Symantec: Flame - первый червь, использующий электронных «жучков»

1174
Symantec Logo

Корпорация Symantecраскрывает информацию о потенциале использования технологий Bluetooth червём W32.Flamer – самой сложной вредоносной программой со времён Stuxnet и Duqu. Злоумышленники получают возможность идентифицировать мобильное устройство пользователя на расстоянии до одной мили и даже отслеживать местонахождение жертвы, красть конфиденциальную информацию и прослушивать разговоры.

Из всех обнаруженных до сих пор угроз для Windows-платформ, W32.Flamer – единственная, столь широко использующая технологи Bluetooth вредоносная программа, что является ещё одним веским подтверждением её создания в качестве шпионского инструмента несанкционированного сбора информации.

Функциональность, использующая технологии Bluetooth, реализован в модуле “BeetleJuice”. Его запуск производится в соответствии со значениями конфигурационных параметров, заданными атакующим. При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка. Это означает, что заражённый червём W32.Flamer компьютер всегда будет виден при поиске Bluetooth-устройств. В дополнение к самозасвечиванию W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле “description”. И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает это поле:

Flame

Ниже представлены несколько сценариев использования технологий Bluetooth червём W32.Flamer.

Сценарий №1 – Определение социальных связей жертвы

Постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого червём W32.Flamer компьютера, позволяет злоумышленнику фиксировать устройства, обнаруженные в течение дня. Это особенно эффективно, если зараженный компьютер является ноутбуком, поскольку жертва обычно носит его с собой. Через некоторое время злоумышленник получает список различных обнаруженных устройств – преимущественно мобильных телефонов друзей и знакомых жертвы. И на основе подобных наблюдений он создаёт схему взаимосвязей жертвы с другими людьми и определяет её социальные связи и профессиональный круг общения.

Сценарий №2 – Идентификация местонахождения жертвы

После заражения компьютера злоумышленник может принять решение, что его владелец ему особенно интересен. Возможно, ему известно здание, в котором располагается жертва, но не её офис. Однако, используя технологии Bluetooth, злоумышленник может определить местоположение заражённых устройств.

Bluetooth – это радиоволны. Измеряя уровень радиосигнала, злоумышленник может определить приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет злоумышленнику определить физическое расположение заражённого компьютера или устройства жертвы.

Более предпочтительной альтернативой определения местоположения компьютера является идентификация мобильного телефона жертвы. Модуль “BeetleJuice” уже собрал список идентификаторов устройств, находящихся рядом с заражённым компьютером, поэтому злоумышленник знает, какие устройства принадлежат жертве. Одно из них – мобильный телефон, который большую часть времени находится у жертвы. И теперь атакующий может вести пассивный мониторинг жертвы без необходимости установки либо модификации её устройств. Оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах и любых транспортных узлах; и это оборудование будет выискивать идентификаторы устройств, принадлежащих жертве. Ряд атак позволяет идентифицировать Bluetooth-устройство на расстоянии более мили (1609 м). Наиболее зловещим аспектом такой слежки является возможность точной локализации жертвы и более лёгкого отслеживания её в будущем.

Сценарий №3 – Расширенный сбор информации

Значительная часть функциональности W32.Flamer реализована в виде скриптов Lua, или «приложений» ('apps'), загружаемых из хранилища приложений ('apprepository’) FLAME. Для атакующего не составит никакого труда разместить новое вирусное приложение Bluetooth Lua в хранилище FLAME для загрузки на зараженное устройство. С увеличением функциональности злоумышленник, уже идентифицировавший Bluetooth-устройства, находящиеся в пределах досягаемости, может предпринять ряд атак:

  • Выкрасть контакты из адресной книги, SMS-сообщения, картинки и многое другое;
  • Использовать Bluetooth-устройство для подслушивания, подключив к нему заражённый компьютер в качестве аудио-гарнитуры; когда Bluetooth-устройство находится в переговорной или с него осуществляется звонок, злоумышленник может всё слышать;
  • Передавать похищенные данные через каналы связи другого устройства, что позволяет обойти межсетевые экраны и средства мониторинга сети. Для этого злоумышленник, может использовать собственное Bluetooth-устройство, находящееся в пределах мили от источника.

