So'nggi 10 yildagi eng xavfli zararli dasturlar va Xakerlar guruhlari

APT28 FancyBear

Qaratilgan: Microsoft, Windows

Fancy Bear (shuningdek, APT28 (Mandiant tomonidan), Pawn Storm, Sofacy Group (Kaspersky tomonidan), Sednit, Tsar Team (FireEye tomonidan) va STRONTIUM (Microsoft tomonidan) nomi bilan ham tanilgan) Rossiyaning kiber josuslik guruhidir. CrowdStrike kiberxavfsizlik firmasi o'rta darajadagi ishonch bilan Rossiya harbiy razvedka agentligi GRU bilan aloqadorligini aytdi. Buyuk Britaniya Tashqi ishlar va Hamdo'stlik vazirligi, shuningdek, SecureWorks, ThreatConnect va Mandiant xavfsizlik firmalari ham guruhga Rossiya hukumati homiylik qilishini aytdi. 2018 yilda Amerika Qo'shma Shtatlari maxsus prokurorining ayblov xulosasida Fancy Bear GRU Unit 26165 sifatida aniqlangan. Bu Rossiya armiyasi regimentlarining yagona harbiy birlik soniga ishora qiladi. Fancy Bear shtab-kvartirasi va davlat tomonidan homiylik qilinadigan kiberhujumlar va xakerlik hujumi ma'lumotlarining shifrini ochishga ixtisoslashgan butun harbiy qism 2023-yil 24-iyul kuni Ukraina dronlari tomonidan nishonga olingan, portlash natijasida binolardan birining tomi qulagan.

Ehtimol, 2000-yillarning o'rtalaridan beri ishlayotgan Fancy Bear usullari davlat actorlarining imkoniyatlariga mos keladi. Guruh hukumat, harbiy va xavfsizlik tashkilotlarini, xususan, Transcaucasian va NATOga qoʻshilgan davlatlarni nishonga olgan. Fancy Bear Germaniya parlamenti, Norvegiya parlamenti, Fransiyaning TV5Monde telekanali, Oq uy, NATO, Demokratik partiya milliy qo‘mitasi, Yevropada Xavfsizlik va Hamkorlik Tashkilotiga va Fransiya prezidentligiga nomzod Emmanuel Makronning saylovoldi tashviqoti kiberhujumlar uchun mas'ul bo‘lgan. Guruh Rossiya hukumatining siyosiy manfaatlarini ilgari suradi va 2016-yilda AQShda boʻlib oʻtgan prezidentlik saylovlari natijalariga taʼsir oʻtkazish maqsadida Demokratik partiya Milliy qoʻmitasi elektron pochtalarini buzib kirishi bilan tanilgan.

Fancy Bear FireEye tomonidan rivojlangan doimiy tahdid sifatida tasniflanadi. boshqalar qatorida, u maqsadlarni buzish uchun zero-day exploitlar, spear phishing va zararli dasturlardan(malware) foydalanadi.

APT29 CozyBear

Qaratilgan: Microsoft, Windows

Amerika Qo'shma Shtatlari federal hukumati tomonidan APT29 ilg'or doimiy tahdid sifatida tasniflangan Cozy Bear - Rossiyaning bir yoki bir nechta razvedka idoralari bilan bog'liq deb ishonilgan rus xakerlar guruhi. Gollandiya Bosh Razvedka va Xavfsizlik Xizmati (AIVD) xavfsizlik kamerasi tasvirlaridan xulosa qilib, unga Rossiya Tashqi razvedka xizmati (SVR) rahbarlik qiladi; bu fikr Qo'shma Shtatlar tomonidan ham qo'shiladi. CrowdStrike kiberxavfsizlik firmasi ham avvalroq u Rossiya Federal Xavfsizlik Xizmati (FSB- Federal Security Service) yoki SVR bilan bog'liq bo'lishi mumkinligini taklif qilgan edi. Guruhga boshqa kiberxavfsizlik firmalari tomonidan turli taxalluslar berilgan, jumladan CozyCar, CozyDuke (F-Secure tomonidan), Dark Halo, The Dukes (Volexity tomonidan), NOBELIUM, Office Monkeys, StellarParticle, UNC2452 va YTTRIUM.

2020-yil 20-dekabr kuni Cozy Bear Rossiya hukumati ko‘rsatmasi bo‘yicha AQSh suveren milliy ma’lumotlariga kiberhujum uchun javobgar ekanligi ma’lum qilindi.

Ular AQSh Oq uyi, Davlat departamenti va Demokratik partiya milliy qo'mitasi kabi nufuzli nishonlarga bir qator aniq hujumlar uyushtirgan. Actor hukumat tashkilotlari, siyosiy guruhlar va tahlil markazlari tarmoqlarida, shuningdek, mudofaa va geosiyosiy tadqiqotlar bilan shug'ullanadigan turli shaxslarning maxfiy ma'lumotlarini qidiradi.

APT34 Helix Kitten aKa OILRI

Qaratilgan: Microsoft, Windows, PowerShell

Helix (shuningdek, FireEye, OILRIG tomonidan APT34 nomi bilan ham tanilgan) CrowdStrike tomonidan eronlik deb aniqlangan xakerlar guruhidir. Xabar qilinishicha, guruh kamida 2014 yildan beri faol. U John Hultquistga ko'ra, Advanced Persistent Threat kabi ko'plab tashkilotlarni nishonga olgan.

2019-yil aprel oyida APT34 kiber-josuslik tollarining manba kodi Telegram orqali sizib chiqqan edi. Xabar qilinishicha, guruh moliya, energetika, telekommunikatsiya va kimyo sanoatidagi tashkilotlar hamda muhim infratuzilma tizimlarini nishonga olgan. Xabar qilinishicha, APT34 maqsadlariga kirish uchun Microsoft Excel macroslari, PowerShell-ga asoslangan exploitlar va ijtimoiy muhandislikdan(social engineering) foydalanadi.

Eron qo'llab-quvvatlagan APT34 hech qanday sekinlashuv belgisini ko'rmayapti, O'rta Sharqdagi siyosiy kun tartibini yanada kuchaytirmoqda, Livanga doimiy e'tibor qaratmoqda - hujumkor kiber operatsiyalardan foydalangan holda.

Yuqorida ko'rib chiqilganidek, o'z ish uslubini saqlab qolish va eski texnikani qayta ishlatish bilan birga, guruh xavfsizlik sotuvchilari tomonidan o'z tollarini aniqlashni minimallashtirish uchun yangi va yangilangan toollalarni yaratishda davom etmoqda.

APT37 NK Reaper

Qaratilgan: Microsoft, Windows, Windows 11, Windows XP

APT37 ning so'nggi faoliyati shuni ko'rsatadiki, guruhning operatsiyalari ko'lami va murakkabligi, zero-day zaifliklarga kirish va zararli dasturlarni o'chirishni o'z ichiga olgan dasturlar to'plami bilan kengaymoqda. Biz ushbu faoliyat Shimoliy Koreya hukumati nomidan zararli dasturlarni ishlab chiqish artefaktlari va Shimoliy Koreya davlat manfaatlariga mos keladigan nishonga olingan holda amalga oshirilayotganini yuqori ishonch bilan baholaymiz. FireEye iSIGHT Intelligence, APT37 Scarcruft va Group123 kabi ommaviy ravishda e'lon qilingan faoliyatga mos keladi, deb hisoblaydi.

