Червь-“кибероружие” Flame продолжает подкидывать исследователям сюрпризы. Согласно выводам антивирусной компании Symantec, этот червь умеет использовать технологию Bluetooth для слежки и перехвата информации с других устройств.

Как поясняется в пресс-релизе Symantec, функционал, использующий технологии Bluetooth, реализован в отдельном модуле BeetleJuice, запуск которого производится в соответствии со значениями конфигурационных параметров, заданными атакующими.

При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка (хотя в Symantec признают, что так и не смогли обнаружить ещё код маяка). Это означает, что заражённый червём Flame (W32.Flamer по номенклатуре Symantec) компьютер всегда будет виден при поиске Bluetooth-устройств.

В дополнение к “самозасвечиванию” W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле “description”. И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает специфическое поле (тем самым выдавая себя с головой).

Всего Symantec удалось выделить три сценария использования Bluetooth червём Flame/Flamer. Первый – постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого компьютера. В результате злоумышленник получает список различных обнаруженных устройств, которые, скорее всего, окажутся в большинстве случаев мобильными телефонами знакомых жертвы. Тем самым можно попытаться выяснить, с кем общается жертва.

Второй сценарий подразумевает выяснение физического местоположения жертвы и выслеживание её. Описание Symantec выглядит несколько фантастично, но, судя по всему, подобный вариант развития событий вполне реален:

…злоумышленник может принять решение, что его владелец ему особенно интересен. Возможно, ему известно здание, в котором располагается жертва, но не её офис. Однако, используя технологии Bluetooth, злоумышленник может определить местоположение заражённых устройств.

Bluetooth – это радиоволны. Измеряя уровень радиосигнала, злоумышленник может определить, приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет злоумышленнику определить физическое расположение заражённого компьютера или устройства жертвы.

Как вариант передвижения жертвы отслеживаются с помощью мобильного телефона жертвы, благо он уже, скорее всего, известен “атакующим” и с его помощью можно вести пассивный мониторинг жертвы:

Оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах и любых транспортных узлах; и это оборудование будет выискивать идентификаторы устройств, принадлежащих жертве. Ряд атак позволяет идентифицировать Bluetooth-устройство на расстоянии более мили (1609 км). Наиболее зловещим аспектом такой слежки является возможность точной локализации жертвы и более лёгкого отслеживания её в будущем.

Третий сценарий Symantec определяет как “расширенный сбор информации”. Значительная часть функционала W32.Flamer реализована в виде Lua-скриптов, или “приложений” (apps), загружаемых из хранилища приложений (apprepository) FLAME. С помощью таких вот приложений злоумышленник может – в теории – выкрасть контакты из адресной книги, находящейся в чужом телефоне, SMS-сообщения, картинки и многое другое, использовать Bluetooth-устройство для подслушивания (подключив к нему заражённый компьютер в качестве аудио-гарнитуры), передавать похищенные данные через каналы связи другого устройства, что позволяет обойти межсетевые экраны и средства мониторинга сети. Для этого злоумышленник может использовать собственное Bluetooth-устройство, находящееся в пределах мили от источника.

Следует отметить, что в минувшие выходные поднялся серьёзный шум по поводу того, что отдельные модули Flame были подписаны легальными сертификатами Microsoft. В воскресенье корпорация срочно выпустила бюллетень безопасности по этому поводу и соответствующий патч, отзывающий три сертификата:

“Проанализировав ситуацию, мы обнаружили, что некоторые компоненты зловреда были подписаны сертификатами, позволяющими программному обеспечению выдавать себя за продукцию Microsoft, – пишет Майк Риви, старший директор Центра безопасности Microsoft (Microsoft Security Response Center). – Как выяснилось, существует возможность использовать один старый криптографический алгоритм для того, чтобы подписывать код так, как будто он имеет своим происхождением Microsoft. В частности, наш сервис Terminal Server Licensing Service, через который корпоративными клиентами осуществлялась авторизация сервисов Remote Desktop, использовали этот старый алгоритм и произвели сертификаты, с помощью которых можно подписывать программный код, тем самым выдавая его за нечто, исходящее от Microsoft”.