Кибершпионы Duqu, Stuxnet, Flame, Gauss - что дальше?
(Тарасов А. М.)
("Право и кибербезопасность", 2012, N 1)
Текст документа
КИБЕРШПИОНЫ DUQU, STUXNET, FLAME, GAUSS - ЧТО ДАЛЬШЕ?
А. М. ТАРАСОВ
Тарасов А. М., главный советник генерального директора ЗАО "Лаборатория Касперского" по юридическим вопросам, заслуженный юрист Российской Федерации, заслуженный сотрудник ОВД Российской Федерации, доктор юридических наук, профессор.
Рассматриваются проблемы киберугроз. Обосновывается целесообразность принятия конвенции ООН о международной информационной безопасности.
Ключевые слова: "Лаборатория Касперского", кибершпионаж, Flame, Duqu, Stuxnet, Red Protocol, ООН, Совет Европы, конвенция.
Cyber spies Duqu, Stuxnet, Flame, Gauss - what's next?
A. M. Tarasov
The author considers issues of cyber threats, substantiates the expediency of the UN Convention on International Information Security.
Key words: Kaspersky Lab, cyber espionage, Flame, Duqu, Stuxnet, Red Protocol, the UNO, the Council of Europe, convention.
Согласно данным ЗАО "Лаборатория Касперского", компанией ежедневно выявляется до 125 тысяч новых вредоносных объектов.
Анализ установленных "Лабораторией" кибератак свидетельствует также о том, что на киберсцену выходят все новые, более и разносторонне подготовленные организаторы и исполнители. Злоумышленники постоянно совершенствуют способы и средства заражения, стремятся действовать в обход созданных систем киберзащиты. Когорту активных киберсубъектов пополняют высокие должностные лица и целые государства. Например, кибершпионаж уже стал общепринятой мировой практикой. В целом ряде государств активно действуют специально созданные кибервойска. Сегодня широко применяются и межгосударственные координационные центры, сформированные для организации и проведения масштабных кибератак.
При этом мало кого смущает и сдерживает пыл то обстоятельство, что на определенном этапе не знающее границ кибероружие может выйти из-под контроля и причинить вред и жертвам, и нападающим, и просто людям. Ведь его компоненты могут быть перепрограммированы и перенацелены. И что тогда? Разрушенные промышленные системы, свергнутые политические режимы. Киберхаос?!
Кто победитель, кто проигравший - вопрос останется открытым? Однако для будущего человечества перспективы грустные.
Недавней и значимой для пользователей сети Интернет международной новостью стали результаты независимого исследования сложной вредоносной программы, получившей название Flame.
Исследование было проведено "Лабораторией Касперского" при участии МСЭ-ИМПАКТ, CERT-Bund/BSI и компании Symantec, а инициировано Международным союзом электросвязи. Полученные "Лабораторией" результаты киберресурсных возможностей Flame, а также информация о способах блокирования и удаления этой программы были переданы в организацию "Международное многостороннее партнерство против киберугроз" (IMPACT). IMPACT информацию о данной киберугрозе переадресовало в 142 страны, входящие в состав партнерства, а также техническому сообществу.
Экспертами и аналитиками "Лаборатории" установлено, что внедрение Flame началось еще в 2006 г. и, кстати, продолжается в настоящее время. Программа Flame, задетектированная защитными продуктами "Лаборатории Касперского", в частности Worm. Win32.Flame, была создана для похищения с зараженных ЭВМ информации, связанной с сетевым трафиком широкого спектра. Например, документов, хранящихся на различных активных носителях, файлов, хранящихся на компьютере, картинок с экрана монитора, аудиозаписей. В круг "снимаемой" информации также попали персональные данные пользователей, аудиозаписи разговоров. При этом похищенные данные передавались в сеть командных серверов, размещенных в различных странах. Такая направленность программы и ее ресурсные возможности поставили ее в самый верхний ряд среди наиболее многофункциональных средств реализации масштабных кибератак. Причем цели таких атак могут иметь как криминальную, так и политическую направленность.
В результате технического анализа кода Flame эксперты "Лаборатории Касперского" обнаружили сходство с другими ранее выявленными вредоносными программами, в частности Duqu и Stuxnet. Сходство Flame с известным червем Stuxnet подтверждается, например, тем, что Flame по своим целям и технологической сути - это очередная комплексная программа, созданная при поддержке не установленного на данный момент государства (государств) для проведения масштабных разведывательных операций в киберпространстве. А география атак, использование индивидуальных уязвимостей в программном обеспечении, избирательная направленность атак указывают на то, что Flame, как и Duqu и Stuxnet, относится к категории сверхсложного кибероружия.
Для иллюстрации данного вывода приведем один пример. Только за одну неделю и только на/через один сервер программой "выгружалось-загружалось" более пяти гигабайтов данных с более чем 5000 зараженных компьютеров. При этом по сложности и функциональному ресурсу Flame превзошел все ранее известные программы киберугроз.