Возможно, что W32.Flamer содержит нераскрытый код, который уже обеспечивает достижение этих целей. Например, несмотря на то, что ещё не обнаружен код маяка, один зараженный компьютер может связываться с другим по протоколу Bluetooth. И если второй компьютер, подключённый к защищённой сети, был заражён через USB-подключение, то единственной доступной сетью для него может стать имеющееся Bluetooth-подключение к заражённому компьютеру. Код для обеспечения этого, возможно, уже имеется в Win32.Flamer.

Описанные предположения являются практически осуществимыми атаками, которые можно легко реализовать при должной технической подготовке. А сложность W32.Flamer указывает на очень хорошую техническую подготовку злоумышленников, и такие атаки им по плечу.

8 июня 2012

09:45

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

TowerJazz и Tacoma Semiconductor Technology договорились построить фабрику в Китае: Израильская компания поделится опытом, Tacoma Semiconductor Technology возьмет на себя расходы

Новому смартфону Apple iPhone приписывают способность распознать лицо пользователя «за миллионные доли секунды»: Кроме того, 3D-сканер будет использоваться в приложениях дополненной реальности4

DockCase — чехол и стыковочная станция для ноутбука Apple MacBook Pro: Минимальный взнос, позволяющий надеяться на получение DockCase в ноябре 2017 года, равен $79

Представлен смартфон Xiaomi Redmi Note 5A, который оснастили 16-мегапиксельной фронтальной камерой : Xiaomi Redmi Note 5A оценён в 135 долларов

Системная плата Asus B250 Expert Mining оснащена 19 слотами расширения PCIe и тремя 24-контактными разъемами питания: Системная плата Asus B250 Expert Mining предназначена для добычи криптовалют8

Inno3D будет снимать с гарантии видеокарты, повреждённые в процессе майнинга : Inno3D не будет ремонтировать или менять видеокарты майнеров7

34% всех оплат в США к 2022 году будут проведены бесконтактным способом : Бесконтактные методы проведения платежей будут набирать популярность 23

Cisco приобретает компанию Springpath за 320 млн долларов: Покупка Springpath обойдётся Cisco в 320 млн долларов1

Глобальный запуск голосового помощника Samsung Bixby может состояться уже завтра: Завтра Samsung может запустить Bixby во многих странах мира1

Смартфон Samsung Galaxy A5 Pro может получить больше оперативной памяти, чем международная версия Galaxy S8: Samsung Galaxy A5 Pro будет основан на SoC Snapdragon 660

Старшая модификация смартфона Samsung Galaxy Note8 в Китае будет стоить около 1200 долларов: В Китае за Samsung Galaxy Note8 будут просить до 1200 долларов13

Появилось первое изображение объектива Olympus M.Zuiko Digital 17mm F1.2 Pro [Обновлено]: Новый объектив будет представлен одновременно с камерой Olympus OM-D E-M10 Mark III13

Рынок технологий обработки естественной речи к 2025 году достигнет 22,3 млрд долларов: Аналитики Tractica прогнозируют быстрый рост рынка технологий обработки естественной речи 6

Представлена видеокарта Asus ROG Strix RX VEGA64 OC Edition: Asus анонсировала 3D-карту ROG Strix RX VEGA64 OC Edition2

Рынок DRAM во втором квартале 2017 года достиг 16,51 млрд долларов, доля Samsung превысила 46%: По сравнению с первым кварталом рынок DRAM вырос на 17%11

Опубликованы «живые» фото смартфона Motorola Moto X4: Ожидается выпуск двух вариантов устройства1

