Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > Symantec: Flame - первый червь, использующий электронных «жучков»

Symantec: Flame - первый червь, использующий электронных «жучков»

Пятница, 8 июня 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e



Корпорация Symantec раскрывает информацию о потенциале использования технологий Bluetooth червём W32.Flamer - самой сложной вредоносной программой со времён Stuxnet и Duqu. Злоумышленники получают возможность идентифицировать мобильное устройство пользователя на расстоянии до одной мили и даже отслеживать местонахождение жертвы, красть конфиденциальную информацию и прослушивать разговоры.

Из всех обнаруженных до сих пор угроз для Windows-платформ, W32.Flamer - единственная, столь широко использующая технологи Bluetooth вредоносная программа, что является ещё одним веским подтверждением её создания в качестве шпионского инструмента несанкционированного сбора информации.

Функциональность, использующая технологии Bluetooth, реализован в модуле "BeetleJuice". Его запуск производится в соответствии со значениями конфигурационных параметров, заданными атакующим. При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка. Это означает, что заражённый червём W32.Flamer компьютер всегда будет виден при поиске Bluetooth-устройств. В дополнение к самозасвечиванию W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле "description". И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает это поле:

Ниже представлены несколько сценариев использования технологий Bluetooth червём W32.Flamer.

Сценарий №1 - Определение социальных связей жертвы

Постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого червём W32.Flamer компьютера, позволяет злоумышленнику фиксировать устройства, обнаруженные в течение дня. Это особенно эффективно, если зараженный компьютер является ноутбуком, поскольку жертва обычно носит его с собой. Через некоторое время злоумышленник получает список различных обнаруженных устройств - преимущественно мобильных телефонов друзей и знакомых жертвы. И на основе подобных наблюдений он создаёт схему взаимосвязей жертвы с другими людьми и определяет её социальные связи и профессиональный круг общения.

Сценарий №2 - Идентификация местонахождения жертвы

После заражения компьютера злоумышленник может принять решение, что его владелец ему особенно интересен. Возможно, ему известно здание, в котором располагается жертва, но не её офис. Однако, используя технологии Bluetooth, злоумышленник может определить местоположение заражённых устройств.

Bluetooth - это радиоволны. Измеряя уровень радиосигнала, злоумышленник может определить приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет злоумышленнику определить физическое расположение заражённого компьютера или устройства жертвы.

Более предпочтительной альтернативой определения местоположения компьютера является идентификация мобильного телефона жертвы. Модуль "BeetleJuice" уже собрал список идентификаторов устройств, находящихся рядом с заражённым компьютером, поэтому злоумышленник знает, какие устройства принадлежат жертве. Одно из них - мобильный телефон, который большую часть времени находится у жертвы. И теперь атакующий может вести пассивный мониторинг жертвы без необходимости установки либо модификации её устройств. Оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах и любых транспортных узлах; и это оборудование будет выискивать идентификаторы устройств, принадлежащих жертве. Ряд атак позволяет идентифицировать Bluetooth-устройство на расстоянии более мили (1609 м). Наиболее зловещим аспектом такой слежки является возможность точной локализации жертвы и более лёгкого отслеживания её в будущем.

Сценарий №3 - Расширенный сбор информации

Значительная часть функциональности W32.Flamer реализована в виде скриптов Lua, или «приложений» ("apps"), загружаемых из хранилища приложений ("apprepository’) FLAME. Для атакующего не составит никакого труда разместить новое вирусное приложение Bluetooth Lua в хранилище FLAME для загрузки на зараженное устройство. С увеличением функциональности злоумышленник, уже идентифицировавший Bluetooth-устройства, находящиеся в пределах досягаемости, может предпринять ряд атак:

Выкрасть контакты из адресной книги, SMS-сообщения, картинки и многое другое; Использовать Bluetooth-устройство для подслушивания, подключив к нему заражённый компьютер в качестве аудио-гарнитуры; когда Bluetooth-устройство находится в переговорной или с него осуществляется звонок, злоумышленник может всё слышать; Передавать похищенные данные через каналы связи другого устройства, что позволяет обойти межсетевые экраны и средства мониторинга сети. Для этого злоумышленник, может использовать собственное Bluetooth-устройство, находящееся в пределах мили от источника.

