کشف یک بدافزار پیچیده

این خبر درست یک روز بعد از انتشار گزارش مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) در خصوص کشف بدافزار دیگری از خانواده استاکس‌نت، منتشر شد.
بر اساس اعلام مرکز ماهر، این حمله از طریق بدافزاری که از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می‌گیرد و این نام برگرفته از محتویات رمزگشایی شده فایل‌های اصلی بدافزار است. این بدافزار در واقع پلت‌فرمی است که قابلیت دریافت و نصب ابزارهای گوناگون برای فعالیت‌های مختلف را دارا است.
در حال حاضر هیچ کدام از اجزای پرشمار تشکیل دهنده این بدافزار با بیش از ۴۳ نرم افزار آنتی ویروس در دسترس شناسایی نمی‌شوند؛ با وجود این، ابزار شناسایی و پاکسازی این بدافزار در مرکز ماهر تهیه شده است و از امروز در اختیار سازمان‌ها و شرکت‌های متقاضی قرار خواهد گرفت.
در حالی مرکز ماهر این ادعا را مطرح کرده که ابزار شناسایی و پاکسازی این بدافزار را کشف کرده است که شرکت کسپرسکی لب، «فلیم» را «یکی از پیچیده‌ترین تهدیدهایی که تاکنون کشف شده» توصیف کرده‌اند. همچنین متخصصان امنیتی می‌گویند سال‌ها طول می‌کشد تا جزئیات و کارکرد آن را دریابند.
مرکز ماهر با رسانه‌هاحرف نمی‌زند
اگر اخبار امنیتی در فضای مجازی را طی چند ماه گذشته بررسی کنید شاهد حمله انواع مختلفی از ویروس‌هایی می‌شوید که هر کدام یکی از سازمان‌ها و نهادهای مهم دولتی کشور را هدف قرار داده‌اند. آخرین حمله سایبری هم که مربوط به بخش رایانه‌ای وزارت علوم، تحقیقات و فناوری ایران و وزارت نفت کشور بود. حمله‌هایی که هر چند مسوولان کشوری آن را ناکام اعلام کردند اما تا کنون مشخص نشده است که عامل اصلی این اختلال‌ها چه بوده است. همچنین هیچ‌گونه مستندات فنی، حتی برای کارشناسان و دست‌اندرکاران امنیت فناوری اطلاعات در کشور منتشر نشده است.
مشهورترین ویروس‌هایی که تاکنون در کشور کشف شده‌اند استاکس‌نت و خانواده آن، وایپر، دوکو و جدیدترین آن فلیم است.
براساس گزارش کسپرسکی لب،بدافزار موسوم به «فلیم» (Flame) از اوت ۲۰۱۰ مشغول به کار بوده است و تاکنون بیش از 600 هدف را مورد حمله قرار داده است. این شرکت معتقد است که حمله کار یک دولت بوده، اما نمی‌تواند از سرمنشا دقیق آن مطمئن باشد. هر چند یک روز قبل از انتشار گزارش بین‌المللی این ویروس نیز مرکز رخدادهای رایانه‌ای ایران از بدافزار Flame به عنوان یکی از بدافزارهایی که با عملیات پیچیده به سرقت اطلاعات می‌پردازند با هشدار یاد کرده بود، اما مسوولان این مرکز از ارائه اطلاعات بیشتر در خصوص این ویروس خودداری کرده‌اند و درپاسخ تماس خبرنگار ما، تنها به ذکر این نکته اکتفا کرده‌اند که نمی‌توانند در این زمینه پاسخگو باشند و هر اطلاعاتی که مورد نیاز است روی سایت مرکز ماهر قرار گرفته است.

قابلیت‌های Flame
اما براساس آنچه در سایت ماهر آمده است از جمله قابلیت‌های مهم بدافزار فلیم، می‌توان به انتشار از طریق حافظه‌های فلش، انتشار در سطح شبکه، پویش شبکه و جمع‌آوری و ثبت اطلاعات منابع شبکه و رمز عبور سیستم‌های مختلف اشاره کرد.
همچنین، پویش دیسک کامپیوتر آلوده و جست‌وجو برای فایل‌هایی با پسوندها و محتوای مشخص، تهیه تصویر از فعالیت‌های خاص کاربر سیستم آلوده با ذخیره‌سازی تصاویر نمایش داده شده روی مانیتور کاربر، ذخیره‌سازی صوت دریافتی از طریق میکروفن سیستم در صورت وجود و ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور از دیگر قابلیت‌های این بدافزار محسوب می‌شود.
دارا بودن بیش از ۱۰ دامنه مورد استفاده به عنوان سرور C ampersand C، برقراری ارتباط امن با سرورهای C ampersand C از طریق پروتکل‌های SSH و HTTPS، شناسایی و از کار‌انداختن بیش از ۱۰۰ نرم افزار آنتی ویروس، ضد بدافزار، فایروال، قابلیت آلوده‌‌سازی سیستم‌های ویندوز XP، ویستا و ویندوز ۷ و قابلیت آلوده‌سازی سیستم‌های یک شبکه در مقیاس بالا نیز از قابلیت‌های این بدافزار است.
