بدافزار شعله

درصد تاثیر بدافزار فلیم بر روی رایانه‌ها^[۱]

فلیم (به انگلیسی: Flame)‏ یا شعله^[۲] که به عنوان Flamer و یا sKyWlper نیز شناخته می‌شود قطعه پیچیده‌ای از یک بدافزار کامپیوتر است که رایانه‌های با سیستم‌عامل ویندوز را مورد حمله قرار می‌دهد. این بدافزار از سال ۲۰۰۶ شروع به فعالیت کرده‌است.^[۳] و برای جاسوسی اینترنتی و تخریب اطلاعات مهم^[۴] در کشورهای خاورمیانه و اروپای شرقی استفاده می‌شود. این بدافزار در ۲۸ام می۲۰۱۲ بوسیله تیم واکنش سریع به مشکلات رایانه‌ای ایران، آزمایشگاه کسپراسکای، و آزمایشگاه CrySys دانشگاه تکنولوژی و اقتصاد بوداپست کشف شد.

گروه دوم در گزارش خود اظهار داشتند که sKyWlper قطعا پیچیده ترین نرم‌افزار مخرب بوده‌است که در طی فعالیتشان دیده شده‌است، و مسلما این پیچیده‌ترین نرم‌افزار مخربی بوده که تااکنون کشف شده‌است.

بررسی‌های اولیه نشان می‌داد که بیشترین آلودگی به ترتیب رایانه‌ای کشورهای ایران ۱۸۹ رایانه ، اسرائیل ۹۸ رایانه، سودان ۳۲ رایانه را تحت تاثیر قرار داده‌است.^[۵] با توجه به برآوردهای کسپراسکای، فلیم حدود ۱۰۰۰ ماشین را آلوده کرده‌است.

تاریخچه [ویرایش]

این بدافزار از سال ۲۰۰۶ شروع به فعالیت کرده‌است.^[۶] فلیم در می۲۰۱۲ بوسیله آزمایشگاه کاسپرسکی، مرکز واکنش سریع به مشکلات رایانه‌ای ایران، و آزمایشگاه CrySyS دانشگاه تکنولوژی و اقتصاد بوداپست کشف شد هنگامی که اتحادیه بین‌المللی مخابرات سارمان ملل متحد از آزمایشگاه کاسپرسکی خواسته بود گزارش‌های حاکی از ویروس موثر بر رایانه‌های وزارت نفت ایران را بررسی کند. همانطور که آزمایشگاه کاسپرسکی بررسی کرده بود آنها یک ام‌دی۵ هَش و نام فایل که به نظر می‌رسید تنها بروی ماشین‌های مشتری‌های خاورمیانه‌است را کشف کردند. بعد از کشف قطعات بیشتر محققان به برنامه نام فلیم (شعله) دادند. در ابتدا شرکت کاسپرسکی اعلام کرد که بدافزار فلیم از فوریه ۲۰۱۰ فعال شده‌است و بعدا CrySys گزارش داد که نام فایل کامپوننت اصلی در اوایل دسامبر ۲۰۰۷ مشاهده شده بود. با این حال تاریخ ایجاد آن به طور مستقیم مشخص نمی‌شود چون تاریخ ایجاد ماژول‌های مخرب به دروغ به اوایل سال ۱۹۹۴ تنظیم شده‌است در بررسی‌های بعدی با کشف یک سرور که نرم‌افزار فلیم را کنترل می‌کرد مشخص شد که این بدافزار از سال ۲۰۰۶ فعال بوده‌است.^[۷]

مشخصات [ویرایش]

بدافزار یک برنامه نسبتا بزرگ در اندازه ۲۰ مگابایت است، تا حدی با زبان برنامه‌نویسی لوا با کدهای سی++ لینک شده نوشته شده‌است و به ماژولهای دیگر حمله کننده اجازه می‌دهد بعد از عفونت اولیه لود شوند. بدافزار از ۵ روش رمزنگاری مختلف استفاده می‌کند، و یک پایگاه‌داده اس‌کیوال لایت برای ذخیره اطلاعات ساخت‌یافته استفاده می‌کند. روش مورد استفاده برای آلوده کردن کد در سایر پروسه‌ها بصورت مخفی است و ماژول‌های آلوده در لیست ماژولهای لوده شده در یک فرایند دیده نمی‌شوند. همچنین صفحات حافظه مورد استفاده تروجان در برابر خواندن نوشتن و اجرا کردن محافظت شده‌اند که در نتیجه بوسیله برنامه‌های سطح کاربر قابل دسترس نیستند.