Возможно, что W32.Flamer содержит нераскрытый код, который уже обеспечивает достижение этих целей. Например, несмотря на то, что ещё не обнаружен код маяка, один зараженный компьютер может связываться с другим по протоколу Bluetooth. И если второй компьютер, подключённый к защищённой сети, был заражён через USB-подключение, то единственной доступной сетью для него может стать имеющееся Bluetooth-подключение к заражённому компьютеру. Код для обеспечения этого, возможно, уже имеется в Win32.Flamer.

Описанные предположения являются практически осуществимыми атаками, которые можно легко реализовать при должной технической подготовке. А сложность W32.Flamer указывает на очень хорошую техническую подготовку злоумышленников, и такие атаки им по плечу.

#vk

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 264
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

17: 40
Начат серийный выпуск SSD Samsung PM1643 объемом 30,72 ТБ |
16: 40
Неанонсированные процессоры Intel Coffee Lake уже появились в ассортименте некоторых зарубежных магазинов |
16: 40
Что выгоднее: электромобиль или дизель? |
16: 20
На фото засветился прототип смартфона Sony Xperia XZ2 Compact |
16: 20
Я б взял. Карманный Wi-Fi роутер, который работает без SIM-карты |
15: 40
Зайцы зимой больше не белые из-за потепления |
15: 20
Samsung представила самый ёмкий SSD в мире |
15: 20
Samsung запатентовала летающий экран, управляемый с помощью глаз |
15: 00
Xiaomi подготовила новые наушники для аудиофилов |
15: 00
Умные часы Suunto 3 Fitness умеют адаптироваться под различные виды тренировок |
15: 00
В мобильном ВКонтакте появились браузерные уведомления |
14: 40
Новые смартфоны Samsung семейства Galaxy J также могут получить дисплеи Infinity Display |
14: 40
Первое селфи марсохода Opportunity |
13: 40
Александр Грек о швейцарской армии и ответственности |
13: 40
Virgin Hyperloop One построит тестовую трассу в Индии |
13: 20
Virgin Hyperloop One подписала с властями Индии рамочное соглашение касательно постройки ветки Hyperloop |
13: 20
Nuance убивает клавиатуру Swype для Android и iOS |
12: 40
Apple устранила баг с «убийственным» индийским символом в iPhone и Mac |
12: 40
Уральские бубинги |
12: 40
Porsche открыла самую высокогорную точку продаж |
11: 40
Оптическая иллюзия: робот-художник не поспевает за рисунком |
11: 20
Для FreeBSD и QEMU/KVM предложены механизмы блокировки атак Spectre и Meltdown |
11: 20
Социальная сеть Uhsupp будет представлена одновременно с новым флагманом Samsung |
10: 00
Компания Spire анонсировала заточенный под майнинг блок питания SP-ATX-2000W-BTC/ETH |
10: 00
Прирост производительности у процессоров AMD Ryzen 2000 будет выше, чем можно было бы ожидать, учитывая разницу в частотах |
10: 00
Смартфон Samsung Galaxy S9+ набирает более 9000 баллов в тесте Geekbench |
09: 20
latex2html 2018 |
08: 40
Британец проехал на машине за пивом 32000 км |
07: 00
littleBits запускает более доступные инженерные наборы для детей |
07: 00
Apple выпустила macOS 10.13.3, tvOS 11.2.6, watchOS 4.2.3 |
18: 40
Чем грозит Млечному Пути неизбежное столкновение с галактикой Андромеды |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003

Август 2015: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31