2022 yil 27 aprel Francesco Bussoletti Cyber Mudofaa va Xavfsizlik Kiber-josuslik, APT37 Goldbackdoor bilan jurnalistlarni nishonga oldi.

APT37 Goldbackdoor bilan jurnalistlarni nishonga oladi. Stairwell kiberxavfsizlik bo'yicha mutaxassislar: Shimoliy Koreyaning yangi zararli dasturi Janubiy Koreya Milliy razvedka xizmati (NIS - National Intelligence Service) sobiq direktorining shaxsiy elektron pochtasidan yuborilgan xabarlar orqali tarqaldi.

Goldbackdoor - bu APT37 (aka Ricochet Collima, InkySquid, Reaper va ScarCruft) tomonidan jurnalistlarga qarshi kiber josuslik operatsiyasida foydalanilgan oxirgi zararli dastur. Bu Stairwell kiberxavfsizlik bo'yicha mutaxassislar tomonidan aniqlangan. Shimoliy Koreyaning APT NK News telekanali o‘zini namoyon qilishga urindi va yangi zararli dasturni KXDRda ixtisoslashgan jurnalistlarga qaratilgan spear-phishing kampaniyalari bilan tarqatdi. Ushbu xabarlar Janubiy Koreya Milliy razvedka xizmati (NIS) sobiq direktorining shaxsiy elektron pochtasidan yuborilgan bo'lib, avvallari yovuz xakerlar tomonidan buzilgan. Bundan tashqari, tadqiqotchilar GOLDBACKDOOR APT37 ga tegishli bo'lgan BLUELIGHT zararli dasturining vorisi yoki unga parallel ravishda foydalanilishini o'rta va yuqori ishonch bilan baholaydilar.

APTC23 - Hamas

Qaratilgan: Microsoft, Windows, Windows 11, Android

APT-C-23 tomonidan ishlatiladigan Android josuslik dasturi, Ikki dumli Chayon(Two-tailed Scorpion) nomi bilan ham tanilgan va asosan Yaqin Sharqni (Isroil va ittifoqchilar) nishonga olgan. ESET mahsulotlari zararli dasturni Android/SpyC23.A sifatida aniqlaydi.

APT-C-23 guruhi oʻz faoliyatida Windows va Android komponentlaridan foydalangani maʼlum boʻlib, Android komponentlari birinchi marta 2017-yilda tasvirlangan edi. Xuddi shu yili APT-C-23 mobil zararli dasturining koʻplab tahlillari chop etildi. 2017-yilda hujjatlashtirilgan versiyalar bilan taqqoslaganda, Android/SpyC23.A kengaytirilgan josuslik funksiyasiga ega, jumladan, xabar almashish ilovalaridan bildirishnomalarni o‘qish, qo‘ng‘iroqlarni yozib olish va ekranni yozib olish hamda o‘rnatilgan Android xavfsizlik ilovalaridan bildirishnomalarni o‘chirish kabi yangi yashirin funksiyalar. Ayg'oqchi dasturlarni tarqatish usullaridan biri bu fake Android app stori orqali mashhur ilovalarni jozibasi sifatida ishlatishdir. 2020-yil aprel oyida @malwrhunterteam yangi Android zararli dasturlari namunasi haqida tvit yozdi. VirusTotal xizmati maʼlumotlariga koʻra, oʻsha paytda ESET’dan boshqa hech bir xavfsizlik sotuvchisi namunani aniqlamagan. @malwrhunterteam bilan hamkorlikda biz zararli dastur APT-C-23 arsenalining bir qismi ekanligini tan oldik.

Adylkuzz

Adylkuzz, kriptovalyuta mineri, xuddi WannaCry kabi butun dunyo bo'ylab shaxsiy kompyuterlarni yuqtirmoqda. U o'z mualliflarining kriptovalyuta mining qilish ishlarini kuchaytirish uchun virusli shaxsiy kompyuterlarning tizim resurslaridan foydalanadi, shuning uchun u faqat Monero kriptovalyutasini qazib olishga qaratilgan.

Ushbu kriptominatsiya zararli dasturi mutlaqo yangi bo'lmasa-da, uning so'nggi kampaniyasi keng miqyosda boshlandi. Biz buni birinchi marta 2017 yil 23 aprel kuni yarim tunda Ukrainada ko'rdik. O'shandan beri dastlabki statistik ma'lumotlarga ko'ra, avast foydalanuvchilarga 92 000 dan ortiq hujumga urinishlarni bloklagan. Bu WannaCry hujumlari kabi yuqori emas, lekin baribir ajoyib miqdor.

Yangi va WannaCry-ga kiritilmagan narsa shundaki, Adylkuzz MS17-010 zaifligidan foydalanib, shaxsiy kompyuterni yuqtirishga urinayotgan boshqa tahdidlarni bloklashga harakat qiladi. Kompyuter Adylkuzz bilan zararlangan bo'lib qoladi, ammo zararli dastur aslida kompyuterni xuddi shu exploitdan foydalanishga urinayotgan boshqa zararli dasturlardan himoya qiladi.

Adylkuzz kompyuterlarni WannaCry kabi yuqtiradi - EternalBlue/DoublePulsar Windows exploiti orqali Server Message Block (SMB) protokolidagi MS17-010 Windows zaifligidan foydalanish orqali. Adylkuzzning ilg'orligi fishing-elektron pochta orqali tarqatilganidan ko'ra ko'proq makkordir, chunki tizimni yuqtirish uchun user interaction talab qilinmaydi.

Albania Cyber Attacks

Qaratilgan: Microsoft, Windows, MacOs, iOS

2015-yil

OS X va iOS dasturiy ta'minotini yaratish uchun Apple kompaniyasining Xcode rasmiy ishlab chiquvchi platformasi hali noma'lum xakerlar (ehtimol eronlik) tomonidan zararli kodni o'z ichiga olgan holda qayta paketlangan. Ushbu o'rnatuvchini yuklab olib, iOS ilovasini kompilyatsiya qilish uchun foydalanadigan har qanday ishlab chiquvchi ushbu kodni avtomatik ravishda o'z ilovasiga kiritadi, keyin esa App Store do'koniga yuboriladi va odatdagi yangilanish sifatida avtomatik ravishda barcha foydalanuvchilarga tarqatiladi. XcodeGhost’da bir qator hisobotlarni e’lon qilgan Palo Alto Networks kompaniyasi ma’lumotlariga ko‘ra, ushbu zararli dastur mobil qurilmalardan ma’lumotlarni to‘plash va ularni buyruq va boshqaruv serveriga yuborishga qodir. Shuningdek, u foydalanuvchi hisob ma'lumotlarini fishing yoki ularning parollarini vaqtinchalik xotiradan o'g'irlashga harakat qiladi.

