بدافزار شعله آتش، ترکیبی است از ویروس قدیمی به نام وایپر که در سال ۲۰۰۵ منتشر شد و در آن زمان به قدری عملکردش چشمگیر و خاص بود که گمان نمیرفت ویروس مشابهی در فضای سایبری منتشر شود اما این بدافزار جدید از طریق ترکیب با ویروس دیگری دوباره احیا شد
منبع : هفته نامه عصر ارتباط
انتشار اطلاعات بدافزار شعلههای آتش (Flame )در اقدامی بیسابقه از سوی مرکز ماهر تکههای پازل معمای این بدافزار را کنار هم گذاشت و آشکار کرد ویروسی که چندی پیش به وزارت نفت حملهور شده و موجب آلودگی سیستمها و قطع کل شبکه اینترنت وزارت نفت و شرکتهای تابعهاش شده بود، همان بدافزاری است که نسخههای اولیهاش در سال ۲۰۱۰ طراحی شده و اکنون با بهروزرسانی ماژولهایش توان تخریبی چندبرابری یافته است. مرکز ماهر مدعی شده پس از انتشار اطلاعات فنی این بدافزار نسخه پاکسازی بدافزار «شعله آتش» را نیز منتشر خواهد کرد و به زودی از طریق سایت این مرکز certcc.ir قابل دسترس خواهد بود. ضمن اینکه مرکز ماهر اعلام کرده آنتیویروس مذکور از ۲۰ روز گذشته در اختیار بخشهای کاربردی کشور قرار گرفته است.
شعله آتش که تاکنون با اسامی مختلفی در سایتها و شرکتهای امنیتی مختلف بدان اشاره شده، اولین بار در زمان حمله به وزارت نفت با عنوان وایپر معرفی شد، علت آن نیز از رفتار خاص این بدافزار در پاک و حذف کردن هارد کامپیوترها نشات میگیرد اما شرکت امنیتی بیتدیفندر نیز در همین راستا آن را skywiper نامگذاری کرد و شرکت امنیتی سمانتک و همینطور محققان دانشگاه بوداپست که نقش مهمی در کشف و شناسایی این بدافزار داشتند آن را Flamer میخوانند چنان که این نامگذاری به دلیل وجود این اسم در میان کدهای این بدافزار است، مرکز ماهر نیز در اطلاعاتی که اخیرا در خصوص ویژگیهای این بدافزار منتشر کرده از آن تحت نام Flame (شعله آتش) یاد کرده است.
پیشینه شعله آتش
بدافزار شعله آتش، ترکیبی است از ویروس قدیمی به نام وایپر که در سال ۲۰۰۵ منتشر شد و در آن زمان به قدری عملکردش چشمگیر و خاص بود که گمان نمیرفت ویروس مشابهی در فضای سایبری منتشر شود اما این بدافزار جدید از طریق ترکیب با ویروس دیگری دوباره احیا شد.
سپس در سال ۲۰۱۰ نسخه دیگری از آن طراحی شد که با بهروزرسانی ماژولهایش قدرت تخریبی چندبرابری پیدا کرده بود و در حالی که استاکسنت و دوکو هر یک حدود ۵۰۰ کیلوبایت حجم داشتند، حجم کل بدافزار Flame به بیش از ۲۰ مگابایت میرسد که برای یک بدافزار رقمی کاملا نامتعارف است.
کدهای بهکاررفته در این بدافزار در ظاهر شبیه کدهای معمولی نرمافزارهای دیگر است اما در حقیقت قابلیتهای هوشمندانه، مخرب و پنهانی در آنها تعبیه شده است. آنچنان که فرخ خویلو مدیرعامل شرکت شبکه گستر، نماینده رسمی آنتیویروسهای بیتدیفندر و مکآفی در ایران به عصر ارتباط گفت: «پیچیدگی این بدافزار به حدی است که یک فایل کوچک آن نزدیک به ۷۰ هزار خط برنامهنویسی دارد.»
