Symantec: Flame - первый червь, использующий электронных «жучков»

W32.Flamer подслушивает разговоры, используя технологии Bluetooth

ПредыдущаяСледующая
Symantec Logo

Корпорация Symantecраскрывает информацию о потенциале использования технологий Bluetooth червём W32.Flamer – самой сложной вредоносной программой со времён Stuxnet и Duqu. Злоумышленники получают возможность идентифицировать мобильное устройство пользователя на расстоянии до одной мили и даже отслеживать местонахождение жертвы, красть конфиденциальную информацию и прослушивать разговоры.

Из всех обнаруженных до сих пор угроз для Windows-платформ, W32.Flamer – единственная, столь широко использующая технологи Bluetooth вредоносная программа, что является ещё одним веским подтверждением её создания в качестве шпионского инструмента несанкционированного сбора информации.

Функциональность, использующая технологии Bluetooth, реализован в модуле “BeetleJuice”. Его запуск производится в соответствии со значениями конфигурационных параметров, заданными атакующим. При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка. Это означает, что заражённый червём W32.Flamer компьютер всегда будет виден при поиске Bluetooth-устройств. В дополнение к самозасвечиванию W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле “description”. И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает это поле: Flame

Ниже представлены несколько сценариев использования технологий Bluetooth червём W32.Flamer.

Сценарий №1 – Определение социальных связей жертвы

Постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого червём W32.Flamer компьютера, позволяет злоумышленнику фиксировать устройства, обнаруженные в течение дня. Это особенно эффективно, если зараженный компьютер является ноутбуком, поскольку жертва обычно носит его с собой. Через некоторое время злоумышленник получает список различных обнаруженных устройств – преимущественно мобильных телефонов друзей и знакомых жертвы. И на основе подобных наблюдений он создаёт схему взаимосвязей жертвы с другими людьми и определяет её социальные связи и профессиональный круг общения.

Сценарий №2 – Идентификация местонахождения жертвы

После заражения компьютера злоумышленник может принять решение, что его владелец ему особенно интересен. Возможно, ему известно здание, в котором располагается жертва, но не её офис. Однако, используя технологии Bluetooth, злоумышленник может определить местоположение заражённых устройств.

Bluetooth – это радиоволны. Измеряя уровень радиосигнала, злоумышленник может определить приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет злоумышленнику определить физическое расположение заражённого компьютера или устройства жертвы.

Более предпочтительной альтернативой определения местоположения компьютера является идентификация мобильного телефона жертвы. Модуль “BeetleJuice” уже собрал список идентификаторов устройств, находящихся рядом с заражённым компьютером, поэтому злоумышленник знает, какие устройства принадлежат жертве. Одно из них – мобильный телефон, который большую часть времени находится у жертвы. И теперь атакующий может вести пассивный мониторинг жертвы без необходимости установки либо модификации её устройств. Оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах и любых транспортных узлах; и это оборудование будет выискивать идентификаторы устройств, принадлежащих жертве. Ряд атак позволяет идентифицировать Bluetooth-устройство на расстоянии более мили (1609 м). Наиболее зловещим аспектом такой слежки является возможность точной локализации жертвы и более лёгкого отслеживания её в будущем.

Сценарий №3 – Расширенный сбор информации

Значительная часть функциональности W32.Flamer реализована в виде скриптов Lua, или «приложений» ('apps'), загружаемых из хранилища приложений ('apprepository’) FLAME. Для атакующего не составит никакого труда разместить новое вирусное приложение Bluetooth Lua в хранилище FLAME для загрузки на зараженное устройство. С увеличением функциональности злоумышленник, уже идентифицировавший Bluetooth-устройства, находящиеся в пределах досягаемости, может предпринять ряд атак:

  • Выкрасть контакты из адресной книги, SMS-сообщения, картинки и многое другое;
  • Использовать Bluetooth-устройство для подслушивания, подключив к нему заражённый компьютер в качестве аудио-гарнитуры; когда Bluetooth-устройство находится в переговорной или с него осуществляется звонок, злоумышленник может всё слышать;
  • Передавать похищенные данные через каналы связи другого устройства, что позволяет обойти межсетевые экраны и средства мониторинга сети. Для этого злоумышленник, может использовать собственное Bluetooth-устройство, находящееся в пределах мили от источника.

Возможно, что W32.Flamer содержит нераскрытый код, который уже обеспечивает достижение этих целей. Например, несмотря на то, что ещё не обнаружен код маяка, один зараженный компьютер может связываться с другим по протоколу Bluetooth. И если второй компьютер, подключённый к защищённой сети, был заражён через USB-подключение, то единственной доступной сетью для него может стать имеющееся Bluetooth-подключение к заражённому компьютеру. Код для обеспечения этого, возможно, уже имеется в Win32.Flamer.

Описанные предположения являются практически осуществимыми атаками, которые можно легко реализовать при должной технической подготовке. А сложность W32.Flamer указывает на очень хорошую техническую подготовку злоумышленников, и такие атаки им по плечу.

8 июня 2012 Г.