Shunga qaramay, eng diqqatga sazovor tomoni shundaki, taniqli ishlab chiquvchilarning (asosan Xitoyda joylashgan) bir nechta qonuniy va mashhur iOS ilovalari virusga chalingan va App Store do'konida muvaffaqiyatli nashr etilgan. Tajribali dasturchi Xcode-ni to'g'ridan-to'g'ri Apple-dan bepul olish o'rniga fayl almashish saytidan yuklab olishi meni hayratda qoldirgan bo'lsa-da, qurbonlar ro'yxatiga 600 milliondan ortiq foydalanuvchisi bo'lgan juda mashhur WeChat ilovasi yaratuvchisi Tencent kiradi. Umuman olganda, App Store’dagi 40 ga yaqin ilovalarda zararli kod borligi aniqlangan. Yangilash: FireEye kompaniyasining yana bir hisobotida 4000 dan ortiq zararlangan ilovalar aniqlangan.

Afsuski, hozirda iOS foydalanuvchilari bunday hujumning oldini olish uchun deyarli hech narsa qila olmaydi. Albatta, ular ushbu zararli kodni o'z ichiga olgan har qanday ilovalarni o'chirib tashlashlari kerak, ammo qanchasi hali aniqlanmagan? Bundan tashqari, boshqa xakerlar ushbu yangi kontseptsiyani o'zlarining tatbiq etishlari yoki rivojlanish zanjirining boshqa tarkibiy qismlariga hujum qilishga e'tibor qaratishlarini ishonch bilan taxmin qilishimiz mumkin.

2022-yil iyul

Kiberxavfsizlik va infratuzilma xavfsizligi agentligi (CISA) va Federal qidiruv byurosi chorshanba kuni Eron armiyasi bilan bog‘langan xakerlar iyul oyida keng ko‘lamli zarar yetkazgan to‘lov dasturi hujumini boshlashdan oldin Albaniya hukumati tarmoqlarida 14 oy vaqt o‘tkazganini ma’lum qildi.

FQB hodisa ortida qaysi Eron xakerlik guruhi turganiga aniqlik kiritmadi, biroq ular o‘z tergovlarida xakerlar CVE-2019-0604 orqali internetga qaragan Microsoft SharePoint’dan foydalanganliklarini aniqladilar.

Kiberxavfsizlik agentliklari CVE-2019-0604 ni 2020-yil davomida eng ko‘p foydalaniladigan xatolardan biri sifatida tasnifladi va milliy davlatlar va to‘lov dasturlari guruhlari tomonidan suiiste’mol qilingan.

Ogohlantirishga ko'ra, xakerlar bir yildan ortiq vaqt davomida tarmoqqa uzluksiz kirishni saqlab qolishga muvaffaq bo'lishdi va 2021 yil davomida elektron pochta xabarlarini tez-tez o'g'irlashdi. 2022 yil may oyiga kelib, xakerlar Albaniya hukumati tarmoqlari bo'ylab kengroq hisob ma'lumotlarini o'g'irlashni amalga oshirib, tarmoqni tekshirishni boshladilar.

ALLAPLE

Qaratilgan: Microsoft, Windows

Qurt fayli ishga tushirilgandan so'ng, u polimorf decryptordan o'tadi va keyin xotira buferini ajratuvchi kodning statik qismiga o'tadi va unga asosiy qurt kodini chiqaradi. Keyin nazorat to'g'ridan-to'g'ri chiqarilgan qurtning kodiga o'tkaziladi.

Nazoratni qo'lga kiritgandan so'ng, qurt bir nechta threadlarni hosil qiladi. Bitta thread zaif kompyuterlarni tekshiradi (TCP 139 va 445 portlarida) va ularni yuqtirish uchun exploitlarni yuboradi.

Boshqa tarmoq barcha mahalliy qattiq disklardagi .HTM va .HTML fayllarini skanerlaydi va u yerda qurtlarning CLSID-ga havolani oldindan qo'yish orqali ularni zararlaydi.Qolgan threadlardan biri Estoniyada joylashgan uchta veb-saytga DoS hujumini amalga oshiradi. Qurt, shuningdek, ularga dictionary attack(lug'at hujumini) amalga oshirish orqali tarmoq parollarini brute-force bilan ulashishga harakat qiladi. DoS hujumi paytida ishlatiladigan quyidagi TCP portlari: 22(SSH), 80(HTTP), 97, 443

Qurt qattiq diskda yaratgan har bir nusxasi uchun boshqa CLSID yaratadi. Ushbu nusxalar soni juda ko'p bo'lishi mumkin. Qurt fayllari nomlari tasodifiy. Masalan:

bzehxvnz.exe
hwexrtne.exe
jbnshhqj.exe
jjlenkbt.exe
tsbjbtvn.exe

Type: Net-Worm:W32/Allaple.A

Quyidagi lug'at tarmoqlarni bruteforce qilish uchun ishlatiladi:

00
000
0000
00000
000000
0000000
00000000
1
12
123
1234
12345
123456
1234567
12345678
123456789
abc123
access
adm
Admin
alpha
anon
anonymous
asdfgh
backdoor
backup
beta
bin
coffee
computer
crew
database
debug
default
demo
go
guest
hello
install
internet
login
mail
manager
money
monitor
network
new
newpass
nick
nobody
nopass
oracle
pass
passwd
password
poiuytre
private
public
qwerty
random
real
remote
root
ruler
secret
secure
security
server
setup
shadow
shit
sql
super
sys
system
telnet
temp
test
test1
test2
visitor
windows
www
X

Babuk

Qaratilgan: Microsoft, Windows

Babuk, shuningdek, Babyknomi bilan ham tanilgan, dastlab "Vasa Locker" 2021 yil boshida topilgan juda yangi to'lov dasturi tahdididir.

O'zini korporativ tarmoqlar ichidagi xavfsizlik muammolarini ochib berish uchun yaratilgan g'ayrioddiy guruh sifatida belgilagan to'da kamida beshta yirik korxonaga qilingan hujumlar uchun javobgardir.

Xavfsizlik bo'yicha tadqiqotchilarning fikriga ko'ra, Babuk Lockerning kodlashi havaskor, ammo xavfsiz shifrlashni o'z ichiga oladi, bu qurbonlarning fayllarini bepul tiklashiga to'sqinlik qiladi.

2021 yil aprel oyida guruh Vashingtonning Metropolitan politsiya departamentini (M.P.D.) departament tizimlaridan olingan maxfiy ma'lumotlarni oshkor qilish bilan tahdid qildi va 4 million dollar to'lashni talab qildi. Babukning kiberjinoyatchilari 250 Gigabayt ma'lumotni yuklab olganliklarini e'lon qilishdi va politsiya ma'lumotchilari haqidagi ma'lumotlarni jinoiy guruhlarga berish va shtat sektorlariga, Milliy xavfsizlik departamentining Kiberxavfsizlik va infratuzilma xavfsizligi agentligi jumladan F.B.I.ga hujum qilishni davom ettirish bilan tahdid qilishdi.

Ransomware guruhi barqaror ichki tuzilishga ega emas. Guruh Metropolitan politsiya departamentiga hujum qilib, AQSh huquq-tartibot idoralarining bosimini sezganidan keyin nafaqaga chiqqanini da'vo qildi. Biroq, bir oy o'tgach, ba'zi guruh a'zolari to'lov dasturini Babuk V2 sifatida qayta ishga tushirish uchun bo'linib ketishdi va ular ransomware-as-a-service (RaaS) kripto blokirovkasidan voz kechishlarini va ma'lumotlar o'g'irlanishiga e'tibor berishlarini e'lon qilishdi.

