ايتنا - شعله‌هاي ويروس از كوبا به ايران رسيد

انتشار اطلاعات بدافزار شعله‌های آتش (Flame )در اقدامی بی‌سابقه از سوی مرکز ماهر تکه‌های پازل معمای این بدافزار را کنار هم گذاشت و آشکار کرد ویروسی که چندی پیش به وزارت نفت حمله‌ور شده و موجب آلودگی سیستم‌ها و قطع کل شبکه اینترنت وزارت نفت و شرکت‌های تابعه‌اش شده بود، همان بد‌افزاری است که نسخه‌های اولیه‌اش در سال ۲۰۱۰ طراحی شده و اکنون با به‌روزرسانی ماژول‌هایش توان تخریبی چندبرابری یافته است.

به گزارش ایتنا از عصرارتباط، مرکز ماهر مدعی شده پس از انتشار اطلاعات فنی این بد‌افزار نسخه پاکسازی بدافزار «شعله‌ آتش» را نیز منتشر خواهد کرد و به زودی از طریق سایت این مرکز certcc.ir قابل دسترس خواهد بود.
ضمن اینکه مرکز ماهر اعلام کرده آنتی‌ویروس مذکور از ۲۰ روز گذشته در اختیار بخش‌های کاربردی کشور قرار گرفته است.

شعله آتش که تاکنون با اسامی مختلفی در سایت‌ها و شرکت‌های امنیتی مختلف بدان اشاره شده، اولین بار در زمان حمله به وزارت نفت با عنوان وایپر معرفی شد، علت آن نیز از رفتار خاص این بدافزار در پاک و حذف کردن هارد کامپیوترها نشات می‌گیرد اما شرکت‌ امنیتی بیت‌دیفندر نیز در همین راستا آن را skywiper نامگذاری کرد و شرکت‌ امنیتی سمانتک و همین‌طور محققان دانشگاه بوداپست که نقش مهمی در کشف و شناسایی این بدافزار داشتند آن را Flamer می‌خوانند چنان که این نامگذاری به دلیل وجود این اسم در میان کدهای این بد‌افزار است، مرکز ماهر نیز در اطلاعاتی که اخیرا در خصوص ویژگی‌های این بد‌افزار منتشر کرده از آن تحت نام Flame (شعله آتش) یاد کرده است.

پیشینه شعله آتش
بدافزار شعله آتش، ترکیبی است از ویروس قدیمی به نام وایپر که در سال ۲۰۰۵ منتشر شد و در آن زمان به قدری عملکردش چشمگیر و خاص بود که گمان نمی‌رفت ویروس مشابهی در فضای سایبری منتشر شود اما این بدافزار جدید از طریق ترکیب با ویروس دیگری دوباره احیا شد.
سپس در سال ۲۰۱۰ نسخه دیگری از آن طراحی شد که با به‌روزرسانی ماژول‌هایش قدرت تخریبی چندبرابری پیدا کرده بود و در حالی که استاکس‌نت و دوکو هر یک حدود ۵۰۰ کیلوبایت حجم داشتند، حجم کل بدافزار Flame به بیش از ۲۰ مگابایت می‌رسد که برای یک بدافزار رقمی کاملا نامتعارف است.

کدهای به‌کاررفته در این بدافزار در ظاهر شبیه کدهای معمولی نرم‌افزارهای دیگر است اما در حقیقت قابلیت‌های هوشمندانه، مخرب و پنهانی در آنها تعبیه شده است.
آنچنان که فرخ خویلو مدیرعامل شرکت شبکه گستر، نماینده رسمی آنتی‌ویروس‌های بیت‌دیفندر و مک‌آفی در ایران به عصر ارتباط گفت: «پیچیدگی این بد‌افزار به حدی است که یک فایل کوچک آن نزدیک به ۷۰ هزار خط برنامه‌نویسی دارد.»

خویلو با اشاره به اینکه طبق گزارش ضدویروس مک‌آفی گونه‌های دیگری از این بدافزار نیز در دنیا وجود دارد،‌ گفت: «اکنون دیگر می‌دانیم این ویروس چگونه عمل می‌کند و چه فایل‌های مخربی را ایجاد می‌کند یا اینکه در کدام قسمت رجیستری ویندوز کلید درست می‌کند.
همین که قربانی‌هایش را به صورت هدفمند انتخاب می‌کند و بدون اینکه توجه فایروال‌ها را به خودش جلب کند، فعالیتش را درون سیستم آغاز و در نهایت کلیه اطلاعات آن را پاک می‌کند.»

او در ادامه با تاکید بر اینکه این ویروس به صورت هوشمند عمل می‌کند و قادر است ۱۰۰ تا ۱۵۰ آنتی‌ویروس را شناسایی کند و نسبت به آنها واکنشی نشان دهد که شناسایی نشود،‌ گفت: «مجموعه این ویژگی‌ها باعث می‌شود انتشار اطلاعات جزیی این بدافزار و نام فایل‌های تخریبی‌اش چندان فایده‌ای نداشته باشد، بلکه داشتن اطلاعات از الگوی رفتاری این ویروس کافی است تا روش‌های مقابله با آن را دریابیم.»

