فلیم به دنبال استاکس نت آمد
کشف یک بدافزار پیچیده
این خبر درست یک روز بعد از انتشار گزارش مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) در خصوص کشف بدافزار دیگری از خانواده استاکسنت، منتشر شد.
بر اساس اعلام مرکز ماهر، این حمله از طریق بدافزاری که از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت میگیرد و این نام برگرفته از محتویات رمزگشایی شده فایلهای اصلی بدافزار است. این بدافزار در واقع پلتفرمی است که قابلیت دریافت و نصب ابزارهای گوناگون برای فعالیتهای مختلف را دارا است.
در حال حاضر هیچ کدام از اجزای پرشمار تشکیل دهنده این بدافزار با بیش از ۴۳ نرم افزار آنتی ویروس در دسترس شناسایی نمیشوند؛ با وجود این، ابزار شناسایی و پاکسازی این بدافزار در مرکز ماهر تهیه شده است و از امروز در اختیار سازمانها و شرکتهای متقاضی قرار خواهد گرفت.
در حالی مرکز ماهر این ادعا را مطرح کرده که ابزار شناسایی و پاکسازی این بدافزار را کشف کرده است که شرکت کسپرسکی لب، «فلیم» را «یکی از پیچیدهترین تهدیدهایی که تاکنون کشف شده» توصیف کردهاند. همچنین متخصصان امنیتی میگویند سالها طول میکشد تا جزئیات و کارکرد آن را دریابند.
مرکز ماهر با رسانههاحرف نمیزند
اگر اخبار امنیتی در فضای مجازی را طی چند ماه گذشته بررسی کنید شاهد حمله انواع مختلفی از ویروسهایی میشوید که هر کدام یکی از سازمانها و نهادهای مهم دولتی کشور را هدف قرار دادهاند. آخرین حمله سایبری هم که مربوط به بخش رایانهای وزارت علوم، تحقیقات و فناوری ایران و وزارت نفت کشور بود. حملههایی که هر چند مسوولان کشوری آن را ناکام اعلام کردند اما تا کنون مشخص نشده است که عامل اصلی این اختلالها چه بوده است. همچنین هیچگونه مستندات فنی، حتی برای کارشناسان و دستاندرکاران امنیت فناوری اطلاعات در کشور منتشر نشده است.
مشهورترین ویروسهایی که تاکنون در کشور کشف شدهاند استاکسنت و خانواده آن، وایپر، دوکو و جدیدترین آن فلیم است.
براساس گزارش کسپرسکی لب،بدافزار موسوم به «فلیم» (Flame) از اوت ۲۰۱۰ مشغول به کار بوده است و تاکنون بیش از 600 هدف را مورد حمله قرار داده است. این شرکت معتقد است که حمله کار یک دولت بوده، اما نمیتواند از سرمنشا دقیق آن مطمئن باشد. هر چند یک روز قبل از انتشار گزارش بینالمللی این ویروس نیز مرکز رخدادهای رایانهای ایران از بدافزار Flame به عنوان یکی از بدافزارهایی که با عملیات پیچیده به سرقت اطلاعات میپردازند با هشدار یاد کرده بود، اما مسوولان این مرکز از ارائه اطلاعات بیشتر در خصوص این ویروس خودداری کردهاند و درپاسخ تماس خبرنگار ما، تنها به ذکر این نکته اکتفا کردهاند که نمیتوانند در این زمینه پاسخگو باشند و هر اطلاعاتی که مورد نیاز است روی سایت مرکز ماهر قرار گرفته است.
قابلیتهای Flame
اما براساس آنچه در سایت ماهر آمده است از جمله قابلیتهای مهم بدافزار فلیم، میتوان به انتشار از طریق حافظههای فلش، انتشار در سطح شبکه، پویش شبکه و جمعآوری و ثبت اطلاعات منابع شبکه و رمز عبور سیستمهای مختلف اشاره کرد.
همچنین، پویش دیسک کامپیوتر آلوده و جستوجو برای فایلهایی با پسوندها و محتوای مشخص، تهیه تصویر از فعالیتهای خاص کاربر سیستم آلوده با ذخیرهسازی تصاویر نمایش داده شده روی مانیتور کاربر، ذخیرهسازی صوت دریافتی از طریق میکروفن سیستم در صورت وجود و ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور از دیگر قابلیتهای این بدافزار محسوب میشود.
دارا بودن بیش از ۱۰ دامنه مورد استفاده به عنوان سرور C ampersand C، برقراری ارتباط امن با سرورهای C ampersand C از طریق پروتکلهای SSH و HTTPS، شناسایی و از کارانداختن بیش از ۱۰۰ نرم افزار آنتی ویروس، ضد بدافزار، فایروال، قابلیت آلودهسازی سیستمهای ویندوز XP، ویستا و ویندوز ۷ و قابلیت آلودهسازی سیستمهای یک شبکه در مقیاس بالا نیز از قابلیتهای این بدافزار است.
