Четверо на одного: Касперский VS Flame
Исследования, проведенные «Лабораторией Касперского» относительно вредоносной программы Flame, показали, что ее разработка была начата еще в 2006 году. Кроме того, обнаружились следы еще трех вирусных программ.
Удалось выяснить, что к запуску этой вредоносной программы, очень схожей по своей конфигурации с червем Stuxnet, причастны государственные киберструктуры. Программа была замечена в мае 2012 года, но, по словам исследователей, успешно функционировала еще с 2008 года. ИМПАКТом, партнером Международного союза электросвязи, было передано сообщение всем 144-м членам сообщества о блокировке и искоренении данного вируса.
Специалисты «Лаборатории Касперского» сумели в кратчайшие сроки после обнаружения проблемы отключить инфраструктуру управления Flame. Серверы, на базе контента которых и проводился анализ, работали с виртуализацией на контейнерах OpenVZ на 64-битной операционной системе Debian. Интерфейс сервера, схожий с системой управления контентом, притупил бдительность хостинг-провайдеров.
К сожалению, полностью приостановить действие родственных с Flame вирусов не удалось. При помощи сложнейших шифровок и анализа скриптов было выявлено четыре коммуникационных протокола, но совместимость с Flame имел только один из них.
Кроме того, в ходе исследования было установлено, что платформа Flame все еще развивается. В мае 2012 года была сделана запись о «Красном протоколе».
Главный антивирусный эксперт «Лаборатории Касперского» уточнил, что в ходе операции обезвреживания программы также прояснился масштаб поражения вирусом: с нескольких тысяч компьютеров было загружено около пяти гигабайтов информации.
Из результатов исследования очевидно, что Flame имеет еще три родственные программы, находясь при этом на стадии разработки, о чем упоминается в «Красном протоколе». Программа уже давно орудует на различных серверах, умело маскируясь под систему управления контентом.