نتایج کامل بررسی کارشناسان کسپرسکی درباره بدافزار Flame اعلام شد
رد پای استاکسنت در بدافزار شعله
ایتنا-برنامهنویسی که پشت حملات این حفره و حفره MS۱۰-۰۷۳ بوده، در توسعه کرم Stuxnet.b هم نقش داشته است.
محققان با بررسی کد کرم Flame دریافتند که این ابزار خرابکارانه با کرم استاکسنت بیارتباط نبوده و هر دو از یک ریشه برخاستهاند.
به گفته متخصصان Kaspersky Lab، ماژول مهمی که Flame برای تکثیر خود به کار برده، مشابه همان ماژولی است که استاکسنت از آن استفاده کرده است. این ماژول در واقع یک نسخه ابتدایی از کرم استاکسنت است که در سال ۲۰۰۹، یعنی بیش از یک سال زودتر از شناسایی نسخه اصلی این کرم به وسیله شرکت ضد ویروس بلاروسی VirusBlokAda، در اینترنت فعال بود.
عدهای از کارشناسان کرم بدافزار Flame را مستقیما به استاکسنت مربوط میدانند؛ ویروسی که به گفته بسیاری از کارشناسان سایت غنیسازی هستهای نطنز را هدف حملات خود قرار داده بود. ظهور استاکسنت و کمی بعد از آن بدافزار Flame از وقوع یک دوره جنگ سایبری و حملات شدید به اهداف گوناگونی در ایران دارد که سالها به طول خواهد انجامید.
محققان کسپرسکی بر این باورند که نسخههای ابتدایی استاکسنت در واقع از دل چیزی برخاسته است که به آن «پلاتفورم شعله» میگویند. بر اساس مطلبی که در وبلاگ Securelist شرکت کسپرسکی منتشر شده است، احتمال میرود که توسعه استاکسنت و Flame از سال ۲۰۰۹ مسیر تازهای به خود گرفته بود، زیرا دو تیم برنامهنویسی مختلف با اهدافی متفاوت به صورت مستقل روی یک پلاتفورم واحد مشغول به کار شدند. متخصصان Kaspersky Lab و شرکتهای دیگر ابتدا بر این باور بودند که استاکسنت و بر پایه دو ساختار نرمافزاری کاملا متفاوت بنا شده و شواهد زیادی برای ارتباط دادن این بدافزارها به یکدیگر وجود نداشت.
با وجود این رفته رفته دلایل و شواهد فراوانی کارشناسان را به ارتباط این بدافزارها به دیگری واداشت. از یک سو استاکسنت و Flame هر دو ایران و کشورهای همسایه این کشور را هدف قرار دادهاند که پیش از این چنین الگوی رفتاری در هیچ بدافزاری دیده نشده است.
از سوی دیگر Flame به منظور تکثیر از یک کامپیوتر به کامپیوتر دیگر عمدتا از همان شیوههایی استفاده میکند که استاکسنت هم برپایه آنها تکثیر و گسترش می یابد، مثل آلودگی از طریق USB و بهرهگیری از آسیبپذیری Autorun ویندوز و یک آسیبپذیری دیگر دربخش پرینت.اینگونه بود که محققان دریافتند گمان ابتدایی آنها در مورد Flame اشتباه بوده است.
متخصصان کسپرسکی در تحقیقات خود به سرنخهایی رسیدند که از طریق فناوری تحلیل خودکار ویروس کسپرسکی موفق به کشف و شناسایی آن شدند. این در حالی است که محققان از طریق همین فناوری در اکتبر سال ۲۰۱۰ فایل خرابکارانهای را شناسایی کردند که شکل تغییریافته استاکسنت بود.
کارشناسان کسپرسکی در آن زمان با بررسی این نسخه تغییریافته، شباهت چندانی بین آن و استاکسنت پیدا نکردند و از این رو آن را Tocy.a نامیدند. بیش از دو سال پیش همان گروه محققان هنگام جستوجو برای یافتن نمونههای قدیمی تر بدافزارهایی شبیه به شعله به کرم Tocy.a برخوردند.
محققان با درنظر گرفتن تاریخچه Tocy.a و ریشه گرفتن به عنوان یکی از نسخههای اولیه استاکسنت، تحقیقات خود را گسترش دادند تا دریابند که چرا هوش مصنوعی شرکتهای امنیتی دو کد خرابکارانه را این چنین شبیه به هم در نظر میگیرد، ولی با سایر بدافزارهای شناسایی شده در پایگاه داده جامعه کسپرسکی شباهتی پیدا نمیکند. نتایج محققان از این قرار بود: ماژولی که در یک نمونه اولیه از استاکسنت پیدا شده بود، Resource ۲۰۷ نام گرفت.
این ماژول که کمی بیش از ۳۵۰ هزار بایت حجم دارد، در Stuxnet.a به کار رفته بود تا دسترسی کامل به سیستمهای کامپیوتری را در مهاجمان قرار دهد. پس از روی کار آمدن نسخه های بعدی استاکسنت اثری از Resource ۲۰۷ دیده نشد، از این رو کارشناسان توجه بیشتری به این نسخه از استاکسنت نشان دادند و رد پای این نمونه اولیه را در نسخههای پیشرفته تر بدافزار استاکسنت شناسایی کردند.
محققان با تحقیق بیشتر دریافتند که Resource ۲۰۷ تقریبا با ماژول بدافزار Flame تفاوتی ندارد. کسپرسکی هم اکنون Resouce ۲۰۷ را یک پلاگين Flame یا به بیان دقیقتر «نمونه اولیه Flame» مینامد. در واقع Resource ۲۰۷ تقریبا از هر نظر با یکی از فایل های Comntemporary شعله به نام mssecmgr.ocx برابری میکند.