یکی از توانایی‌های این بدافزار سوءاستفاده از میکروفن رایانه برای ضبط مکالمات افراد است.
تهیه عکس از برنامه‌های خاص در زمان اجرا، از جمله ویژگی‌های این بدافزار است.

مجموعه این ویژگی‌ها منجر شده برخی از کارشناسان امنیتی Flame را یک سلاح سایبری بدانند به این دلیل که نسل جدیدی از حملات سایبری را پی‌ریزی کرده است.

خویلو در خصوص ویژگی‌های منحصربه‌فرد Flame، از هدایت این ویروس از طریق یک مرکز کنترل اشاره کرد و گفت: « Flameاز طریق سرورهای مخفی هدایت و کنترل می‌شود و به این ترتیب ویروس در طی زمان ارتقا می‌یابد و حتی از طریق این مراکز قادر به به‌روزرسانی و تغییر عنوان فایل‌ها نیز هست.»
به گفته او با شناسایی محل این سرورها می‌توان جلوی گسترش و تغییر شکل آن را گرفت.
هدف اصلی بدافزار شعله آتش با توجه به میزان پراکندگی آن کشورهای خاورمیانه همچون فلسطین، مجارستان، ایران و لبنان اعلام شده است، البته در گزارش سمانتک نام کشورهای دیگری مانند اتریش، روسیه، هنگ‌کنگ و امارات متحده عربی نیز آمده است.

وایپر با استاکس‌نت فرق دارد
هر حمله سایبری ما را به یاد استاکس‌نت و فزرندش دوکو می‌اندازد و برخی حتی شعله آتش را نیز در زمره نوادگان استاکس‌نت می‌پندارند در حالی که خصوصیات رفتاری بدافزار «شعله آتش» کاملا متفاوت است.
مدیرعامل شرکت شبکه گستر، نماینده آنتی‌ویروس بیت‌دیفندر که اولین بار «شعله آتش» را در لیست بد‌افزارهای خود قرار داد،‌ با تاکید بر اینکه شباهت این دو بدافزار بیشتر روانی است،‌ گفت: «هر دو این ویروس‌ها بسیار پیچیده هستند اما استاکس‌نت بر بستر اینترنت فعالیت می‌کرد و «شعله آتش» مبتنی بر شبکه است و از طریق حافظه‌های فلش نیز به راحتی منتقل می‌شود. با این حال قدرت عمل «شعله آتش» در شبکه‌های بزرگ‌تری مانند wan نیز دیده شده است.»

شرکت امنیتی رایان‌بدر نماینده آنتی‌ویروس‌های پاندا نیز تاکید کرد استاکس‌نت یک بدافزار یکتا بود که با قدرت و دقت عملش همگان را حیرت‌زده کرد اما «شعله آتش» یک بدافزار ترکیبی است که از طریق شبکه وارد عمل می‌شود.

فرضیه توطئه
شرکت رایان‌بدر نماینده آنتی‌ویروس‌های پاندا که نسخه‌ای از این ویروس را در آزمایشگاه خود مورد بررسی قرار داده‌ است، معتقد است شیوع این ویروس از کشور کوبا شروع شد.
به این ترتیب که آبان‌ماه سال گذشته در بازه زمانی کوتاه، ویروسی با عملکرد مشابه «شعله آتش» در کشور کوبا منتشر شد و در عرض چند روز‌ تعداد بی‌شماری از هارددیسک‌ سیستم‌ها را از کار انداخت و جالب اینکه به طور ناگهانی نیز ناپدید شد.

ویروس منتشرشده در کوبا،‌ نسخه اولیه ویروسی است که به وزارت نفت ایران حمله کرده است و در واقع این ویروس برای سنجش قدرت و عملکرد آن و به مثابه یک رزمایش در کوبا منتشر شده بود.
البته برخی از کارشناسان امنیتی معتقدند ویروسی که در کوبا منتشر شد از حفره امنیتی آنتی‌ویروس کسپرسکی استفاده می‌کرد و گویا تنها کامپیوترهای مجهز به این آنتی‌ویروس به صورت هدفدار مورد حمله واقع شده‌اند.

همین مسئله موجب شده آنتی‌ویروس کسپرسکی در معرض اتهام قرار گیرد که حفره امنتی آن موجب بروز حمله Flame به وزارت نفت شده است در حالی که دور از ذهن نیست این مسئله در پی رقابت تجاری میان برندهای ضدبدافزار با صدرنشین آنتی‌ویروس روسي در بازار داخلي شکل گرفته باشد.
همین‌طور اینکه در وزارت نفت علاوه بر کسپرسکی آنتی‌ویروس‌های دیگری نیز وجود داشتند که هیچ یک از آنها نتوانستند شعله آتش را خاموش کنند.