Интервью с Виталием Камлюком, ведущим антивирусным экспертом «Лаборатории Касперского»

Виталий Камлюк

Ведущий антивирусный эксперт «Лаборатории Касперского», Виталий Камлюк (Vitaly Kamlyuk) делится с телеканалом RT подробностями о «Stuxnet на стероидах». (Так вирус Flame называют в «Лаборатории Касперского»). Flame считается самым мощным компьютерным вирусом в истории

Главной мишенью вируса Flame стал Иран и страны Ближнего востока. Вирус распространился и в других странах. Исходя из сложности структуры вируса и целей поражения в «Лаборатории Касперовского» пришли к выводу, что за атаками Flame стоит какое-то государство. Вирус впервые был обнаружен в 2010 году. Хотя вероятно он существовал и раньше.

— Итак, как вы обнаружили этот вирус? Вы запланировано искали вирус или его находка стала случайностью?
— Это произошло случайно. Мы изначально искали иной вид вируса. Мы знали, что этот вирус распространился по всему Ближнему Востоку, атаковал сотни компьютеров, уничтожил жесткие диски атакованных компьютеров, делая системы не работоспособными.

На самом деле поиски начались после того, как Международный союз электросвязи (International Telecommunications Union), который является частью Организации Объединенных Наций попросил нас провести поиск. Когда мы начали искать этот таинственный вирус на Ближнем Востоке, мы обнаружили, что это подозрительное приложение, оказалось куда более интересным, чем начальная цель нашего поиска.

— По словам одного из ваших экспертов, Flаme, не наносит физических повреждений, так почему же Flаme называют самой опасной кибератакой в истории?
— Эта атака такого же уровня как и атаки Stuxnet и Duqu. Мы подозреваем, что за этой кибератакой стоит государство и на то есть причины. Это приложение не вписывается ни в одну из существующих групп разработанных кибератакующих инструментов. В настоящее время существует три группы. Есть традиционные киберпреступники, которые охотятся за данными пользователей (логины и пароли) для того, чтобы получить доступ к банковским счетам через Интернет и украсть деньги, рассылать спам или проводить сомнительные атаки.

Flame не вписывается в группу традиционных киберпреступных вирусных программ. Кроме того, он не вписывается в activists’ malware, которые используют обычно инструменты со свободным и открытым исходным кодом, чтобы атаковать компьютеры через Интернет. И третья известная группа – государства.

— Чем отличается этот вирус от других шпионских программ и какой вред он может нанести?
— Вирус достаточно продвинутый — один из самых сложных вирусов, которые мы когда-либо видели. Даже его размер — более 20 мегабайт, если суммировать размеры всех модулей, являющихся частью атакующего инструментария. Flame очень большой по сравнению с Stuxnet. Размер Stuxnet сотни килобайт кода. Flame же более 20 мегабайт. Для анализа Stuxnet нам потребовалось несколько месяцев, поэтому представьте себе, что полный анализ Flame может занять год. Поэтому мы считаем, его одним из самых сложных вирусов.

Flame уникален в краже информации. Вирус может украсть различные типы информации с помощью шпионского инструментария. Он способен записывать звук, если микрофон подключен к зараженной системе. Он может делать скриншоты экрана и передавать визуальные данные. Он может красть информацию из полей ввода, когда они, скрыты звездочками. Также он может сканировать устройства с Bluetooth, если Bluetooth адаптер подключен к локальной системе.

— Есть ли связь между этой новой киберугрозой и предыдущими крупномасштабными вирусными атаками?
— Мы пытаемся сравнивать и находить сходство между этой атакой и предыдущими. Но таких атак мало в основном — это Stuxnet или Duqu. Нет достоверной связи между Stuxnet и Flame. Вирусы совершенно разные. Потому что Stuxnet был небольшим приложением, разработанный для конкретной цели для взаимодействия с промышленными системами управления и их взлома. Flame — это универсальный набор инструментов для организации атаки, используются в основном для кибершпионажа.

Единственное, что общее у Flame, Stuxnet и Duqu — это уязвимости ПК. Вероятно, они копировали их друг у друга, когда были опубликованы эти вирусы.

— То есть это означает, что кибервойна стремительно развивается, и Flame — яркое подтверждение этой тенденции. Могут менее технологически развитые страны противостоять таким атакам, или игра окончена для них?
— Игра не окончена, потому что даже если страна не развиты технологически в этой области, это не мешает им сотрудничать с такими организациями, как наша, и с частными компаниями в индустрии безопасности, которые могут предоставить им ценные части информации, которая может привести к выявлению таких угроз. А когда мы обнаруживаем угрозы, мы постоянно добавлять их в антивирусные базы, и пользователи из таких стран могут использовать триал и коммерческий антивирус для защиты своих систем.

— Flame может собрать огромный пласт данных. Кто нуждается в таких данных и реально ли проанализировать такой поток информации?
— Прежде всего, когда мы говорим о размере анализируемых данных, мы знаем, что нападавшие не заражают как можно больше жертв. Их ресурсы ограничены. И кажется, что они это сами понимают. Количество зараженных машин более или менее поддерживается на одном и том же уровне. Когда заканчивается анализ данных, украденных из одной сети, они направляют вирус в другую сеть. Мы считаем, что они извлекают только те данные, в которых заинтересованы.

— То есть мы можем назвать это кибервойной, если да, то почему?
— Stuxnet и Duqu были яркими примерами кибероружия, которое могло физически уничтожить инфраструктуру, а Flame — продолжение этой истории. Мы считаем, что кибервойна уже продолжается многие годы. Люди просто не знают о ней, потому что кибервойна имеет уникальную особенность: она скрыта. Никто не знает, когда операции кибервойны продолжатся. Это их основная особенность.

— Кто стоит за кибератаками?
— Как и в случае с Stuxnet и Duqu, в настоящее время неясно, кто за ними стоит. Очень трудно выяснить, кто за этим стоит, потому что, когда мы пытаемся проследить, кто контролирует приложение – оно подключается к командному центру контроля — а это, оказывается … десятки или даже больше серверов раскинутых по всему миру. Более чем 80 или 90 доменов, связанны с этими серверами. Большинство из них зарегистрированы с использованием поддельных данных. Они очень хорошо защищены и скрыты.

Поэтому, неясно, кто стоит за этим, и мы стараемся не спекулировать на тему, кто может стоять за аттаками. Мы пытаемся основываться на чистых фактах. Примером может послужить язык, который мы извлекли из кода. Мы обнаружили следы хорошего английского языка, используемого внутри кода.

— Так как вы считаете, кто победит в этой войне?
— Честно говоря, я считаю что человечество проиграет, потому что мы боремся друг с другом, вместо того, чтобы бороться с глобальными проблемами, касающимися каждого.

Источник: rt.com, 29 мая 2012


Перевод выполнен abv24.com




Опубликовано 24.07.2012 в 7:25 пп · Автор abv24 · Ссылка
Рубрики: Технологии · Теги: ,

@Mail.ru