近日,卡巴斯基实验室率先宣布发现一种高度复杂的恶意程序Flame,这种程序正在被用作网络武器,并在几个国家发起攻击。新发现的这种恶意程序,其功能和复杂度大大超过目前已知的所有网络威胁。
卡巴斯基实验室的专家们是在参与由国际电联(ITU)发起的一项研究调查中发现的这个恶意程序,卡巴斯基实验室的产品将其检测为Worm.Win32.Flame,该程序专门用来执行网络间谍活动。它可以盗取有价值的信息,包括计算机显示内容、针对性系统数据、储存的文件、联系人清单,甚至还有音频对话内容。
在经历一系列毁坏性的未知恶意程序事件后,特别是横扫西亚的Wiper恶意程序,将该地区多台计算机中的数据删除,国际电联与卡巴斯基实验室开展了一项独立调查。初步的研究发现这种恶意程序其实早在2010年3月,就被录入“流行病毒清单”,由于极其复杂的结构、再加上能发起针对性攻击的特点,之前一直没有被安全软件检测到。
尽管Flame的特点有别于之前臭名昭著的网络武器Duqu和Stuxnet,这两个程序一般发起地区性的攻击并利用特殊的软件漏洞,而事实表明,Flame仅攻击少量的计算机。这就说明Flame属于一种超级网络武器。
卡巴斯基实验室创始人之一及CEO尤金·卡巴斯基在谈到Flame时说:“网络战争的危险是近几年来信息安全领域最热点和最严肃的话题之一。Stuxnet和Duqu引发的连锁性攻击,让全世界都提高了对网络战争的忧虑。在这样的战争中,Flame恶意程序又给我们带来了另外一种景象,这种网络武器可以轻易的对任何一个国家发起攻击。与传统的战争不同,在这种局势下,最发达的国家往往是最薄弱的一方。”
Flame的最初目标看上去是从事间谍活动,盗取受感染设备上的信息数据。被盗取的信息随后被发送至遍布在世界各地的控制与指令中心。Flame盗取的信息可谓包罗万象,包括各种文档、截屏、录音,它还能拦截网络流量,这些行为都足以证明Flame是迄今发现的最高级和最全面的网络攻击工具之一。而Flame的具体感染范围目前正在逐步清晰,但能肯定的一点是Flame能够采用多种办法来复制一个本地网络,包括早前由Stuxnet发现的打印机漏洞和USB感染方法。
卡巴斯基实验室首席安全专家Alexander Gostev评论道:“此项研究的初衷是应国际电联的紧急请求,国际电联已经确认了这种恶意程序的高度针对性特点。最值得警惕的是,Flame网络攻击行动目前还处于积极活动的状态,其操控者一直在监测受感染的系统,收集信息并继续攻击新的系统,其目的尚且不明。”
卡巴斯基实验室的专家们目前正在对Flame进行更深层次的分析。在接下来的几天中,将陆续揭开该威胁的一些细节情况。目前,我们已经了解到它由多个模块构成,总体由几兆可执行代码组成,比Stuxnet大20倍左右。这也意味着对它的分析要求一个庞大的团队,该团队需要由多名顶级安全专家和具有丰富经验的反向技术工程师组成。
与此同时,国际电联将启用ITU-IMPACT网络,该网络囊括142个国家和几大业内厂商,包括卡巴斯基实验室,目的在于提醒政府和技术社区有关此次网络威胁的动态,并加快技术分析的步伐。