هر دوی این عناصر از ساختار مشابهی برخوردار است؛ فایلهای زیرمجموعه هم نام، الگوریتم و رشته رمزگشایی مشابه و شیوههای کم و بیش یکسان نوشتن کد پایه. محققان کسپرسکی همچون کارشناسان شناسایی و تطابق دست خط به این نتیجه رسیدند که بی شک بخشی از عناصر استاکسنت و Flame به دست یک نفر یا یک گروه خلق شده است.
به اعتقاد محققان، Resource ۲۰۷ پایه پلاتفرم شعله بوده است. کارشناسان کسپرسکی در وبلاگ Securelist نوشتهاند: در بازه زمانی ماه ژانویه تا ژوئن ۲۰۰۹ که استاکسنت فعال شده بود، پلاتفورم شعله هم خلق شده بود. بر اساس محاسبات ما، تاریخ ساخت بدافزار شعله به تابستان ۲۰۰۸ بر میشود، یعنی زمانی که این کرم از ساختاری ماژولی برخوردار شده بود.
این کارشناسان معتقدند که استاکسنت از ماژول پایه پلاتفرم Flame استفاده کرده است. به احتمال فراوان آن ماژول به طور خاص برای کارکرد در ساختار استاکسنت طراحی شده بود. به گفته محققان، این ماژول ابتدا از یک آسیب پذیری شناخته نشده موفق به نفوذ به یک سیستم کامپیوتری و کنترل کامل آن شد که مایکروسافت بعدا با انتشار وصله امنیتی MS۰۹-۰۲۵ این آسیب پذیری را پوشش داد.
این ماژول سپس در سال ۲۰۱۰ از چرخه فعالیت خارج شد، زیرا هدایتکنندگان استاکسنت به دنبال شیوههای جدیدی برای نفوذ به سیستم از طریق آسیبپذیری بودند که مایکروسافت با عرضه وصله امنیتی MS۱۰-۰۴۶ آن را مسدود کرد. در سال ۲۰۰۹ تحول پلاتفورم Flame از طریق تیمی که به طور مستقل روی استاکسنت کار میکردند، ادامه یافت.
در این حال محققان کسپرسکی احتمال دادند که کار روی برنامههای خرابکارانه به دو گروه برنامهنویس مستقل سپرده شده است؛ تیم F (Flame) و تیم D (Tilded یا همان برنامهFlame ) محققان کسپرسکی در این باره میگویند: هر یک از این دو گروه از سال ۲۰۰۷ به این سو مشغول توسعه پلاتفورم خاص خود بودهاند، اما پایه و شواهد مشترکی در ساختار هر دو بدافزار به چشم میخورد. علاوه بر ارتباط مستقیم بین Flame و استاکسنت، محققان پنج آسیب پذیری ناشناختهای را کشف کردند که نسخهای از استاکسنت در سال ۲۰۰۹ از طریق آن به سیستمهای کامپیوتری نفوذ میکرد.
این نسخه از استاکسنت در ماژول استاکسنت و Flame هم به کار رفته بود. کد نفوذ از طریق آن آسیبپذیری همچنین در نمونه دیگری از استاکسنت که اوایل سال ۲۰۰۹ فعال بود، گنجانده شده بود. کد آن نسخه استاکسنت در فوریه ۲۰۰۹ نوشته شده بود و نفوذپذیری مربوط به آن هنوز کشف نشده بود.
مایکروسافت این آسیب پذیری را چهار ماه بعد با انتشار بهروزرسانی امنیتی MS۰۹-۰۲۵ وصله کرد. رول شوونبرگ، یکی از محققان ارشد بدافزار در کسپرسکی میگوید: برنامهنویسی که پشت حملات این حفره و حفره MS۱۰-۰۷۳ بوده، در توسعه کرم Stuxnet.b هم نقش داشته است.
محققان دقیقا نمیدانند که چرا Resource ۲۰۷ از کد استاکسنت حذف شد، هرچند میتوان این اقدام را راهی برای مجزا کردن ساختار استاکسنت و شعله دانست. یک فرضیه میگوید که Flame یک ابزار جاسوسی سایبری برای مقاصد کلی است و برنامه نویسان نمیخواستند دو پلاتفورم را بیش از حد لازم با هم درآمیزند.
تحقیقات متخصصان نتایج بسیار جالبی را به دنبال داشته است. دانستن این نکته که دو کد خرابکارانه با اهداف و مقاصد یکسان از یک منبع سرچشمه گرفته است، برای بسیاری از کارشناسان امنیتی تعجب آور نیست. بسیاری تصور میکردند که اصل و اساس بدافزار Flame به یک دولت ناشناس بر میگردد و نه گروههای هکری و مجرمان سایبری. با این حال انتشار خبر حمله Collision بیسابقه Flame به منظور شبیهسازی یک بهروزرسانی نرمافزاری مایکروسافت، شک کارشناسان را به یقین تبدیل کرد.
این در حالی است که گزارشهای خبری اخیر به نقل از منابع دولتی ناشناس، ایالات متحده را عامل اصلی توسعه استاکسنت میداند. بر اساس این گزارشها ممکن است آمریکا و متحدانش پس پرده بدافزار Flame هم نقش داشته باشند. --------------------------------------------------------- تهیه شده در شرکت پارس آتنا دژ