2021-yil iyul oyida Babuk tomonidan boshlangan RAMP forumida pornografik GIF-lar bilan flooding va spamlar ko'paydi. Noma'lum shaxs 5000 dollar to'lash uchun 24 soat vaqtlari borligini aytdi va bu holat kiberxavfsizlik yangiliklarida "ransomware guruhi dramasi(ransomware group drama)" deb nomlandi.

Nihoyat, Babuk ransomware guruhini ishlab chiquvchilardan biri, rossiyalik 17 yoshli yigit sentyabr oyida Windows, ESXI va NAS uchun butun Babuk manba kodini oshkor qildi. To'daning keyingi qadami nima bo'lishi qiziq.

Maqsad

Guruh odatda transport, sog'liqni saqlash, plastik jarrohlik, elektronika va qishloq xo'jaligi sohalarini bir nechta geografiyalarda, xususan, Germaniya, Gonkong, Shvetsiya va Qo'shma Shtatlarda maqsad qilib oladi. Anecdotal ma'lumotlari, shuningdek, zararli dasturlar namunalari Osiyo, Yevropa va Shimoliy Amerikaning boshqa mamlakatlarida paydo bo'lganligini ko'rsatadi, garchi bu faol xavflar emas, balki xavfsizlik tadqiqotchilari faolligining ortishi natijasi bo'lishi mumkin.

Boshqa tomondan, ular hujum qilmaydigan tashkilotlar toifalari haqida juda aniq. Guruh xususiy plastik jarrohlik yoki stomatologiya klinikalaridan, notijorat xayriya jamg‘armalaridan, muhim universitetlardan tashqari maktablardan va yillik daromadi 4 million dollardan kam bo‘lgan kichik biznesdan tashqari shifoxonalarni tekshirmaydi, deb da‘vo qilmoqda.

Carbanak

Qaratilgan: Microsoft, Windows

Carbanak 2014-yilda Rossiyaning Kaspersky laboratoriyasi kiberxavfsizlik kompaniyasi tomonidan topilgan moliyaviy institutlarga qaratilgan (lekin ular bilan cheklanmagan) APT uslubidagi kampaniyadir. U fishing elektron pochta xabarlari yordamida Microsoft Windows operatsion tizimida ishlaydigan tizimlarga kiritilgan zararli dasturlardan foydalanadi va keyinchalik hujjatlardagi makrolar orqali banklardan pul o'g'irlash uchun ishlatiladi. Xakerlar guruhi banklar va mingdan ortiq shaxsiy mijozlardan 900 million dollar o‘g‘irlagani aytiladi.

Jinoyatchilar turli yo'llar bilan pullarni o'g'irlash uchun tegishli bank tarmoqlariga kirishlarini manipulyatsiya qilishga muvaffaq bo'lishdi. Ba'zi hollarda bankomatlarga(ATM) terminal bilan mahalliy aloqada bo'lmasdan naqd pul berish buyurilgan. Kasperskyning so'zlariga ko'ra, money mulelari pullarni yig'ib, SWIFT tarmog'i orqali jinoyatchilarning hisoblariga o'tkazishadi.

Kaspersky laboratoriyasi maʼlumotlariga koʻra, ularning moʻljallangan maqsadlari birinchi navbatda Rossiya, keyin esa AQSh, Germaniya, Xitoy va Ukraina boʻlgan. Bir bankning bankomatlari ma'lum vaqtlarda naqd pul chiqarish uchun dasturlashtirilganida, bir bank 7,3 million dollar yo'qotgan, alohida firma esa o'zining onlayn platformasi orqali 10 million dollar olgan.

Carbanak qanday ishlaydi

Tajovuzkorlar tizimga spear phishing orqali kiradi. Tizimda o'z o'rniga ega bo'lgandan so'ng, Windows va qonuniy cloud-based xizmatlarning dinamik ma'lumotlar almashinuvi (dynamic data exchange (DDE)) xususiyati zararli dasturni yetkazib berish yoki buyruq va boshqaruv (C&C) aloqasini o'rnatish uchun suiiste'mol qilinadi. Shundan so'ng, Carbanak backdoor tugmachalarni bosish va skrinshotlarni olish, cookie-fayllarni o'g'irlash va o'chirish, saytlarga zararli kodlarni kiritish va turli trafikni kuzatish uchun ishlatilishi mumkin. Lateral harakatlanish uchun zararli dastur masofaviy va tizim boshqaruv vositalarini suiiste'mol qiladi. Tizimga muvaffaqiyatli kirish keyingi bosqichga olib keladi: hujumni amalga oshirish. Kod va xatti-harakatni bajarish uchun ikkala guruh ham native API, PowerShell, service execution, user execution, Windows Component Object Model (COM) va Distributed COM va Windows Management Instrumentation (WMI) orqali turli usullardan foydalanadi.

Carbanak, shuningdek, buyruq qatori interfeysi(command-line interface) va DDE client-server protokolini suiiste'mol qiladi. Boshqa tomondan, FIN7 foydalanuvchi tizimlarida zararli kodni ishga tushirish uchun VBScript va rejalashtirilgan vazifalarni bajarishi mumkin bo'lgan Mshta yordam dasturidan foydalanadi. Zararli xatti-harakatlar amalga oshirilgandan so'ng, tajovuzkorlar tizimda o'zlarining mavjudligini saqlab qolishga harakat qilishadi. Qat'iylikni saqlab qolish uchun guruhlar yangi servicelarni yaratadilar. Ular, shuningdek, registry run keyi bilan murojaat qilish mumkin bo'lgan dasturlarni startup folderga qo'shadilar. Biz Carbanak zararli dasturining bir variantini aniqladik, u avtomatik ishga tushirish(autosatart) usuli sifatida registry va kalitlarni qo'shadi. Mavjud amaldagi hisoblarning ma'lumotlari ham suiiste'mol qilingan.

FIN7 misolida, ilovalarni siljitish(application shimming) ma'lumotlar bazalaridan foydalanish (ishlab chiquvchilarga kodni qayta yozmasdan ilovalarga tuzatishlarni qo'llash imkonini beradi) va dastur xatti-harakatlarini o'zgartirishga imkon beruvchi ulanish jarayonlari qo'llanilishi mumkin bo'lgan ba'zi usullardir. Birinchisi Pillowmint zararli dasturini o'z ichiga olgan kampaniyada ishlatilgan. Tizimning ba'zi qismlari hisobga olish ma'lumotlari bilan himoyalangan. Bularni o'g'irlash uchun ikkala guruh ham hisob ma'lumotlarini tashlab yuborish va ma'lumotlarni to'plashdan foydalangan.Birinchisi odatda xesh yoki aniq matn ko'rinishidagi hisob ma'lumotlarini o'z ichiga oladi, ikkinchisi esa API yoki veb-portallarni o'z ichiga oladi. Carbanak, shuningdek, brute force taktikasini bajaradi yoki veb-brauzerlarda saqlanadigan hisob ma'lumotlaridan foydalanadi.