خویلو با اشاره به اینکه طبق گزارش ضدویروس مکآفی گونههای دیگری از این بدافزار نیز در دنیا وجود دارد، گفت: «اکنون دیگر میدانیم این ویروس چگونه عمل میکند و چه فایلهای مخربی را ایجاد میکند یا اینکه در کدام قسمت رجیستری ویندوز کلید درست میکند. همین که قربانیهایش را به صورت هدفمند انتخاب میکند و بدون اینکه توجه فایروالها را به خودش جلب کند، فعالیتش را درون سیستم آغاز و در نهایت کلیه اطلاعات آن را پاک میکند.»
او در ادامه با تاکید بر اینکه این ویروس به صورت هوشمند عمل میکند و قادر است ۱۰۰ تا ۱۵۰ آنتیویروس را شناسایی کند و نسبت به آنها واکنشی نشان دهد که شناسایی نشود، گفت: «مجموعه این ویژگیها باعث میشود انتشار اطلاعات جزیی این بدافزار و نام فایلهای تخریبیاش چندان فایدهای نداشته باشد، بلکه داشتن اطلاعات از الگوی رفتاری این ویروس کافی است تا روشهای مقابله با آن را دریابیم.»
یکی از تواناییهای این بدافزار سوءاستفاده از میکروفن رایانه برای ضبط مکالمات افراد است. تهیه عکس از برنامههای خاص در زمان اجرا، از جمله ویژگیهای این بدافزار است.
مجموعه این ویژگیها منجر شده برخی از کارشناسان امنیتی Flame را یک سلاح سایبری بدانند به این دلیل که نسل جدیدی از حملات سایبری را پیریزی کرده است.
خویلو در خصوص ویژگیهای منحصربهفرد Flame، از هدایت این ویروس از طریق یک مرکز کنترل اشاره کرد و گفت: « Flameاز طریق سرورهای مخفی هدایت و کنترل میشود و به این ترتیب ویروس در طی زمان ارتقا مییابد و حتی از طریق این مراکز قادر به بهروزرسانی و تغییر عنوان فایلها نیز هست.»
به گفته او با شناسایی محل این سرورها میتوان جلوی گسترش و تغییر شکل آن را گرفت.
هدف اصلی بدافزار شعله آتش با توجه به میزان پراکندگی آن کشورهای خاورمیانه همچون فلسطین، مجارستان، ایران و لبنان اعلام شده است، البته در گزارش سمانتک نام کشورهای دیگری مانند اتریش، روسیه، هنگکنگ و امارات متحده عربی نیز آمده است.
وایپر با استاکسنت فرق دارد
هر حمله سایبری ما را به یاد استاکسنت و فزرندش دوکو میاندازد و برخی حتی شعله آتش را نیز در زمره نوادگان استاکسنت میپندارند در حالی که خصوصیات رفتاری بدافزار «شعله آتش» کاملا متفاوت است.
مدیرعامل شرکت شبکه گستر، نماینده آنتیویروس بیتدیفندر که اولین بار «شعله آتش» را در لیست بدافزارهای خود قرار داد، با تاکید بر اینکه شباهت این دو بدافزار بیشتر روانی است، گفت: «هر دو این ویروسها بسیار پیچیده هستند اما استاکسنت بر بستر اینترنت فعالیت میکرد و «شعله آتش» مبتنی بر شبکه است و از طریق حافظههای فلش نیز به راحتی منتقل میشود. با این حال قدرت عمل «شعله آتش» در شبکههای بزرگتری مانند wan نیز دیده شده است.»
شرکت امنیتی رایانبدر نماینده آنتیویروسهای پاندا نیز تاکید کرد استاکسنت یک بدافزار یکتا بود که با قدرت و دقت عملش همگان را حیرتزده کرد اما «شعله آتش» یک بدافزار ترکیبی است که از طریق شبکه وارد عمل میشود.