میزان صدمات به ایران
بعد از انتشار گزارش از سوی کسپرسکی دیگر فعالان حوزه امنیت سایبر از جمله سیمانتک نیز گزارش‌های خود را در این زمینه منتشر کردند. بر اساس ادعای این شرکت‌ها، در میان کشورهایی که به این بدافزار آلوده شده‌اند می‌توان از ایران، اسرائیل، سودان، سوریه، لبنان، عربستان سعودی و مصر نام برد.
تاکنون مسوولان کشور توضیحات دقیقی در خصوص میزان صدماتی که انتشار این ویروس در کشور به دنبال داشته منتشر نکرده‌اند، اما در خصوص انتشار این بدافزار دو نظر متفاوت وجود دارد. برخی معتقدند انتشار این گزارش توسط شرکت کسپرسکی تنها یک حربه تبلیغاتی و رسانه‌ای است تا بتواند از این طریق، حمله ویروس وایپر که تنها روی سیستم‌هایی با این آنتی ویروس را مورد هدف قرار داده بود، بپوشاند، اما برخی دیگر نظر دیگری دارند و اعلام می‌کنند که اگر کسپرسکی اقدام به تحقیقات در خصوص این بدافزار نمی‌کرد باید شاهد صدمات جبران‌ناپذیری در برخی کشورها می‌شدیم.
اسماعیل ذبیحی، کارشناس امنیت سایبر در این خصوص می‌گوید: «براساس برخی گزارش‌ها انتشار ویروس وایپر روی دستگاه‌هایی نفوذ پیدا کرد که آنتی ویروس شرکت کسپرسکی روی آن نصب بوده است، بنابراین به اعتقاد من شاید به دنبال این اتفاق کسپرسکی برای اینکه هدف انتقادها قرار نگیرد این گزارش را منتشر کرده است. هرچند که به باور من عملکرد این شرکت در انتشار این گزارش نیز با تاخیر همراه بوده است.» به گفته ذبیحی، هدف کسپرسکی این بوده است که بگوید توانایی کشف این ویروس جدید را داشته و با این کار نام خود را سر زبان‌ها بیندازد.
اما علیرضا صالحی، دبیر کمیسیون افتا سازمان نظام صنفی رایانه‌ای، با رد این نظر می‌گوید: «کسپرسکی به دنبال درخواست اتحادیه ارتباطات بین‌المللی سازمان ملل اقدام به تهیه این گزارش کرد. در واقع این اتحادیه به دنبال دریافت گزارش از کشورهای خاورمیانه که اطلاعات سیستم‌هایشان را از دست داده بودند، از کسپرسکی درخواست کمک کرده بود.»
براساس گفته‌های صالحی همانطور که در تاریخ بدافزار، استاکس‌نت، نقطه عطفی بود که شبکه‌های صنعتی را مورد هدف قرار داد، «فلیم» نیز نسل خطرناکی از بدافزار است که به «جعبه‌ابزار تبهکاری یا سلاح سایبر» مشهور شده است. وی در ادامه می‌افزاید: «این بدافزار جدید به صورت عجیبی همه کاره است تا جایی که امکان ثبت هر آنچه کاربر تایپ می‌کند یا می‌بیند و همچنین می‌شنود را دارد. همچنین می‌تواند از طریق بلوتوث کامپیوتر با دستگاه‌های کامپیوتری دیگر ارتباط برقرار کند و دست به جمع‌آوری اطلاعات بزند. شاید به همین علت هم باشد که حجم این بدافزار بالا و در حدود ۲۰ مگ است.» به گفته وی، این بدافزار از طریق یک usb به یک دستگاه منتقل شده و در نهایت از طریق شبکه اینترنت بین سایر دستگاه‌ها پخش شده است. همچنین گفته می‌شود زبان برنامه‌نویسی این بدافزار نیز در نوع خود عجیب است؛ چرا که زبان برنامه نویسی مورد استفاده شده در فلیم LUA است که این زبان مخصوص برنامه‌نویسی در بخش بازی کامپیوتری است.
وی در ادامه در پاسخ به این سوال که این بدافزار تا چه میزان به کشور ایران صدمه وارد کرده است، می‌گوید: «هنوز نمی‌توان اطلاعات دقیقی در این خصوص به دست آورد، اما براساس گزارش‌های منتشر شده از اسفند سال گذشته، این ویروس به چند واحد صنعتی و وزارت نفت صدمه وارد کرده است، اما از میزان این صدمات اطلاع دقیقی در دست نیست.» وی در ادامه تاکید می‌کند که ویروس وایپر که سیستم رایانه‌ای وزارت نفت را مورد هدف قرار داده بود در واقع همان فلیم است.
وی پیشنهاد می‌کند علاوه بر اطلاع‌رسانی دقیق در این خصوص، برای جلوگیری از انتشار این بدافزار در سازمان‌ها، شرکت‌ها و حتی سیستم‌های کاربران بهتر است از تمامی اطلاعات یک نسخه پشتیبان گرفته شود. همچنین نقاط کنترلی (پورت USB، سی دی درایو، میل‌های تبادل شده) مورد بازبینی قرار بگیرند. حتما باید در هر سازمانی استاندارد مدیریت امنیت اطلاعات یا ISMS پیاده‌سازی شود تا بتوان هوشیار بود و اقدامات پیشگیرانه انجام داد.