این پروژه شامل سه بدافزاری است که به گفته متخصصان، یکی از آنها همچنان مشغول به کار است.^[۸]

کاربرد [ویرایش]

مانند سلاح سایبری که قبلا شناخته شده بود یعنی استاکس‌نت و دوکو، این بدافزار بصورت هدفمند ساخته شده و می‌تواند از طریق قابلیت روت‌کیت‌ها از نرم‌افزارهای امنیتی فعلی فرار کند. هنگامی که یک سیستم آلوده می‌شود، بدافزار فلیم می‌تواند بروی شبکه محلی یا از طریق فلش دیسک به سیستم‌های دیگر پخش شود و می‌تواند صدا، نماگرفت و یا فعالیت‌های کی‌برد و ترافیک شبکه را ضبط کند. برنامه همچنین مکالمات اسکایپ را ضبط می‌کند و می‌تواند سیستم آلوده را به Bluetooth beacons تبدیل کند که تلاش می‌کند اطلاعات تماس را از بلوتوث اطراف جمع‌آوری کند. این داده‌ها همراه به اسناد محلی به سرور فرماندهی و کنترل ارسال می‌شود.
برخلاف استاکس‌نت که برای آسیب رساندن به یک فرایند صنعتی طراحی شده بود فلیم به نظر می‌رسد که صرفا برای مقاصد جاسوسی نوشته شده‌است. به نظر نمی‌رسد که برای یک صنعت خاص را هدف قرار داده باشد بلکه یک ابزار حمله کامل است که برای اهداف سایبری و جاسوسی عمومی طراحی شده‌است.
فلیم هیچ تاریخ پایان عمر را بصورت توکار ندارد تا آن را غیرفعال کند، اما اپراتورها می‌توانند یک ماژول kill ارسال کنند که همه رده‌پاهای فایل‌ها فلیم را از سیستم پاک کند.

نظریه‌ها در مورد مبدا [ویرایش]

به گفته کارشناسان ارشد نرم‌افزارهای مخرب کاسپرسکی، جغرافیای اهداف و همچنین پیچیدگی تهدید هیچ شکی را باقی نگذاشته‌است که این بدافزار با حمایت دولتی طراحی شده‌است. کاسپرسکی گفته‌است که بدافزار هیچ شباهتی به استاکس‌نت ندارد اما ممکن یک پروژه موازی باشد که بوسیله یک حمله‌کننده سفارش داده شده‌است.
تیم واکنش سریع به مشکلات رایانه‌ای ایران شرح داده‌است رمزنگاری نرم‌افزار مخرب یک الگوی خاص دارد که که فقط می‌تواند از اسرائیل آمده باشد. روزنامه دیلی تلگراف گزارش داده که با توجه به اهداف آشکار فلیم که ایران، سوریه، و کرانه غربی اسرائیل را پوشش داده‌است بسیاری از کارشناسان در ابتدا به اسرائیل مشکوک هستند. دیگر مفسران می‌گویند ممکن است چین و ایالات متحده آمریکا عاملان این بدافزار باشند. ریچارد سیلوراستاین، مفسر منتقد سیاست‌های اسرائیل، اعلام کرد که یک منبع ارشد اسرائیلی تایید کرده‌است که این بدافزار بوسیله کارشناسان کامپیوتر اسرائیل ساخته شده‌است. روزنامه اورشلیم پست نوشت که به نظر می‌رسد معاون نخست وزیر اسرائیل موشه یالون اشاره کرده‌است که دولت وی مسئول این کار بوده‌است. اما یک سخنگوی اسرائیل بعد انکار کرد که موشه یالون به طور ضمنی چنین چیزی را بیان کرده‌است. مقامات امنیتی اسرائیل به این اشاره کرده‌اند که ماشین‌هایی که در اسرائیل آلوده شده‌اند نشان می‌دهند که ایالات متحده در پشت این تروجان است.

روزنامه واشنگتن پست در گزارشی از همکاری آمریکا و اسرائیل در تولید بدافزار موسوم به فلیم (Flame) با هدف خرابکاری در برنامه اتمی ایران خبر داده‌است. این روزنامه به نقل از منابع مطلع ناشناس نوشت هدف از تولید این بدافزار، جاسوسی از شبکه‌های کامپیوتری در ایران و کسب اطلاعات لازم برای ایجاد اخلال در پیشرفت برنامه هسته‌ای این کشور بوده‌است.^[۹]

دستور پاک‌سازی [ویرایش]

سازندگان بدافزار "فلیم" (Flame)، با فرستادن دستور "خودکشی"، آن را از برخی کامپیوترهای آلوده پاک کرده‌اند. شرکت سیمانتک اعلام کرده‌است که در بعضی از کامپیوترهایی که به "فلیم" آلوده شده بودند، رد فرمانی فوری از طرف سازندگانش را پیدا کرده‌اند که برای پاک کردن کامل بدافزار فلیم از روی کامپیوترها طراحی شده بود.^[۱۰]

جستارهای وابسته [ویرایش]

• مهدی
• استارس
• استاکس‌نت
• نبرد مجازی
• جنگ الکترونیک

پیوند به بیرون [ویرایش]

• ابزار تشخیص و پاکسازی بدافزار "فلیم" نزد «مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای» (مرکز ماهر)

منابع [ویرایش]

1. ↑ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
2. ↑ فلیم به معنی شعله یکی ار رشته‌هایی است که در کد یافته شده‌است.
3. ↑ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
4. ↑ ‭BBC ‮فارسی‬ - ‮دانش و فن‬ - ‮بدافزار فلیم 'به جز جاسوسی، خرابکاری هم می‌کند'‬
5. ↑ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
6. ↑ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
7. ↑ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
8. ↑ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
9. ↑ ‭BBC ‮فارسی‬ - ‮ایران‬ - ‮'همکاری آمریکا و اسرائیل در تولید بدافزار فلیم'‬
10. ↑ ‭BBC ‮فارسی‬ - ‮جهان‬ - ‮سازندگان بدافزار "فلیم" به آن دستور 'خودکشی' داده‌اند‬

• ویکی‌پدیا انگلیسی