DragonflyAPT, Dragonfly 2.0, (DYMALLOY, Energetic Bear, Havex, IRON LIBERTY, Koala, yoki TeamSpy)

Ba'zan rivojlangan doimiy tahdid sifatida tanilgan rus kiber josuslik guruhi. Qo'shma Shtatlar ma'lumotlariga ko'ra, guruh "FSB xakerlari" dan iborat, to'g'ridan-to'g'ri FSBda ishlaganlar yoki Rossiya fuqarosi, jinoiy xakerlar FSB xakerlari sifatida shartnoma tuzishga majbur bo'lganlar, shu bilan birga frilanser yoki jinoiy xakerlar sifatida harakat qilishgan. To'rt nafar ayblanuvchi Berserk Bear ishtirokchisi, uch FSB xodimi va bir fuqaroga nisbatan Qo'shma Shtatlarda ayblov e'lon qilingan va Qo'shma Shtatlar Adliya vazirligi tomonidan qochqinlar sifatida ko'riladi. Berserk Bear kommunal infratuzilmani, ayniqsa suv yoki energiya taqsimoti uchun mas'ul bo'lgan kompaniyalarga tegishli infratuzilmani buzishga ixtisoslashgan. U ushbu faoliyatni kamida Germaniya va AQShda amalga oshirgan. Ushbu operatsiyalar kuzatuv va texnik razvedkaga qaratilgan. Berserk Bear, shuningdek, AQShdagi ko'plab shtat, mahalliy va tribal government va aviatsiya tarmoqlarini nishonga oldi va 2020-yil 1-oktabr holatiga ko'ra kamida ikkita qurbon serverlaridan ma'lumotlarni chiqarib tashladi. Xususan, Berserk Bear 2020-yil davomida Texasning Ostin shahri kompyuter tarmog‘iga kirib kelgan deb ishoniladi. Guruh o'zining ilg'or zararli dasturlarini ishlab chiqarishga qodir, garchi u ba'zida boshqa xakerlik guruhlarini taqlid qilishga va o'z faoliyatini yashirishga harakat qiladi.

Duqu va Duqu 2.0

Duqu - bu 2011-yil 1-sentabrda topilgan kompyuter zararli dasturlari to‘plami bo‘lib, Kasperskiy laboratoriyalari tomonidan Unit 8200 tomonidan yaratilgan Stuxnet wormand bilan bog‘liq deb taxmin qilingan. Duqu Microsoft Windows-ning zero-day zaifligidan foydalangan.Vengriyadagi Budapesht texnologiya va iqtisodiyot universitetining Kriptografiya va tizim xavfsizligi laboratoriyasi (CrySyS Lab) tahdidni aniqladi, zararli dasturni tahlil qildi va tahdidni Duqu deb nomlagan 60 sahifalik hisobot yozdi.Duqu o'z nomini o'zi yaratgan fayllar nomlariga beradigan ~DQ prefiksidan oldi. Duqu 2.0 butun dunyo bo'ylab xavfsizlik firmasi va boshqa ko'plab maqsadlarga qarshi ishlatilgan zararli agent edi. Xavfsizlik tadqiqotchilari tomonidan quyida keltirilgan zero-day zaifliklardan foydalangan juda murakkab zararli dastur sifatida tavsiflangan:

CVE-2015-2360;
CVE-2014-4148;
CVE-2014-6324;

Duqu zararli dasturiy ta'minot turli xil dasturiy komponentlar bo'lib, ular birgalikda attackerlarga xizmat ko'rsatadi. Hozirda bu ma'lumotlarni o'g'irlash imkoniyatlarini va backgroundda kernel driverlarini va injection toollarini o'z ichiga oladi. Ushbu zararli dasturning bir qismi "Duqu framework" deb nomlangan noma'lum high-leveldagi dasturlash tilida yozilgan. Bu C++, Python, Ada, Lua va boshqa tekshirilgan tillar emas. Biroq, Duqu maxsus object oriented framework bilan C tilida yozilgan va Microsoft Visual Studio 2008 da kompilyatsiya qilingan bo'lishi mumkin. Duqu nuqsoni - Microsoft Windows tizimidagi kamchilik bo'lib, Duqu zararli dasturlari komponentlarini ishga tushirish uchun zararli fayllarda qo'llaniladi.

Hozirda bitta kamchilik ma'lum, bu Win32k.sys faylida TrueType shrift bilan bog'liq muammo. Duqu operatsiyasi faqat noma'lum maqsadlar uchun Duqudan foydalanish jarayonidir. Operatsiya Stuxnet operatsiyasi bilan bog'liq bo'lishi mumkin.

Duquning Stuxnet bilan chambarchas bog'liqligi haqida sezilarli va ortib borayotgan dalillar mavjud. Mutaxassislar o'xshashliklarni taqqoslab, uchta qiziqishni topdilar:

• O'rnatuvchi(installer) Windows kernelining zero-day zaifliklaridan foydalanadi.
• Komponentlar o'g'irlangan raqamli kalitlar(digital key) bilan imzolangan.
• Duqu va Stuxnet ikkalasi ham yuqori maqsadli va Eronning yadroviy dasturi bilan bog'liq.

Microsoft Word zero-day exploit

Stuxnet singari, Duqu Microsoft Windows tizimlariga zero-day zaiflikdan foydalangan holda hujum qiladi. CrySyS Laboratoriyasi tomonidan qayta tiklangan va oshkor qilingan birinchi taniqli o'rnatuvchi (AKA dropper) fayli Win32k TrueType shrift tahlil mexanizmidan foydalanadigan va bajarishga ruxsat beruvchi Microsoft Word documentidan foydalanadi.

Duqu dropperi shriftni o'rnatish bilan bog'liq va shuning uchun 2011 yil dekabr oyida Microsoft tomonidan chiqarilgan patch hali o'rnatilmagan bo'lsa, TrueType shriftni tahlil qilish mexanizmi bo'lgan T2EMBED.DLL ga kirishni cheklash uchun vaqtinchalik yechim bilan bog'liq. Tahdid uchun Microsoft identifikatori MS11-087 (birinchi maslahat 2011-yil 13-noyabrda chiqarilgan).

Zararli dasturiy ta'minotni birinchi bo'lib aniqlagan Kaspersky tadqiqotchilari uning maqsadlari orasida Eronning yadroviy bitimi va IT xavfsizligi bo'yicha firmalar bo'yicha muzokaralarga aloqador shaxslar borligini aniqladilar. Duqu 2.0 Osiyo va Yaqin Sharqda faoliyat yurituvchi bir qator Gʻarb tashkilotlariga qaratilgan.

Duqu 2.0 2015-yilda Eron bilan yadro dasturi va iqtisodiy sanksiyalar bo‘yicha xalqaro muzokaralar olib borilgan Avstriya va Shveytsariya mehmonxonalaridagi kompyuterlarni zararlagani haqida xabar berilgan zararli dastur versiyasidir. New York Times gazetasining ta'kidlashicha, 2014 yilda Kasperskyning ushbu buzilishi Isroilga maxfiy ma'lumotlarni olish uchun Kaspersky dasturidan foydalangan holda rossiyalik xakerlar haqida AQShni xabardor qilishga imkon bergan.

Kaspersky zararli dasturni topdi va Symantec bu topilmalarni tasdiqladi. Zararli dastur Duqu, Duqu esa Stuxnet versiyasidir. The Guardian nashriga ko‘ra, dasturiy ta’minot “Isroil bilan bog‘langan”. Dasturiy ta'minot zero-day exploitdan foydalangan va hukumat razvedka agentligi bilan mos keladigan moliyalashtirish va tashkilotni talab qiladi.

