Modulį „miniFlame“, taip pat žinomą kaip SPE, „Kaspersky Lab“ ekspertai aptiko 2012 m. liepą, iš pradžių ji buvo atpažinta kaip kenkėjiškos programos „Flame“ modulis. 2012 m. rugsėjį atlikus „Flame“ serverių valdymo tyrimą paaiškėjo, kad „miniFlame“ modulis gali būti naudojamas tuo pačiu metu ir kaip savarankiška kenkėjiška programa, ir kaip kenkėjiškų programų „Flame“ ir „Gauss“ priedėlis (plugin), rašoma pranešime spaudai.

Aptikimas

Modulis „miniFlame“ aptiktas per detalų kenkėjiškų programų „Flame“ ir „Gauss“ tyrimą. 2012 m. liepą „Kaspersky Lab“ ekspertai pastebėjo papildomą modulį „Gauss“, kodiniu pavadinimu „John“, ir nuorodas į analogišką konfigūracinių „Flame“ failų modulį. 2012 m. rugsėjo „Flame“ serverių valdymo tyrimas leido padaryti išvadą, kad naujasis modulis iš tikrųjų yra savarankiška kenkėjiška programa, nors gali kartu veikti ir su „Gauss“, ir su „Flame“. „Flame“ serveriuose „miniFlame“ programa buvo pažymėta kodiniu pavadinimu SPE.

„Kaspersky Lab“ aptiko šešis skirtingus „miniFlame“ variantus, datuojamus 2010–2011 m. Tuo pat metu „miniFlame“ tyrimas rodo dar ankstesnę darbo su moduliu pradžios datą – ne vėliau kaip 2007 m. Galimybė taikyti „miniFlame“ kaip priedėlį ir prie „Flame“, ir prie „Gauss“, aiškiai rodo, kad kenkėjiškų programų kūrėjų grupės bendradarbiavo. Kadangi ryšys tarp „Flame“ ir „Stuxnet/Duqu“ jau nustatytas, galima teigti, kad visos šios programos sukurtos tame pačiame „kibernetinių ginklų fabrike“.

Veikimas

Turint omenyje „miniFlame“, „Flame“ ir „Gauss“ tarpusavio ryšį galima manyti, kad „miniFlame“ buvo diegiamas jau „Flame“ arba „Gauss“ užkrėstuose kompiuteriuose. Patekęs į sistemą „miniFlame“ atlieka „BackDoor“ programos funkciją ir leidžia kenkėjiškos programos operatoriui gauti bet kurį failą iš užkrėsto kompiuterio. Tarp papildomų duomenų vagystės galimybių – užkrėsto kompiuterio ekrano nuotraukų kūrimas, kai dirbama su atskiromis programomis arba priedais, tokiomis kaip paieškos sistemos, „Microsoft Office“, „Adobe Reader“ programos, momentalaus žinučių apsikeitimo sistemos ir FTP klientai.

„miniFlame“ perduoda pavogtus duomenis susijungęs su savo valdymo serveriu (kuris gali būti atskiras arba bendras su „Flame“). Be to, „miniFlame“ serverio užkrėstos sistemos valdymo operatoriui užklausus gali būti pakrautas papildomas modulis duomenims vogti, užkrečiantis atminties USB nešiklius ir naudojantis juos iš užkrėstų kompiuterių surinktiems duomenims saugoti, kai nėra interneto ryšio.

„Programa „miniFlame“ – tai instrumentas labai taiklioms atakoms vykdyti. Panašu, kad tai aiškių tikslų turintis kibernetinis ginklas, taikomas per vadinamąją antrąją kibernetinės atakos bangą, – komentuoja Aleksandras Gostevas, „Kaspersky Lab“ vyriausiasis antivirusų ekspertas. – Iš pradžių stengiamasi „Flame“ arba „Gauss“ užkrėsti kuo daugiau aukų ir surinkti kuo daugiau informacijos. Vėliau surinkti duomenys analizuojami, nustatomos bei identifikuojamos potencialiai įdomios aukos – tada jau jų kompiuteriuose gilesniam sekimui ir kibernetiniam šnipinėjimui diegiamas „miniFlame“. Aptikę „miniFlame“ gavome papildomų įrodymų apie populiariausių kenkėjiškų programų – „Stuxnet“, „Duqu“, „Flame“ ir „Gauss“ – kūrėjų bendradarbiavimą.“

Pagrindiniai tyrimo rezultatai

„miniFlame“, arba SPE, sukurtas tos pačios architektūrinės platformos pagrindu kaip ir „Flame“. Jis gali veikti kaip savarankiška kibernetinio šnipinėjimo programa arba kaip „Flame“ bei „Gauss“ komponentas.

Šis kibernetinio šnipinėjimo instrumentas atlieka „BackDoor“ programos funkcijas ir leidžia pavogti duomenis bei tiesiogiai valdyti užkrėstas sistemas.

Faktai rodo, kad „miniFlame“ kurtas nuo 2007 m. iki 2011 m. pabaigos. Tikriausiai buvo sukurtas didelis programos modifikacijų skaičius. Iki šiol „Kaspersky Lab“ pavyko aptikti šešis variantus, priklausančius dviem pagrindinėms kartoms: 4.x ir 5.x.

Skirtingai nei „Flame“ ir „Gauss“, kurie pasižymi dideliu užkrėtimo skaičiumi, „miniFlame“ užkrėstų sistemų skaičius stipriai mažesnis. Remiantis „Kaspersky Lab“ turimais duomenimis, užkrėstų kompiuterių skaičius svyruoja nuo 10 iki 20; o bendras „miniFlame“ užkrėstų kompiuterių skaičius visame pasaulyje – 50–60.

Nedidelis „miniFlame“ užkrėstų kompiuterių kiekis kartu su duomenų vogimo ir lanksčiomis naudojimo galimybėmis liudija, kad kenkėjiška programa buvo naudojama tik siaurais tikslais, susijusiais su kibernetiniu šnipinėjimu, ir greičiausiai buvo diegiama jau „Flame“ arba „Gauss“ užkrėstuose kompiuteriuose.

Papildomos informacijos apie„miniFlame“ galima rasti „Securelist“ svetainėje.