فرضیه توطئه
شرکت رایانبدر نماینده آنتیویروسهای پاندا که نسخهای از این ویروس را در آزمایشگاه خود مورد بررسی قرار داده است، معتقد است شیوع این ویروس از کشور کوبا شروع شد. به این ترتیب که آبانماه سال گذشته در بازه زمانی کوتاه، ویروسی با عملکرد مشابه «شعله آتش» در کشور کوبا منتشر شد و در عرض چند روز تعداد بیشماری از هارددیسک سیستمها را از کار انداخت و جالب اینکه به طور ناگهانی نیز ناپدید شد. ویروس منتشرشده در کوبا، نسخه اولیه ویروسی است که به وزارت نفت ایران حمله کرده است و در واقع این ویروس برای سنجش قدرت و عملکرد آن و به مثابه یک رزمایش در کوبا منتشر شده بود.
البته برخی از کارشناسان امنیتی معتقدند ویروسی که در کوبا منتشر شد از حفره امنیتی آنتیویروس کسپرسکی استفاده میکرد و گویا تنها کامپیوترهای مجهز به این آنتیویروس به صورت هدفدار مورد حمله واقع شدهاند.
همین مساله موجب شده آنتیویروس کسپرسکی در معرض اتهام قرار گیرد که حفره امنتی آن موجب بروز حمله Flame به وزارت نفت شده است در حالی که دور از ذهن نیست این مساله در پی رقابت تجاری میان برندهای ضدبدافزار با صدرنشین آنتیویروس روسي در بازار داخلي شکل گرفته باشد. همینطور اینکه در وزارت نفت علاوه بر کسپرسکی آنتیویروسهای دیگری نیز وجود داشتند که هیچ یک از آنها نتوانستند شعله آتش را خاموش کنند.
ظاهرا کسپرسکی در مواجهه اولیه با این ویروس مشکل داشته ولی تاجایی که گزارش ها نشان می دهد، سایر آنتی ویروس ها هم نتوانسته اند کاری انجام دهند. در انتهای گزارش هم به این موضوع اشاره شده. متاسفانه برخی برندها برای نشان دادن کارایی خودشان، ترجیح می دهند سایرین را مورد حمله قراربدهند.
احتراماً در مورد گزارش مفصل نشریه وزین عصرارتباط، در خصوص ویروس فلیم با عنوان "شعله های آتش از کوبا به ایران رسید" نکات مهم زیر را در قالب یک یادداشت کوتاه به استحضار می رسانیم.
1- نمایندگی رسمی و انحصاری شرکت اسپانیایی Panda Security در کشور، از سال 1377 تا کنون در اختیار شرکت ایمن رایانه پندار قرار دارد که در گزارش به اشتباه "رایان بدر" درج شده است.
2- "رقابت تجاری"، به هیچ عنوان دلیل انتقاد از شرکت کسپرسکی توسط ما نبوده است. کما اینکه برخی دیگر از شرکت های امنیتی مانند شبکه گستر نیز از نحوه عملکرد شرکت کسپرسکی در بزرگنمایی فلیم و جنجال های رسانه ای و سیاسی تاشی از آن انتقاد کرده است. شرکت کسپرسکی به عنوان بزرگترین قربانی حملات رایانه ای اخیر در میان نرم افزارهای ضدویروس شناخته شده است. اما با ایجاد هیاهوی رسانه ای، سیاسی کردن انتشار این ویروس و بزرگنمایی آن، این مسئله را به رسانه های بزرگ و سیاسی جهان کشانده و از آن بهره برداری تبلیغاتی نموده است.
3- مهمتر از همه اینکه تمام سازمان های وابسته به شبکه وزارت نفت و نیز کل شبکه دولت، که توسط نرم افزارها یا سخت افزارهای شبکه پاندا حفاظت می شوند، در برابر حملات رایانه ای اخیر کاملاً امن و بدون اختلال باقی مانده اند و به فعالیت های عادی سازمانی خود ادامه داده اند. پس این مسئله که ضدویروس های دیگر در آن زمان نتوانسته اند شعله را خاموش کنند، دست کم در مورد پاندا صدق نمی کند.
ببخشید من متوجه نمی شم که چرا بین همه آنتی ویروس های خارجی فقط پاندا تلاش داره که بگه کسپرسکی اشکال داشته. آیا منطقی است که این مسئله را هیچ کس در دنیا یا ایران متوجه نشده و فقط پاندا این ادعا رو داره. من با نظر ابراهیمی موافقم که این ها جنگ تجاری است و نباید در خبرها درج شود.