За кем шпионит супервирус Flame?

В начале мая Лаборатория криптографии и системной безопасности (CrySyS) Будапештского университета технологии и экономики, а также российская Лаборатория Касперского независимо друг от друга обнаружили необычный компьютерный вирус, получивший в базе данных последней название Flame.

По данным CrySyS, ранняя модификация вируса впервые появилась в Европе в конце 2007 года, впоследствии Flame был обнаружен весной 2008 года в ОАЭ и лишь в марте 2010-го добрался до Ирана. В настоящий момент он распространился по всему Ближнему Востоку.

По словам представителей Лаборатории Касперского, после заражения системы Flame начинает целый комплекс операций, в том числе снятие скриншотов, перехват сетевого трафика, запись аудиоразговоров, перехват ввода с клавиатуры. Создатели Flame стремятся получить любые данные, включая электронные письма, документы, сообщения, разговоры на территории секретных объектов, а список жертв варьируется от отдельных личностей до окологосударственных структур и образовательных учреждений. Поэтому судить о конечной цели разработки Flame по количественным данным о заражениях нецелесообразно.

Вместе с тем Flame трудно рассматривать безотносительно обнаруженных в 2010–2011 годах вирусов Duqu и Stuxnet, особенно в иранском контексте. Новый супервирус хорошо дополняет своих собратьев в функциональном смысле. Если принять за аксиому пресловутый тезис о том, что целью Stuxnet и Flame является торможение развития иранской ядерной программы, то складывается картина идеального разделения труда между двумя семействами вредоносных программ. Первое из них, образуемое 20 или более модулями и несколькими версиями Flame, представляет собой огромный пылесос, способный исключительно эффективно втягивать всю интересующую информацию. Второе семейство, на сей день известное в лице Stuxnet, — скальпель, предназначенный для точечных ударов по критическим объектам, детальная информация о которых заранее добывается… откуда? Из пылесоса, не в последнюю очередь.

Характерной и почти повсеместной характеристикой Flame в СМИ является его причисление к новому поколению кибероружия. Между тем сам по себе Flame таковым не является, и это принципиальный момент. В задачи ни одного из модулей супервируса, насколько позволяют судить данные предварительного анализа, не входит выведение из строя компьютерных систем и тем более физическое поражение объектов, таких, например, как элементы критической инфраструктуры. Это в чистом виде средство осуществления кибершпионажа, не рассчитанное на иные опции применения. Понятие кибероружия будет легитимным в отношении Flame лишь в том случае, если подразумевается не просто его инструментальное применение, а описанная выше умышленная изначальная связка с программами, подобными Stuxnet. Однако такая связка остается недоказуемой, несмотря на теоретическую привлекательность.

Абстрагируясь от технологических нюансов Flame и домыслов об авторстве вируса, остается с горечью констатировать неподконтрольность развития таких продуктов действиям как отдельных стран, так и международного сообщества. Ирану, на чьей территории было выявлено от 40% до большинства случаев поражения систем различными версиями Stuxnet, Duqu и Flame, впору требовать от партнеров по ядерным переговорам гарантий безопасности своей атомной инфраструктуры от киберугроз. Но ведь такое требование лишено адресата. В сегодняшних реалиях создатели супервирусов, подобных Stuxnet и Flame, настолько неуязвимы и анонимны, что их детища напоминают армии нанороботов из романа Станислава Лема «Непобедимый» — инструмент, непредсказуемость, бесконтрольность и обезличенность применения которого больше напоминают природную стихию, а не продукт рук человеческих.

Однако в отличие от нанороботов Лема у Flame есть авторы — и их поиск будет успешен только в том случае, если станет частью глобальной дипломатической повестки. Проблему потенциальной политической составляющей в распространении супервирусов не решить ее игнорированием. Ровно в той же степени, в которой невозможно доказать преимущественное американо-израильское авторство Stuxnet и Flame, невозможно изгладить почву для таких подозрений в умах иранского руководства. Каждый новый случай выявления особо сложного вредоносного ПО в иранских критических системах обречен быть не меньшим раздражителем и генератором недоверия для режима аятолл, чем очередная магнитная бомба на автомобиле иранского атомщика, независимо от того, кто за этим стоит.

А значит, пора начинать строительство глобального режима кибербезопасности, в котором найдется место гарантиям против политически мотивированных кибератак и трансграничным механизмам расследования и выявления источников новых супервирусов, а они, вне всяких сомнений, вскоре дадут о себе знать.

России, которая энергично продвигает подобные инициативы на международной арене, но при этом совершенно не имеет внятной национальной концепции защиты критической инфраструктуры и доктринально закрепленного опыта противодействия таким угрозам, уж точно не следует почивать на лаврах — в киберпространстве от Тегерана до Москвы лишь пара кликов.