Представлены процессоры Intel Core восьмого поколения, в рамках которого компания выпустит три различных семейства CPU: В восьмое поколение CPU Intel Core войдут решения Kaby Lake Refresh, Coffee Lake и Cannonlake 28

Фотогалерея дня: «шпионские» снимки компонентов смартфона Apple iPhone следующего поколения: Анонс смартфона Apple iPhone следующего поколения ожидается этой осенью35

Qualcomm расширяет сотрудничество с TSMC и другими тайваньскими компаниями: В числе партнеров Qualcomm названы Acer, Foxconn Electronics, Compal Electronics и Wistron

Карты памяти Adata ICFS314 соответствуют спецификациям CFast 2.0: Карты памяти Adata ICFS314 выпускаются объемом от 32 до 512 ГБ

Появились сведения о цене устройства Samsung Gear Fit2 Pro: Предположительно, умный браслет Samsung Gear Fit2 Pro будет представлен 23 августа

Процессоры Intel Core восьмого поколения будут заметно производительнее своих предшественников: Первые ноутбуки на процессорах Intel Core восьмого поколения должны появиться на рынке в сентябре50

В Samsung Galaxy Note 8 не будут использоваться аккумуляторы ATL: Специалисты не ожидают, что такое положение вещей нанесет сильный удар по ATL

Гарнитура виртуальной реальности HTC Vive подешевела до $599: Гарнитура конкурентов Oculus Rift стоит на 100 долларов меньше

Появились первые сведения о GPU AMD Radeon Vega 8 Mobile и Radeon Vega 10 Mobile: Графические процессоры AMD Radeon Vega Mobile интегрированы в APU Raven Ridge 10

Смартфон Meizu M6 Note с SoC Snapdragon 625 замечен в базе данных Geekbench: Анонс Meizu M6 Note намечен на 23 августа

Смартфон Meiigoo S8+ получит изогнутый дисплей и 8 ГБ ОЗУ: Что-то подсказывает, что в плане дизайна он будет похож на флагман южнокорейской компании Samsung3

Основная часть стартовой партии SoC Snapdragon 845 будет предназначена для Samsung Galaxy S9: Стоит констатировать, что по сути речь идет о повторении ситуации, которая наблюдалась весной этого года с SoC Snapdragon 8353

Названы даты начала приема предварительных заказов и начала отгрузки смартфонов Samsung Galaxy Note8: Анонс Samsung Galaxy Note8 ожидается 23 августа12

АС Google Home научилась воспроизводить музыку по Bluetooth : Функциональность работает в тестовом режиме, поэтому в некоторых случаях наблюдается прерывание воспроизведения3

Huawei распродает запасы смартфонов Mate 9, готовясь к анонсу Mate 10: Huawei Mate 9 Pro с 4 ГБ ОЗУ и 64 ГБ флэш-памяти в данный момент подешевел почти на 150 долларов 2

Uber может возглавить бывший директор General Electric: Uber сузила круг потенциальных руководителей компании до трех человек2

Инженер Samsung утверждает, что концепт смартфона Xiaomi Mi Mix 2 не может быть реальностью: Источник также сообщает, что соотношение сторон дисплея Xiaomi Mi Mix 2 сменится с 17:9 на 18:93

Ограниченная серия консолей Project Scorpio будет стоить столько же, сколько и Xbox One X: В продажу Project Scorpio и обычная версия Xbox One X поступят 7 ноября 2017 года5

Смартфон Xiaomi A1, выпущенный в рамках программы Android One, будет основан на модели Mi 5X: Xiaomi готовит смартфон A17

Мобильные процессоры Core i5 и Core i7 линейки Coffee Lake-U будут четырёхъядерными: CPU Core i5-8250U будет иметь четыре ядра3

Появилось первое изображение новой модели умного термостата Nest: Эван Блэсс опубликовал изображение нового термостата Nest8

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор легкой, компактной и дешевой мясорубки Kitfort KT-2101 Carnivora

  • Обзор беззеркальной фотокамеры Fujifilm X-T20

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

1212

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать