ایتنا- برخی کارشناسان معتقدند ویروسی که در کوبا منتشر شد از حفره امنیتی آنتیویروس کسپرسکی استفاده میکرد و گویا تنها کامپیوترهای مجهز به این آنتیویروس به صورت هدفدار مورد حمله واقع شدهاند.
جزييات و ابزار شناسايي بدافزار Flame منتشر ميشود
شعلههاي ويروس از كوبا به ايران رسيد
نشريه عصرارتباط , 16 خرداد 1391 ساعت 13:44
ایتنا- برخی کارشناسان معتقدند ویروسی که در کوبا منتشر شد از حفره امنیتی آنتیویروس کسپرسکی استفاده میکرد و گویا تنها کامپیوترهای مجهز به این آنتیویروس به صورت هدفدار مورد حمله واقع شدهاند.
انتشار اطلاعات بدافزار شعلههای آتش (Flame )در اقدامی بیسابقه از سوی مرکز ماهر تکههای پازل معمای این بدافزار را کنار هم گذاشت و آشکار کرد ویروسی که چندی پیش به وزارت نفت حملهور شده و موجب آلودگی سیستمها و قطع کل شبکه اینترنت وزارت نفت و شرکتهای تابعهاش شده بود، همان بدافزاری است که نسخههای اولیهاش در سال ۲۰۱۰ طراحی شده و اکنون با بهروزرسانی ماژولهایش توان تخریبی چندبرابری یافته است.
به گزارش ایتنا از عصرارتباط، مرکز ماهر مدعی شده پس از انتشار اطلاعات فنی این بدافزار نسخه پاکسازی بدافزار «شعله آتش» را نیز منتشر خواهد کرد و به زودی از طریق سایت این مرکز certcc.ir قابل دسترس خواهد بود.
ضمن اینکه مرکز ماهر اعلام کرده آنتیویروس مذکور از ۲۰ روز گذشته در اختیار بخشهای کاربردی کشور قرار گرفته است.
شعله آتش که تاکنون با اسامی مختلفی در سایتها و شرکتهای امنیتی مختلف بدان اشاره شده، اولین بار در زمان حمله به وزارت نفت با عنوان وایپر معرفی شد، علت آن نیز از رفتار خاص این بدافزار در پاک و حذف کردن هارد کامپیوترها نشات میگیرد اما شرکت امنیتی بیتدیفندر نیز در همین راستا آن را skywiper نامگذاری کرد و شرکت امنیتی سمانتک و همینطور محققان دانشگاه بوداپست که نقش مهمی در کشف و شناسایی این بدافزار داشتند آن را Flamer میخوانند چنان که این نامگذاری به دلیل وجود این اسم در میان کدهای این بدافزار است، مرکز ماهر نیز در اطلاعاتی که اخیرا در خصوص ویژگیهای این بدافزار منتشر کرده از آن تحت نام Flame (شعله آتش) یاد کرده است.
پیشینه شعله آتش
بدافزار شعله آتش، ترکیبی است از ویروس قدیمی به نام وایپر که در سال ۲۰۰۵ منتشر شد و در آن زمان به قدری عملکردش چشمگیر و خاص بود که گمان نمیرفت ویروس مشابهی در فضای سایبری منتشر شود اما این بدافزار جدید از طریق ترکیب با ویروس دیگری دوباره احیا شد.
سپس در سال ۲۰۱۰ نسخه دیگری از آن طراحی شد که با بهروزرسانی ماژولهایش قدرت تخریبی چندبرابری پیدا کرده بود و در حالی که استاکسنت و دوکو هر یک حدود ۵۰۰ کیلوبایت حجم داشتند، حجم کل بدافزار Flame به بیش از ۲۰ مگابایت میرسد که برای یک بدافزار رقمی کاملا نامتعارف است.
کدهای بهکاررفته در این بدافزار در ظاهر شبیه کدهای معمولی نرمافزارهای دیگر است اما در حقیقت قابلیتهای هوشمندانه، مخرب و پنهانی در آنها تعبیه شده است.
آنچنان که فرخ خویلو مدیرعامل شرکت شبکه گستر، نماینده رسمی آنتیویروسهای بیتدیفندر و مکآفی در ایران به عصر ارتباط گفت: «پیچیدگی این بدافزار به حدی است که یک فایل کوچک آن نزدیک به ۷۰ هزار خط برنامهنویسی دارد.»
خویلو با اشاره به اینکه طبق گزارش ضدویروس مکآفی گونههای دیگری از این بدافزار نیز در دنیا وجود دارد، گفت: «اکنون دیگر میدانیم این ویروس چگونه عمل میکند و چه فایلهای مخربی را ایجاد میکند یا اینکه در کدام قسمت رجیستری ویندوز کلید درست میکند.
همین که قربانیهایش را به صورت هدفمند انتخاب میکند و بدون اینکه توجه فایروالها را به خودش جلب کند، فعالیتش را درون سیستم آغاز و در نهایت کلیه اطلاعات آن را پاک میکند.»
او در ادامه با تاکید بر اینکه این ویروس به صورت هوشمند عمل میکند و قادر است ۱۰۰ تا ۱۵۰ آنتیویروس را شناسایی کند و نسبت به آنها واکنشی نشان دهد که شناسایی نشود، گفت: «مجموعه این ویژگیها باعث میشود انتشار اطلاعات جزیی این بدافزار و نام فایلهای تخریبیاش چندان فایدهای نداشته باشد، بلکه داشتن اطلاعات از الگوی رفتاری این ویروس کافی است تا روشهای مقابله با آن را دریابیم.»
یکی از تواناییهای این بدافزار سوءاستفاده از میکروفن رایانه برای ضبط مکالمات افراد است.
تهیه عکس از برنامههای خاص در زمان اجرا، از جمله ویژگیهای این بدافزار است.
مجموعه این ویژگیها منجر شده برخی از کارشناسان امنیتی Flame را یک سلاح سایبری بدانند به این دلیل که نسل جدیدی از حملات سایبری را پیریزی کرده است.
خویلو در خصوص ویژگیهای منحصربهفرد Flame، از هدایت این ویروس از طریق یک مرکز کنترل اشاره کرد و گفت: « Flameاز طریق سرورهای مخفی هدایت و کنترل میشود و به این ترتیب ویروس در طی زمان ارتقا مییابد و حتی از طریق این مراکز قادر به بهروزرسانی و تغییر عنوان فایلها نیز هست.»
به گفته او با شناسایی محل این سرورها میتوان جلوی گسترش و تغییر شکل آن را گرفت.
هدف اصلی بدافزار شعله آتش با توجه به میزان پراکندگی آن کشورهای خاورمیانه همچون فلسطین، مجارستان، ایران و لبنان اعلام شده است، البته در گزارش سمانتک نام کشورهای دیگری مانند اتریش، روسیه، هنگکنگ و امارات متحده عربی نیز آمده است.
وایپر با استاکسنت فرق دارد
هر حمله سایبری ما را به یاد استاکسنت و فزرندش دوکو میاندازد و برخی حتی شعله آتش را نیز در زمره نوادگان استاکسنت میپندارند در حالی که خصوصیات رفتاری بدافزار «شعله آتش» کاملا متفاوت است.
مدیرعامل شرکت شبکه گستر، نماینده آنتیویروس بیتدیفندر که اولین بار «شعله آتش» را در لیست بدافزارهای خود قرار داد، با تاکید بر اینکه شباهت این دو بدافزار بیشتر روانی است، گفت: «هر دو این ویروسها بسیار پیچیده هستند اما استاکسنت بر بستر اینترنت فعالیت میکرد و «شعله آتش» مبتنی بر شبکه است و از طریق حافظههای فلش نیز به راحتی منتقل میشود. با این حال قدرت عمل «شعله آتش» در شبکههای بزرگتری مانند wan نیز دیده شده است.»
شرکت امنیتی رایانبدر نماینده آنتیویروسهای پاندا نیز تاکید کرد استاکسنت یک بدافزار یکتا بود که با قدرت و دقت عملش همگان را حیرتزده کرد اما «شعله آتش» یک بدافزار ترکیبی است که از طریق شبکه وارد عمل میشود.
فرضیه توطئه
شرکت رایانبدر نماینده آنتیویروسهای پاندا که نسخهای از این ویروس را در آزمایشگاه خود مورد بررسی قرار داده است، معتقد است شیوع این ویروس از کشور کوبا شروع شد.
به این ترتیب که آبانماه سال گذشته در بازه زمانی کوتاه، ویروسی با عملکرد مشابه «شعله آتش» در کشور کوبا منتشر شد و در عرض چند روز تعداد بیشماری از هارددیسک سیستمها را از کار انداخت و جالب اینکه به طور ناگهانی نیز ناپدید شد.
ویروس منتشرشده در کوبا، نسخه اولیه ویروسی است که به وزارت نفت ایران حمله کرده است و در واقع این ویروس برای سنجش قدرت و عملکرد آن و به مثابه یک رزمایش در کوبا منتشر شده بود.
البته برخی از کارشناسان امنیتی معتقدند ویروسی که در کوبا منتشر شد از حفره امنیتی آنتیویروس کسپرسکی استفاده میکرد و گویا تنها کامپیوترهای مجهز به این آنتیویروس به صورت هدفدار مورد حمله واقع شدهاند.
همین مسئله موجب شده آنتیویروس کسپرسکی در معرض اتهام قرار گیرد که حفره امنتی آن موجب بروز حمله Flame به وزارت نفت شده است در حالی که دور از ذهن نیست این مسئله در پی رقابت تجاری میان برندهای ضدبدافزار با صدرنشین آنتیویروس روسي در بازار داخلي شکل گرفته باشد.
همینطور اینکه در وزارت نفت علاوه بر کسپرسکی آنتیویروسهای دیگری نیز وجود داشتند که هیچ یک از آنها نتوانستند شعله آتش را خاموش کنند.
کد مطلب: 22401
آدرس مطلب: https://www.itna.ir/report/22401/شعله-هاي-ويروس-كوبا-ايران-رسيد