میزان صدمات به ایران
بعد از انتشار گزارش از سوی کسپرسکی دیگر فعالان حوزه امنیت سایبر از جمله سیمانتک نیز گزارشهای خود را در این زمینه منتشر کردند. بر اساس ادعای این شرکتها، در میان کشورهایی که به این بدافزار آلوده شدهاند میتوان از ایران، اسرائیل، سودان، سوریه، لبنان، عربستان سعودی و مصر نام برد.
تاکنون مسوولان کشور توضیحات دقیقی در خصوص میزان صدماتی که انتشار این ویروس در کشور به دنبال داشته منتشر نکردهاند، اما در خصوص انتشار این بدافزار دو نظر متفاوت وجود دارد. برخی معتقدند انتشار این گزارش توسط شرکت کسپرسکی تنها یک حربه تبلیغاتی و رسانهای است تا بتواند از این طریق، حمله ویروس وایپر که تنها روی سیستمهایی با این آنتی ویروس را مورد هدف قرار داده بود، بپوشاند، اما برخی دیگر نظر دیگری دارند و اعلام میکنند که اگر کسپرسکی اقدام به تحقیقات در خصوص این بدافزار نمیکرد باید شاهد صدمات جبرانناپذیری در برخی کشورها میشدیم.
اسماعیل ذبیحی، کارشناس امنیت سایبر در این خصوص میگوید: «براساس برخی گزارشها انتشار ویروس وایپر روی دستگاههایی نفوذ پیدا کرد که آنتی ویروس شرکت کسپرسکی روی آن نصب بوده است، بنابراین به اعتقاد من شاید به دنبال این اتفاق کسپرسکی برای اینکه هدف انتقادها قرار نگیرد این گزارش را منتشر کرده است. هرچند که به باور من عملکرد این شرکت در انتشار این گزارش نیز با تاخیر همراه بوده است.» به گفته ذبیحی، هدف کسپرسکی این بوده است که بگوید توانایی کشف این ویروس جدید را داشته و با این کار نام خود را سر زبانها بیندازد.
اما علیرضا صالحی، دبیر کمیسیون افتا سازمان نظام صنفی رایانهای، با رد این نظر میگوید: «کسپرسکی به دنبال درخواست اتحادیه ارتباطات بینالمللی سازمان ملل اقدام به تهیه این گزارش کرد. در واقع این اتحادیه به دنبال دریافت گزارش از کشورهای خاورمیانه که اطلاعات سیستمهایشان را از دست داده بودند، از کسپرسکی درخواست کمک کرده بود.»
براساس گفتههای صالحی همانطور که در تاریخ بدافزار، استاکسنت، نقطه عطفی بود که شبکههای صنعتی را مورد هدف قرار داد، «فلیم» نیز نسل خطرناکی از بدافزار است که به «جعبهابزار تبهکاری یا سلاح سایبر» مشهور شده است. وی در ادامه میافزاید: «این بدافزار جدید به صورت عجیبی همه کاره است تا جایی که امکان ثبت هر آنچه کاربر تایپ میکند یا میبیند و همچنین میشنود را دارد. همچنین میتواند از طریق بلوتوث کامپیوتر با دستگاههای کامپیوتری دیگر ارتباط برقرار کند و دست به جمعآوری اطلاعات بزند. شاید به همین علت هم باشد که حجم این بدافزار بالا و در حدود ۲۰ مگ است.» به گفته وی، این بدافزار از طریق یک usb به یک دستگاه منتقل شده و در نهایت از طریق شبکه اینترنت بین سایر دستگاهها پخش شده است. همچنین گفته میشود زبان برنامهنویسی این بدافزار نیز در نوع خود عجیب است؛ چرا که زبان برنامه نویسی مورد استفاده شده در فلیم LUA است که این زبان مخصوص برنامهنویسی در بخش بازی کامپیوتری است.
وی در ادامه در پاسخ به این سوال که این بدافزار تا چه میزان به کشور ایران صدمه وارد کرده است، میگوید: «هنوز نمیتوان اطلاعات دقیقی در این خصوص به دست آورد، اما براساس گزارشهای منتشر شده از اسفند سال گذشته، این ویروس به چند واحد صنعتی و وزارت نفت صدمه وارد کرده است، اما از میزان این صدمات اطلاع دقیقی در دست نیست.» وی در ادامه تاکید میکند که ویروس وایپر که سیستم رایانهای وزارت نفت را مورد هدف قرار داده بود در واقع همان فلیم است.
وی پیشنهاد میکند علاوه بر اطلاعرسانی دقیق در این خصوص، برای جلوگیری از انتشار این بدافزار در سازمانها، شرکتها و حتی سیستمهای کاربران بهتر است از تمامی اطلاعات یک نسخه پشتیبان گرفته شود. همچنین نقاط کنترلی (پورت USB، سی دی درایو، میلهای تبادل شده) مورد بازبینی قرار بگیرند. حتما باید در هر سازمانی استاندارد مدیریت امنیت اطلاعات یا ISMS پیادهسازی شود تا بتوان هوشیار بود و اقدامات پیشگیرانه انجام داد.
ارسال نظر