образовано от названия главного модуля), пользуется собственной базой данных, активно применяет криптографию, компрессию, скриптовое программирование, задействует элементы свободного (open source) программного обеспечения.
Трудно поверить в то, что эта многоголовая гидра могла оставаться незамеченной несколько лет. Однако — факт: проведённый в «Касперском» анализ позволяет утверждать, что первые заражения случились ещё весной 2010 года, а косвенные свидетельства, указывающие на возможное использование Flame, восходят и вовсе к 2007-му. Возможная причина такой незаметности — узкая специализация: по крайней мере в известном виде Flame предназначается исключительно для шпионажа. Он не стирает файлы, не пытается жечь оборудование, как один из его предшественников, и даже распространяется только по команде «сверху» (таинственные авторы управляют вирусом через десятки серверов по всему миру).
Flame всего лишь высасывает информацию, зато делает это с такой эффективностью, что его уподобляют пылесосу. На инфицированном компьютере он контролирует буквально всё до последнего бита. Фиксирует каждую нажатую клавишу, анализирует содержимое офисных документов, автоматически делает снимки экрана и включает микрофон, чтобы подслушать, о чём треплются в комнате, вчитывается в трафик и даже (когда возможно) сканирует Bluetooth-эфир для извлечения данных из расположенных рядом мобильных телефонов.
Согласно «Касперскому», инфицированы вирусом предположительно около тысячи компьютеров, причём располагаются они по большей части на Ближнем Востоке и в Северной Африке, с эпицентром в Иране. Другие исследователи дают похожую оценку, но заявляют и о случаях заражения персоналок в других странах (Symantec, например, выявил случаи в России). Ничего удивительного, что целью Flame считается Иран, авторство же приписывают спецслужбам Израиля или США.
Тем самым, которые, как предполагается, выпустили знаменитый Stuxnet (повредивший центрифуги для обогащения урана на заводе в Натанзе) и его «родного брата», вирус-шпион Duqu (см. «Duqu и государственный терроризм»). С точки зрения кода, Flame не имеет почти ничего общего с этой парочкой, но сложность, высокое качество исполнения, использование неизвестных уязвимостей в MS Windows и явный прицел на Иран — всё это позволяет предположить, что за новым вирусом стоит как минимум тот же заказчик.
Сама мысль о том, что автором Flame мог быть какой-нибудь любитель, кажется экспертам смешной. Полный анализ Stuxnet занял полгода. Flame в двадцать раз сложнее. Уже того, что известно о нём сейчас, достаточно, чтобы выделить новый вирус в отдельную категорию — потому что он совмещает в себе черты нескольких известных вирусных разновидностей: это и червь, и троян, и средство дистанционного управления — а если обобщить, получается комплексный инструмент для цифровой атаки. Разработать подобное из озорства, любопытства, простого желания кому-нибудь «насолить» едва ли возможно. Авторами Flame двигало нечто большее.
Пока предположительной целью его заброски считается сбор информации об иранском нефтепроме (в том числе и с целью более глубокого внедрения в его компьютерные системы). Высшее военное командование Ирана официально подтвердило, что компьютеры на заводах и ведомствах были «кратковременно» вирусом поражены. Но утверждать наверняка, для чего использовался и для чего мог быть применён Flame, не в силах никто. Способности вируса могут расширяться за счёт подключения новых функций: пока известны только два десятка «расширений», но кто знает сколько их в запасе у авторов?
Рассуждая об авторстве, западная пресса приходит к выводу, что ресурсами и квалификацией, необходимыми для создания Flame, обладают лишь четыре государства: Соединённые Штаты, Израиль, Китай и Россия. Израиль, повторюсь, является главным подозреваемым. Его трения с Ираном общеизвестны, а работающие на израильское правительство спецы не исключают возможности применения компьютерных вирусов против своего соседа. Если же вспомнить, что это уже третий подобный инцидент всего за два года, впору говорить о начале в ближневосточном регионе полномасштабной цифровой войны.
Впрочем есть и другая версия. Согласно «Касперскому», сегодня вирусописателей можно подразделить на три категории: энтузиастов-хактивистов (пишут из любви к искусству), киберкриминал (зарабатывают деньги, эксплуатируя инфицированные машины) и государственные структуры (политика!). Но что если появилась четвёртая группа авторов — инвесторы, добывающие таким образом инсайдерскую информацию? Сведения, тайком извлечённые из компьютеров Министерства нефтяной промышленности Ирана, Национальной иранской нефтяной компании и других ведомств и предприятий, поражённых Flame, могут быть достаточными для большой биржевой игры.
На Иран приходится двадцатая часть мировой нефтедобычи, отрасль национализирована, так что зацепки во внутренних документах иранских министерств могут послужить основанием для спекуляций на миллиарды долларов. Почему бы одному или группе крупных инвесторов не вложиться в создание подобного вируса? Легальность проекта, конечно, сомнительна. Но — посмотрите хотя бы на Facebook и её IPO — кого волнуют законы, когда речь идёт о больших деньгах?