Kasperskyning so'zlariga ko'ra, "Duqu 2.0 guruhining falsafasi va fikrlash tarzi ilg'or doimiy tahdidlar dunyosida ko'rinadigan barcha narsadan bir avlod oldinda.".

Duqu 54×54 pikselli JPEG fayli va shifrlangan dummy fayllardan maʼlumotlarni oʻzining buyruq va boshqaruv markaziga olib oʻtish uchun konteyner sifatida foydalanadi. Xavfsizlik bo'yicha mutaxassislar aloqada qanday ma'lumot borligini aniqlash uchun kodni tahlil qilishmoqda. Dastlabki tadqiqotlar shuni ko'rsatadiki, zararli dastur namunasi 36 kundan so'ng avtomatik ravishda o'zini yo'q qiladi (zararli dastur ushbu sozlamani konfiguratsiya fayllarida saqlaydi), bu esa uni aniqlashni cheklaydi. Duqu 54×54 pikselli JPEG fayli va shifrlangan dummy fayllardan maʼlumotlarni oʻzining buyruq va boshqaruv markaziga olib oʻtish uchun konteyner sifatida foydalanadi. Duquning ba'zi buyruq va boshqaruv serverlari tahlil qilindi. Aftidan, hujumni amalga oshirayotgan odamlar CentOS 5.x serverlarini afzal ko'rishgan va bu ba'zi tadqiqotchilarni buning uchun zero-day exploitga ega ekanligiga ishonishlariga sabab bo'lgan. Serverlar turli mamlakatlarda, jumladan Germaniya, Belgiya, Filippin, Hindiston va Xitoyda tarqalgan.

Duqu 2.0 qurbonlari

Duqu 2.0 o'xshash turli xil geo-siyosiy manfaatlarga ega bo'lgan eng yuqori darajadagi murakkab nishonlarga hujum qilish uchun ishlatilgan. Qurbonlar G‘arb mamlakatlarida, shuningdek, Yaqin Sharq va Osiyo mamlakatlarida topilgan. Duqu sanoat boshqaruv tizimlariga kiberhujumda foydalanish mumkin bo'lgan ma'lumotlarni qidirmoqda. Ma'lum komponentlar zarar yetkazmaslik uchun ma'lumot to'plashga harakat qilmoqda. Biroq, Duqu modulli tabiati tufayli har qanday turdagi kompyuter tizimiga har qanday usul bilan hujum qilish uchun ma'lum bir payload ishlatilishi mumkin, bu esa kiber-fizik hujumlarga imkon beradi.

Biroq, uning shaxsiy kompyuter tizimlarida qo'llanilishi ba'zi holatlarda tizimdagi barcha so'nggi ma'lumotlarni va butun qattiq diskni yo'q qilish uchun aniqlangan. Symantec kompaniyasi Duquning ichki aloqalarini ko'rib chiqdi, biroq u zararlangan tarmoq ichida ko'paytirishning o'ziga xos texnikasi noma'lum. Duqu 2.0 maqsadli hujumlar. Duqu 2.0 ilg'or qochish strategiyalaridan foydalanadi. Uni aniqlash qiyin, chunki u xotirada saqlanadi. Duquning yangilangan versiyasi endi jabrlanuvchining qattiq diskiga ma'lumotlarni yozmaydi. Symantec ekspertlarining fikriga ko'ra, Duqu 2.0 ikkita variantga ega: biri bir nechta kompyuterlarni zararlash orqali maqsadli ob'ektda qat'iylikni qo'lga kiritish uchun ishlatiladigan ko'rinadigan backdoor, ikkinchi variant esa uning rivojlanishini aks ettiradi va yanada rivojlangan imkoniyatlarga ega.

Equation Group

Ilg'or doimiy tahdid sifatida tasniflangan Equation Group, Amerika Qo'shma Shtatlari Milliy Xavfsizlik Agentligining (NSA) Tailored Access Operations (TAO) bo'limiga bog'langanlikda gumon qilingan juda murakkab tahdid actoridir. Kaspersky laboratoriyasi ularni dunyodagi eng murakkab kiberhujum guruhlaridan biri va Stuxnet va Flame yaratuvchilari bilan bir qatorda ishlayotgan "biz ko'rgan eng ilg'or guruh" deb ta'riflaydi. Ularning aksariyat nishonlari Eron, Rossiya, Pokiston, Afg‘oniston, Hindiston, Suriya va Malida bo‘lgan. Bu nom guruhning shifrlashdan keng foydalanishidan kelib chiqqan. 2015 yilga kelib, Kaspersky kamida 42 mamlakatda guruh tomonidan 500 ta zararli dastur infektsiyasini hujjatlashtirdi, shu bilan birga uning self-terminating protokoli tufayli haqiqiy soni o'n minglab bo'lishi mumkinligini tan oldi. 2017 yilda WikiLeaks Markaziy razvedka boshqarmasida guruhni qanday aniqlash mumkin bo'lganligi haqida o'tkazilgan muhokamani e'lon qildi. Sharhlovchilardan biri "hisobotda ko'rsatilgan Equation Group ma'lum bir guruhga tegishli emas, balki buzg'unchilik uchun ishlatiladigan toollar to'plami" deb yozgan.

2015-yilda Kasperskyning Equation Group bo‘yicha tadqiqot natijalarida uning loaderi “Grayfish” boshqa hujumlar seriyasidagi “Gauss” loaderi bilan o‘xshashlik borligini ta’kidladi va alohida qayd etdi: Stuxnet-da; tadqiqotchilar "har xil kompyuter qurtlarida har ikkala exploitan bir vaqtning o'zida foydalanishning o'xshash turi EQUATION guruhi va Stuxnet ishlab chiquvchilari bir xil yoki yaqin hamkorlikda ishlayotganligini ko'rsatadi" degan xulosaga kelishdi.

Firmware

Ular, shuningdek, platforma vaqti-vaqti bilan taqiqlash (ilmiy konferentsiya tashkilotchisi tomonidan pochta orqali yuborilgan qonuniy CDlarni ushlash) orqali tarqatilganligini aniqladilar va platforma bir nechta yirik qattiq disk ishlab chiqaruvchilarining qattiq disk firmwarelarini yuqtirish va uzatish, shuningdek, yashirin disk maydonlari va virtual disk tizimlarini yaratish va o'z maqsadlari uchun ishlatish uchun "misli ko'rilmagan" qobiliyatga ega ekanligi, ushbu muvaffaqiyatga erishish uchun ishlab chiqaruvchining manba kodiga kirish talab etiladi  va tool jarrohlik aniqligi uchun ishlab chiqilgan bo'lib, IP tomonidan ma'lum mamlakatlarni istisno qilish va muhokama forumlarida muayyan foydalanuvchi nomlarini nishonga olishga imkon beradi.

2016-yil avgustida o‘zini The Shadow Brokers deb nomlagan xakerlik guruhi Equation Group’dan zararli dastur kodini o‘g‘irlaganini e’lon qildi.

Kaspersky laboratoriyasi oʻgʻirlangan kod bilan Equation Group zararli dasturlari namunalaridagi ilgari maʼlum boʻlgan kod oʻrtasidagi oʻxshashliklarni, shu jumladan Equation Group kompaniyasining RC6 shifrlash algoritmini implement qilish usuliga xos boʻlgan gʻayrioddiylarni payqadi va shuning uchun bu eʼlon qonuniy, degan xulosaga keldi.

