Червь-«кибероружие» Flame продолжает подкидывать исследователям сюрпризы. Согласно выводам антивирусной компании Symantec, этот червь умеет использовать технологию Bluetooth для слежки и перехвата информации с других устройств.
Как поясняется в пресс-релизе Symantec, функционал, использующий технологии Bluetooth, реализован в отдельном модуле BeetleJuice, запуск которого производится в соответствии со значениями конфигурационных параметров, заданными атакующими.
При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка (хотя в Symantec признают, что так и не смогли обнаружить ещё код маяка). Это означает, что заражённый червём Flame (W32.Flamer по номенклатуре Symantec) компьютер всегда будет виден при поиске Bluetooth-устройств.
В дополнение к «самозасвечиванию» W32.Flamer кодирует сведения о заражённом компьютере и затем сохраняет их в специальном поле «description». И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает специфическое поле (тем самым выдавая себя с головой).
Всего Symantec удалось выделить три сценария использования Bluetooth червём Flame/Flamer. Первый — постоянный мониторинг Bluetooth-устройств в зоне досягаемости заражённого компьютера. В результате злоумышленник получает список различных обнаруженных устройств, которые, скорее всего, окажутся в большинстве случаев мобильными телефонами знакомых жертвы. Тем самым можно попытаться выяснить, с кем общается жертва.
Второй сценарий подразумевает выяснение физического местоположения жертвы и выслеживание её. Описание Symantec выглядит несколько фантастично, но, судя по всему, подобный вариант развития событий вполне реален:
…злоумышленник может принять решение, что его владелец ему особенно интересен. Возможно, ему известно здание, в котором располагается жертва, но не её офис. Однако, используя технологии Bluetooth, злоумышленник может определить местоположение заражённых устройств.
Bluetooth – это радиоволны. Измеряя уровень радиосигнала, злоумышленник может определить, приближается или удаляется жертва от конкретного заражённого устройства. Использование режима Bluetooth-маяка и информации о заражённом устройстве позволяет злоумышленнику определить физическое расположение заражённого компьютера или устройства жертвы.
Как вариант передвижения жертвы отслеживаются с помощью мобильного телефона жертвы, благо он уже, скорее всего, известен «атакующим» и с его помощью можно вести пассивный мониторинг жертвы:
Оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах и любых транспортных узлах; и это оборудование будет выискивать идентификаторы устройств, принадлежащих жертве. Ряд атак позволяет идентифицировать Bluetooth-устройство на расстоянии более мили (1609 км). Наиболее зловещим аспектом такой слежки является возможность точной локализации жертвы и более лёгкого отслеживания её в будущем.
Третий сценарий Symantec определяет как «расширенный сбор информации». Значительная часть функционала W32.Flamer реализована в виде Lua-скриптов, или «приложений» (apps), загружаемых из хранилища приложений (apprepository) FLAME. С помощью таких вот приложений злоумышленник может — в теории — выкрасть контакты из адресной книги, находящейся в чужом телефоне, SMS-сообщения, картинки и многое другое, использовать Bluetooth-устройство для подслушивания (подключив к нему заражённый компьютер в качестве аудио-гарнитуры), передавать похищенные данные через каналы связи другого устройства, что позволяет обойти межсетевые экраны и средства мониторинга сети. Для этого злоумышленник может использовать собственное Bluetooth-устройство, находящееся в пределах мили от источника.
Следует отметить, что в минувшие выходные поднялся серьёзный шум по поводу того, что отдельные модули Flame были подписаны легальными сертификатами Microsoft. В воскресенье корпорация срочно выпустила бюллетень безопасности по этому поводу и соответствующий патч, отзывающий три сертификата:
«Проанализировав ситуацию, мы обнаружили, что некоторые компоненты зловреда были подписаны сертификатами, позволяющими программному обеспечению выдавать себя за продукцию Microsoft, — пишет Майк Риви, старший директор Центра безопасности Microsoft (Microsoft Security Response Center). — Как выяснилось, существует возможность использовать один старый криптографический алгоритм для того, чтобы подписывать код так, как будто он имеет своим происхождением Microsoft. В частности, наш сервис Terminal Server Licensing Service, через который корпоративными клиентами осуществлялась авторизация сервисов Remote Desktop, использовали этот старый алгоритм и произвели сертификаты, с помощью которых можно подписывать программный код, тем самым выдавая его за нечто, исходящее от Microsoft».