۰
plusresetminus
سه شنبه ۲۵ مهر ۱۳۹۱ ساعت ۱۱:۳۲

کشف بخش دیگری از معمای Flame

ایتنا - تاکنون مدرک و سند چندان معتبری برای نشان دادن ارتباط بین دو ویروس Gauss و Flame به دست نیامده بود ولی اکنون با توجه به سازگاری ویروس SPE با این دو ویروس، این مطلب کاملاً روشن شده و به اثبات می‌رسد.


ادامه تحقیقات بر روی ویروس مشهور Flame، بخش دیگری از این معمای بزرگ را آشکار کرد.

به گزارش ایتنا از شبکه‌گستر، آخرین تحقیقات بر روی این ویروس نشان داده بود که علاوه بر Flame، سه ویروس دیگر نیز به طور همزمان توسط یک گروه واحد از برنامه‌نویسان در حال طراحی و تهیه بوده است. ولی تاکنون اطلاعات و جزئیات چندانی درباره این سه ویروس ناشناس به دست نیامده بود.

جدیدترین تحقیقات صورت گرفته توسط شرکت Kaspersky نشان می‌دهد که یکی از این ویروس‌های ناشناخته که توسط برنامه‌نویسان آن، نام SPE بر روی آن گذاشته شده، ماهیت و رفتار کاملاً متفاوتی با ویروس Flame دارد.
وظیفه اصلی ویروس Flame و حتی ویروس Gauss جمع‌آوری اطلاعات از کامپیوترهای آلوده بوده است ولی ویروس SPE نقش "درب مخفی" (Bock-door)را بر روی این کامپیوترهای آلوده ایفا می‌کرده و امکان دسترسی مستقیم به کامپیوتر آلوده را برای گردانندگان این ویروس فراهم می‌کرده است.

ویروس Flame به نحوی طراحی شده بود که تعداد کامپیوترهای زیادی را آلوده سازد ولی ویروس SPE فقط اهداف خاص و از پیش تعیین شده‌ای را مورد حمله قرار می‌داده است.
ویروس SPE ماهیت و رفتار جالبی دارد. علاوه بر اینکه این ویروس می‌تواند به صورت یک ویروس مستقل عمل کند، این قابلیت را نیز دارد که به صورت یک بخش افزودنی (Module) به دو ویروس Flame و Gauss اضافه شود.
تاکنون مدرک و سند چندان معتبری برای نشان دادن ارتباط بین دو ویروس Gauss و Flame به دست نیامده بود ولی اکنون با توجه به سازگاری ویروس SPE با این دو ویروس، این مطلب کاملاً روشن شده و به اثبات می‌رسد.

با شناسایی ویروس SPE، اکنون می‌توان تصویر نسبتاً کامل‌تری از عملکرد ویروس Flame ترسیم کرد. حمله Flame در چند مرحله طراحی شده بود. ابتدا، آلوده ساختن هر چه بیشتر کامپیوترها، سپس جمع‌آوری و سرقت اطلاعات از این سیستم‌های آلوده و در مرحله بعد، استفاده از این اطلاعات برای تشخیص و شناسایی سیستم‌های مهم و با اهمیت. در مرحله نهایی نیز ویروس SPE وارد میدان شده و بر روی این سیستم‌های انتخابی، نصب و فعال می‌گردید تا امکان دسترسی مستقیم به آنها جهت عملیات خرابکارانه و جاسوسی فراهم گردد.
در حالتی که ویروس SPE به صورت یک ویروس مستقل عمل می‌کند، نحوه آلوده سازی و انتشار آن هنوز مشخص نشده است. ولی هنگامی که به عنوان یک بخش از ویروس‌های Flame و Gauss وارد صحنه می‌گردد، وظیفه آلوده سازی، انتشار و کاشت ویروس SPE بر عهده این دو ویروس می‌باشد.

همان طور که تحقیقات گذشته نشان داده، ویروس Flame تحت شرایط خاص در یک مقطع از چرخه عملیات، اقدام به حذف و نابودی خود می‌کند ولی ویروس SPE همچنان باقی می‌ماند و شامل عملیات حذف Flame نمی‌شود. بدین ترتیب شانس و احتمال شناسایی نشدن SPE افزایش می‌یابد و با حذف Flame، سیستم تحت نظر SPE، دیگر به عنوان سیستم آلوده به Flame شناسایی نخواهد شد و کمتر کسی به آن توجه خواهد کرد.

ویروس SPE یک جاسوس‌افزار تمام عیار است؛ می‌تواند فایل‌های جدید از مرکز کنترل و فرماندهی خود دریافت کند، فایل‌های جمع‌آوری شده از سیستم قربانی را به بیرون ارسال نماید، از صفحات برخی نرم‌افزارهای کاربردی تصویربرداری کند و ...

تحقیقات قبلی که توسط کارشناسان شرکت Kaspersky، Symantec و اتحادیه بین‌المللی مخابرات صورت گرفته بود، نشان داد که سرور فرماندهی ویروس Flame و سه ویروس دیگر، از چهار نوع پودمان (Protocol) برای ارتباط با این چهار ویروس استفاده می‌کرده است. ویروس SPE نیز دو پودمان از این چهار پودمان را بکار می گرفته و به همین دلیل، احتمال می‌رود که این ویروس دارای دو گونه مختلف بوده است.

با توجه به اینکه ویروس SPE فقط اهداف خاصی را مورد حمله قرار می‌داده، شاید فقط تعداد اندکی (حدود ۵۰ دستگاه) آلوده به این ویروس شده باشند. در حالی که تعداد کامپیوترهای آلوده به ویروس Flame در اندازه چند هزار دستگاه تخمین زده می‌شود.

اطلاعات به دست آمده از سرور فرماندهی نشان می‌دهد که این ویروس عمدتاً از نشانی‌های IP منطقه خاورمیانه با این سرور در ارتباط بوده است.
ولی نشانی‌هایی از کشورهای آمریکا، فرانسه و لیتوانی هم مشاهده شده که احتمالاً به دلیل استفاده از VPN بوده است. 

علیرغم کشف این اطلاعات جدید، کارشناسان امنیتی همچنان معتقدند که فقط به اطلاعات اولیه و سطحی درباره این حملات سایبری دست یافته‌اند و هنوز ماهیت و اهداف اصلی این پروژه عظیم مشخص نشده است.
 
کد مطلب: 24010
نام شما
آدرس ايميل شما