Отметим также, что чистота и обоснованность результатов исследования, проведенного в "Лаборатории Касперского", основана на анализе контента нескольких командных серверов, которые использовались Flame. При этом подчеркнем, что информацию о программе и ее возможностях удалось получить, невзирая на то, что активность инфраструктуры управления Flame после обнаружения программы специалистами "Лаборатории" была приторможена.
Кстати, одной из причин длительного необнаружения Flame стало то обстоятельство, что ее разработчики сконструировали интерфейс командного сервера по принципу имитации обычной системы управления контентом (CMS). Это позволило избегать подозрений со стороны хостинг-провайдера и оставаться "в тени" в ходе проведения внешнего тестирования (проверок). К тому же серверы получали данные с зараженных компьютеров с использованием четырех различных протоколов, только один из которых применялся на компьютерах, зараженных Flame. Кроме того, для избежания утечки информации о программе и ее целях использовались сложные методы шифрования.
На данный момент также установлено, что вредоносная программа Flame содержит несколько модулей, насчитывающих в общей сложности многие мегабайты исполняемого кода, который по объему почти в 20 раз больше, чем размер кода червя Stuxnet. Вывод в этой связи: для комплексного изучения этого шпионского кибероружия необходимо объединение ресурсных возможностей различных государств и международных институтов, специализирующихся на решении вопросов кибербезопасности.
В настоящее время эксперты и аналитики "Лаборатории Касперского" продолжают углубленный анализ Flame. Недавно установлено, что данная программа может распространяться в сети несколькими способами, в т. ч. путем использования уязвимости в службе диспетчера печати, а также способом заражения через USB-устройство. Эти способы также применялись программой Stuxnet.
Кроме того, проведенный анализ скриптов дает основание сделать вывод, что сейчас как минимум еще одна родственная Flame киберпрограмма продолжает активно функционировать. Установлены также и признаки дальнейшей модификации платформы самой Flame. В частности, на попавших в фокус интереса экспертов "Лаборатории" серверах обнаружены следы созданного и потенциально подготовленного к реализации так называемого "Красного протокола" (Red Protocol). В фокусе глубокого изучения также находятся ресурсные возможности данной программы как средства заражения.
В последнее время программа проявляется в менее активной форме. Но с ее помощью продолжается отслеживание и снятие информации с зараженных объектов и их систем. Основная опасность заключается в том, что цели, для достижения которой используется Flame, мы сегодня твердо не знаем, а только предполагаем.
В заключение приведем комментарий генерального директора ЗАО "Лаборатория Касперского" Евгения Касперского относительно Flame: "Уже на протяжении нескольких лет опасность военных операций в киберпространстве является одной из самых серьезных тем информационной безопасности. Stuxnet и Duqu были звеньями одной цепи кибератак. Их применение вызвало озабоченность в связи с возможной перспективой развязывания кибервойн во всем мире. Зловред Flame, по всей вероятности, является еще одним этапом такой войны. Важно понимать, что подобное кибероружие легко может быть обращено против любого государства. Кроме того, в кибервойнах, в отличие от традиционных, развитые страны оказываются наиболее уязвимыми".
Для выживания человечества в эпоху нарастающей гонки кибервооружений, эффективного противодействия опасным кибервызовам, каковыми, в частности, являются реальные киберугрозы, заключающиеся в разработке и внедрении Stuxnet, Duqu, Flame и других вредоносных киберпрограмм, в частности троянца Gauss, специализирующегося на краже финансовой информации пользователей зараженных компьютеров, необходимо безотлагательное сопряжение ресурсных возможностей мирового сообщества государств, международных организаций и учреждений, а также общественных объединений, научных и коммерческих структур, специализирующихся на решении вопросов обеспечения безопасности при применении кибертехнологий в информационном пространстве.
В этой связи сегодня не только целесообразно, но даже необходимо не ограничиваться рамками национальных интересов, а под эгидой ООН активизировать формирование системы правовых отношений, регулирующих использование трансграничного киберпространства. Полагаем, что начать решение данного вопроса было бы правильно с разработки и принятия Конвенции ООН о международной информационной безопасности, предусмотрев в ней соответствующие принципы (правила), определяющие использование сети Интернет, информационных технологий в международных военно-политических целях. Например, для ведения кибервойн (враждебных действий и актов агрессии), особенно с целью свержения политических режимов, подрыва политической, экономической и социальной систем одного государства другим, манипулирования потоками в информационном пространстве других государств и, конечно, для выведения из нормального функционирования объектов критической инфраструктуры. При этом признать, что такие действия являются составными частями информационной войны и направлены против международного мира и безопасности. Напомним, что действующая Конвенция Совета Европы по противодействию киберпреступности имеет регионально-рамочный характер, Россия к ней не присоединилась.
Название документа