Eternalrocks

EternalRocks (DOOMSday zararli dasturi), u birinchi marta Milliy xavfsizlik agentligi tomonidan topilgan va Shadow Brokers guruhi tomonidan 2017-yil aprel oyida oshkor qilingan yetti exploitdan foydalanadi. Mutaxassislar zararli dasturni to‘satdan hujum qilishi mumkin bo‘lgan “qiyomat(doomsday)” qurti deb ta’rifladi.

Shu oy boshida WannaCry to'lov dasturi butun dunyo bo'ylab shifoxonalar, maktablar va ofislarni qamrab oldi va 300 000 dan ortiq kompyuterlarga tarqaldi. U Shadow Brokers, EternalBlue va DoublePulsar tomonidan oshkor qilingan ikkita NSA exploitidan foydalanadi. Bir necha kundan so'ng tadqiqotchilar o'sha exploitlardan foydalangan holda tarqaladigan va kriptovalyutani mining qilish uchun botnetlarni yaratadigan yangi zararli dastur Adylkuzzni topdilar. Endi EternalRocks bor. Xorvatiyaning CERT kiberxavfsizlik bo‘yicha mutaxassisi Miroslav Stampar birinchi marta xakerlik hujumlarini topdi. EternalRocks-ning eng dastlabki topilmalari 2016 yil 3-maygacha davom etadi, deb yozdi u GitHub-dagi tavsifida. EternalRocks EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch va SMBTouch-dan foydalanadi -- Shadow Brokers tomonidan oshkor qilingan barcha toollar. Stamparning so'zlariga ko'ra, u to'plangan hackni uning honeypotni yuqtirganidan keyin topdi, bu kiruvchi zararli dasturlarni kuzatish uchun o'rnatilgan tuzoq.

Aksariyat tollar Microsoft Windows Server Message Block deb nomlangan shaxsiy kompyuterlar tomonidan qo'llaniladigan standart fayl almashish texnologiyasi bilan zaifliklardan foydalanadi, bu WannaCry e'tiborga olinmasdan tez tarqaladi. Microsoft ushbu zaifliklarni mart oyida tuzatdi, ammo ko'plab eskirgan kompyuterlar xavf ostida qolmoqda. Jabrlanuvchilarni ransomware orqali yuqtirganliklari haqida ogohlantiruvchi WannaCry-dan farqli o'laroq, EternalRocks kompyuterlarda yashirin va jim bo'lib qoladi. Kompyuterga kirgandan so'ng u Torning shaxsiy brauzerini yuklab oladi va qurtning yashirin serverlariga signal yuboradi. Keyin, kutadi. 24 soat davomida EternalRocks hech narsa qilmaydi. Ammo bir kundan keyin server javob beradi va yuklab olishni va o'zini o'zi ko'paytirishni boshlaydi. Bu shuni anglatadiki, qo'shimcha ma'lumot olishni va zararli dasturni o'rganishni xohlaydigan xavfsizlik mutaxassislari bir kunga kechiktiriladi.

"Aloqalarni kechiktirish orqali yomon actorlar ko'proq yashirin bo'lishga harakat qilmoqdalar", dedi Plixer xavfsizlik firmasining bosh direktori Michael Patterson elektron pochta orqali yuborilgan bayonotida. "Barcha zararli dasturlarni aniqlash va to'xtatish poygasi yillar oldin yo'qolgan." U hatto xavfsizlik tadqiqotchilaridan yashirinish maqsadida o'zini WannaCry deb ataydi, dedi Stampar. WannaCry-ning variantlari singari, EternalRocks-da ham o'chirish tugmasi yo'q, shuning uchun uni osonlikcha bloklab bo'lmaydi. Hozircha EternalRocks harakatsiz qolmoqda, chunki u tarqalishda va ko'proq kompyuterlarni yuqtirishda davom etmoqda. Stampar ushbu qurtni istalgan vaqtda qurollanishi mumkinligi haqida ogohlantiradi, xuddi WannaCry-ning to'lov dasturi minglab kompyuterlarni yuqtirganidan so'ng birdaniga hujum qilgani kabi. Yashirin tabiati tufayli EternalRocks qancha kompyuterni yuqtirgani noma'lum. EternalRocks nimaga qurollanishi ham aniq emas. Plixerning ta'kidlashicha, qurt darhol bank faoliyati uchun ko'proq to'lov dasturi yoki trojan hujumlariga aylanishi mumkin.

Flame Group malware

Flame, Flamer, sKyWIper va Skywiper nomi bilan ham tanilgan, 2012-yilda topilgan, Microsoft Windows operatsion tizimida ishlaydigan kompyuterlarga hujum qiluvchi modulli kompyuter zararli dasturidir. Dastur Yaqin Sharq mamlakatlarida maqsadli kiber josuslik uchun ishlatiladi. Uning topilishi 2012-yilning 28-mayida Eron kompyuter favqulodda vaziyatlarga qarshi kurash milliy jamoasi (CERT - Computer Emergency Response Team) MAHER markazi, Kaspersky laboratoriyasi va Budapesht Texnologiya va Iqtisodiyot universitetining CrySyS laboratoriyasi tomonidan e’lon qilindi. Ulardan oxirgi o'z hisobotida ta'kidlaganidek, Flame "albatta, amaliyotimiz davomida duch kelgan eng murakkab zararli dasturdir(malware); shubhasiz, u topilgan eng murakkab zararli dasturdir". Flame local network (LAN) orqali boshqa tizimlarga tarqalishi mumkin.

2012-yil may oyida Kasperskyning hisob-kitoblariga ko‘ra, Flame dastlab 1000 ga yaqin machinega yuqtirgan, qurbonlar hukumat tashkilotlari, ta’lim muassasalari va xususiy shaxslar bo‘lgan. O'sha paytda infektsiyalarning 65 foizi Eron, Isroil, Falastin, Sudan, Suriya, Livan, Saudiya Arabistoni va Misrda sodir bo'lgan va "ko'pchilik nishonlar" Eronda joylashgan. Flame Yevropa va Shimoliy Amerikada ham qayd etilgan. Flame "kill" buyrug'ini qo'llab-quvvatlaydi, bu zararli dasturning barcha izlarini kompyuterdan o'chiradi. Flame ning dastlabki infektsiyalari uning jamoatchilikka ta'siridan keyin faoliyatini to'xtatdi va "kill" buyrug'i yuborildi.

Flame Kaspersky laboratoriyasi tomonidan Equation Group bilan bog'langan. Biroq, Kaspersky laboratoriyasining global tadqiqot va tahlil guruhi direktori Costin Raiu guruh faqat Flame va Stuxnet yaratuvchilari bilan ustunlik pozitsiyasida hamkorlik qiladi, deb hisoblaydi: "Equation Group, albatta, usta va ular boshqalarga, ehtimol, non bo'laklarini berishadi. Vaqti-vaqti bilan ular Stuxnet va Flame-ga qo'shilish uchun ularga sovg'alar berishadi."