09:45

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Однокристальная система Apple A12 будет быстрее A11 Bionic, по крайней мере, на 20% : При этом ее энергопотребление будет меньше 9

Опубликованы полные правила модерирования Facebook: Публикация правил призвана устранить недопонимание и сделать позицию компании более открытой13

Samsung готовит смартфоны Galaxy S8 Lite и Galaxy A8 Star: Первый получит SoC Snapdragon 660, а второй — Exynos 78854

Новый дрон Xiaomi стоит всего 64 доллара: Но в воздухе он продержится не более 10 минут9

Смартфон Nokia X6 в зависимости от модификации получит либо SoC MediaTek Helio P60, либо Snapdragon 636: Также аппарат должен порадовать камерой4

Компьютерный корпус X2 Pirate 1416 рассчитан на платы Micro-ATX: Но при этом позволяет установить длинную видеокарту2

Представлены твердотельные накопители Samsung 970 Pro и 970 Evo: Они очень похожи по параметрам, но используют разную память29

Полупроводниковый рынок в прошлом году вырос на 21,6%: Лидером стала Samsung, но Intel отстаёт несущественно3

Смартфон Samsung Galaxy Note7 получил сертификат Wi-Fi Alliance: Да-да, это та самая модель Samsung Galaxy Note7 11

К 2024 году выпуск панелей AMOLED увеличится более чем вчетверо: Так думают аналитики IHS Markit6

Apple нанимает бывшего вице-президента Samsung: Он возглавит работу отделения Apple Korea77

Смартфон Xiaomi Mi 6X обойдётся покупателям в 285 либо 315 долларов: Отличаться модификации якобы будут лишь объёмом ОЗУ19

MSI Mag Pylon — компьютерный корпус со стеклянными панелями и тремя предустановленными вентиляторами с подсветкой: Стоимость корпуса, к сожалению, пока неизвестна5

Huawei возглавила рынок смартфонов Китая в прошлом квартале: Но это при условии учёта продаж бренда Honor4

Ожидается, что операционная прибыль Sharp по итогам финансового года вырастет на 50%: А выручка при этом увеличится на 20%1

ID-Cooling IS-60 — низкопрофильный кулер, который справится с процессорами с TDP 130 Вт: Он располагает шестью тепловыми трубками3

Фотографии смартфона Xiaomi Mi 6X появились в Сети за день до анонса: Цена будет начинаться с отметки 285 долларов6

Прибыль SK Hynix за последний год существенно возросла: Несмотря на продолжающийся рост цен на модули памяти DRAM и NAND объем поставок снизился на 5 и 10% соответственно3

Новые модули памяти Team Group по оформлению соответствуют изделиям линейки Asus TUF Gaming: Модули T-Force Vulcan DDR4 предложены в наборах по две штуки

Профессиональные наушники Pioneer DJ HDJ-S7 предложены в двух вариантах: Наушники Pioneer DJ HDJ-S7 адресованы ди-джеям11

Доход Alphabet вырос на 26%: Он составил 31,1 млрд долларов3

Смартфон LG G7 ThinQ будет представлен 2 мая: Опубликованы новые качественные изображения 3

Еврокомиссия изучит покупку Shazam компанией Apple : Результат должен быть оглашен до 4 сентября8

Ноутбук Primebook работает под управлением PrimeOS, созданной на базе ОС Android: Устройство оснащено 13-дюймовым экраном разрешением 1366 х 768 пикселей, однокристальной системой Rockchip RK3288, 2 ГБ оперативной и 64 ГБ флэш-памяти10

AMD попробует бороться с добытчиками криптовалют, продавая 3D-карты в комплектах AMD Combat Crate : Комплект AMD Combat Crate включает процессор, 3D-карту и системную плату28

DxO Labs начинает процесс банкротства: DxO Labs обещает, что клиенты не будут затронуты43

Прошивку Flyme 7 получат более 20 моделей смартфонов Meizu : Система искусственного интеллекта OneMind v2.0 старается лучше понять, какие приложения пользователю нужны чаще всего

Видеоролик демонстрирует последнюю версию прошивки для умных часов Nokia Moonraker: В меню операционной системы присутствовал пункт My Phone, который использовался для синхронизации со смартфоном5

Смартфон Asus ZenFone Ma Pro M1 получил аккумулятор емкостью 5000 мА•ч: Цена колеблется от 165 до 225 долларов7

У EK Water Blocks готов первый водоблок для системных плат на чипсете AMD X470: EK-FB ASUS Strix X470 RGB Monoblock можно использовать даже с помпами небольшой мощности

Amazon разрабатывает домашнего робота: Прототипы уже могут самостоятельно перемещаться из комнаты в комнату12

Флагманский смартфон 360 Mobiles будет выпущен в мае: 360 Mobiles на прошлой неделе запустила в массовое производство новый смартфон

Смартфон Nokia X оснащен поддержкой 10-ваттной зарядки: Совсем скоро ожидается анонса смартфона Nokia X, который станет преемником оригинальной одноименной модели, выпущенной в 2014 году9

iXBT TV

  • Обзор игрового компьютера Flextron Astra российской компании «Ф-Центр»

  • Второе поколение Ryzen, флагманский Honor 10, Telegram не сдается

  • Обзор «умного» мультипекаря Redmond SkyBaker RMB-M657/1S

  • Обзор вертикального аккумуляторного циклонного пылесоса Kitfort KT-527

  • Клавиатура TT eSports Premium X1 RGB – богатые возможности

  • Обзор источника бесперебойного питания APC Smart-UPS On-line SRC1KI

  • Apple работает над модульным ПК и процессором, слайдер-смартфон, Tesla должна ответить

  • Обзор инсталляционного проектора Panasonic PT-MZ670E с лазерно-люминофорным источником света

  • Обзор перфоратора Bosch GBH 2-26 DFR Professional

  • Обзор среднебюджетного блока питания Cougar GX-S 750

  • Представлены Apple iPad 2018, Huawei P20 и P20 Pro, Xiaomi Mi Mix 2s!

  • Обзор микрокомпьютера Intel Compute Card размером с кредитку

Календарь

июнь
Пн
Вт
Ср
Чт
Пт
Сб
Вс