2019 yilda tadqiqotchilar Juan Andres Guerrero-Saade va Silas Cutler Flamening qayta tiklanishini topishganini e'lon qilishdi. Hujumchilar yangi namunalarni suicide buyrug‘idan oldin yaratilgandek qilish uchun timestomping usulidan foydalangan. Biroq, kompilyatsiya xatosi haqiqiy kompilyatsiya sanasini o'z ichiga oladi (taxminan 2014 yil). Yangi versiya (tadqiqotchilar tomonidan "Flame 2.0" deb nomlangan) uning funksionalligini yashirish uchun yangi shifrlash va chalkashlik mexanizmlarini o'z ichiga oladi.

Flame - 20 megabayt hajmdagi zararli dasturlar uchun xarakterli bo'lmagan katta dastur. U qisman Lua skript tilida yozilgan bo'lib, kompilyatsiya qilingan C++ kodi bilan bog'langan va dastlabki infektsiyadan so'ng boshqa hujum modullarini yuklash imkonini beradi. Zararli dastur tuzilgan ma'lumotlarni saqlash uchun besh xil shifrlash usuli va SQLite ma'lumotlar bazasidan foydalanadi. Turli jarayonlarga kod kiritish uchun qo'llaniladigan usul yashirindir, chunki zararli dastur modullari jarayonga yuklangan modullar ro'yxatida va zararli dastur memory pagelarida ko'rinmaydi. READ, WRITE va EXECUTE permissionlari bilan himoyalangan, bu esa ularga foydalanuvchi rejimidagi ilovalar tomonidan kirish imkoniga ega bo‘lmaydi. Ichki kodning boshqa zararli dasturlarga oʻxshash tomonlari bor, lekin tizimlarni yuqtirish uchun avval Stuxnet tomonidan qoʻllanilgan ikkita xavfsizlik zaifligidan(security vulnerabilitie) foydalanadi.

Zararli dastur qanday antivirus dasturi o'rnatilganligini aniqlaydi, so'ngra ushbu dasturiy ta'minot tomonidan aniqlash ehtimolini kamaytirish uchun o'z xatti-harakatlarini (masalan, foydalanadigan fayl nomi kengaytmalarini o'zgartirish orqali) moslashtiradi. Zararli qilishning qoʻshimcha indicatorlari qatoriga mutex va registry activity kiradi, masalan, zararli dastur buzilgan tizimda barqarorlikni saqlash uchun foydalanadigan soxta audio drayverni oʻrnatish.

Flame avtomatik ravishda o'chirish uchun mo'ljallanmagan, lekin "kill" funksiyasini qo'llab-quvvatlaydi, bu uning fayllari va uning boshqaruvchilaridan modulni olgandan so'ng tizimdan ishlashining barcha izlarini yo'q qiladi.

Flame Microsoft Enforced Licensing Intermediate PCA sertifikat organining soxta sertifikati bilan imzolangan. Zararli dastur mualliflari kod imzolash uchun tasodifan yoqilgan va hali ham zaif MD5 xesh algoritmidan foydalanadigan Microsoft Terminal Server Litsenziyalash Xizmati sertifikatini aniqladilar keyin ular zararli dasturning ba'zi tarkibiy qismlariga imzo qo'yish uchun foydalanilgan sertifikatning qalbaki nusxasini tayyorlab, ularni Microsoftdan kelib chiqqandek ko'rsatishdi. Sertifikatga qarshi muvaffaqiyatli to'qnashuv hujumi avval 2008 yilda namoyish etilgan, ammo Flame tanlangan prefiksli to'qnashuv hujumining yangi variantini amalga oshirdi.

Ilgari ma'lum bo'lgan Stuxnet va Duqu kiber qurollari(cyber weapon) singari, u maqsadli tarzda qo'llaniladi va rootkit funksiyalari orqali joriy xavfsizlik dasturidan qochishi mumkin. Tizim infektsiyalanganidan so'ng, Flame local tarmoq yoki USB flesh-diski orqali boshqa tizimlarga tarqalishi mumkin. U audio, skrinshotlar, klaviatura harakati va tarmoq trafigini yozib olishi mumkin. Dastur shuningdek, Skype suhbatlarini yozib oladi va zararlangan kompyuterlarni Bluetooth-mayoqlariga(Bluetooth beacon) aylantirsinkholinga oladi, ular yaqin-atrofdagi Bluetooth-ni yoqadigan qurilmalardan kontakt ma'lumotlarini yuklab olishga harakat qiladi.

Ushbu ma'lumotlar local saqlangan hujjatlar bilan birga butun dunyo bo'ylab tarqalgan bir nechta buyruq va boshqaruv serverlaridan biriga yuboriladi. Keyin dastur ushbu serverlardan qo'shimcha ko'rsatmalarni kutadi.

Sanoat jarayonini sabotage qilish uchun ishlab chiqilgan Stuxnetdan farqli o'laroq, Flame faqat josuslik uchun yozilgan ko'rinadi. Bu ma'lum bir sanoatni maqsad qilgandek ko'rinmaydi, balki "umumiy kiber-josuslik maqsadlari uchun mo'ljallangan to'liq hujum vositalari to'plami(attack toolkit)".

Kaspersky sinkholing(cho'kish) deb nomlanuvchi texnikadan foydalangan holda, "maqsadlarning katta qismi" Eron hududida ekanligini, tajovuzkorlar, ayniqsa, AutoCAD rasmlari, PDF va matnli fayllarni qidirayotganini ko'rsatdi. Hisoblash bo'yicha mutaxassislarning ta'kidlashicha, dastur razvedka maqsadlarida texnik diagrammalarni yig'ayotganga o'xshaydi. Yuqtirilgan mashinalarga masofadan kirish uchun Osiyo, Yevropa va Shimoliy Amerikadagi 80 ta serverdan iborat tarmoqdan foydalanilgan.

2012-yil 19-iyun kuni The Washington Post gazetasida Flame kamida besh yil avval AQSh Milliy xavfsizlik agentligi, Markaziy razvedka boshqarmasi va Isroil armiyasi tomonidan birgalikda ishlab chiqilgani haqida maqola chop etildi. Loyiha Eronning yadroviy sa'y-harakatlarini sekinlashtirishga qaratilgan cyber-sabotage kampaniyasiga tayyorgarlik ko'rish uchun razvedka ma'lumotlarini to'plash uchun mo'ljallangan Olympic Games(Olimpiya o'yinlari) kod nomidagi maxfiy harakatlarning bir qismi ekanligi aytildi.

Kasperskyning zararli dasturiy ta'minot bo'yicha bosh ekspertining so'zlariga ko'ra, "maqsadlar geografiyasi va tahdidning murakkabligi uning tadqiqotga homiylik qilgan milliy davlat ekanligiga shubha tug'dirmaydi". Kaspersky dastlab zararli dastur Stuxnetga oʻxshamasligini aytdi, garchi u xuddi shu hujumchilar tomonidan buyurtma qilingan parallel loyiha boʻlishi mumkin. Kodni batafsil tahlil qilgach, Kaspersky keyinchalik Flame va Stuxnet o'rtasida kuchli munosabatlar mavjudligini aytdi; Stuxnet-ning dastlabki versiyasida xuddi shu zero-day zaiflikdan foydalanadigan Flame moduli bilan deyarli bir xil bo'lgan USB drayvlar orqali tarqatish uchun kod mavjud edi.