ردپای تازه از بدافزار فلیم در ایران
۱۳۹۱ شهریور ۲۸, سهشنبه
شرکت امنیتی کاسپرسکی در روسیه در روزهای نخستین ماه ژوئن ۲۰۱۲ برای اولین بار از حمله سایبری به برخی از کشورهای خاورمیانه با بدافزار "فلیم" خبر داد. ویروس یادشده از قرار عملیات پیچیدهای همچون ثبت ترافیک شبکه، ضبط مکالمات صوتی، ثبت رکورد صفحه کلید، نفوذ به پست الکترونیک و برداشتن عکس از صفحات اینترنتی را انجام میدهد.
کاسپرسکی حال به اطلاعات جدیدی در مورد این ویروس دست یافته است. کارشناسان این شرکت از شناسایی چندین سرور خبر میدهند که با رایانههای مبتلا به "فلیم" در ارتباطاند و آنها را کنترل میکنند. یکی از این سرورهای فرمانده در طول تنها یک هفته ۵/۵ گیگا بایت اطلاعات از ۵ هزار رایانهی آلوده جمعآوری کرده است.
لابراتوار کاسپرسکی در هنگام کشف ویروس یادشده اعلام کرد که اکثر آلودگیها به این بدافزار (۱۸۹ مورد) در ایران یافت شده است. مواردی نیز (۹۸ مورد) در اسرائیل و مناطق تحت کنترل حکومت خودگردان فلسطین مشاهده شدند. این شرکت بار دیگر اطلاعات پیشین را تأیید کرد و ایران و سودان را دو کشوری دانست که مورد بیشترین حملات قرار گرفتهاند.
کارشناسان کاسپرسکی سعی کردهاند به اطلاعات موجود بر روی یکی از سرورهای فرمانده نفوذ کنند. بنا بر اعلام این شرکت، اطلاعات اما آنچنان پیچیده رمزگذاری شدهاند که شکستن قفل آنها تقریبا غیرممکن است.
بدافزار جدید در ایران و لبنان
کارشناسان کاسپرسکی و همکاران آنان در شرکت آمریکایی "سیمنتک" در هنگام تجزیه و تحلیل سرورهای فرمانده به نرمافزاری هدایتکننده به نام "Newsforyou" (اخبار برای شما) برخوردهاند. این نرمافزار طوری طراحی شده که شبیه نرمافزارهای معمول برای کنترل وبسایتها عمل میکند.
بنا بر اعلام کارشناسان، "نیوز فور یو" با استفاده از بدافزار فلیم سه برنامه دیگر به نامهای "SP"، "SPE" و "IP" را مدیریت میکند. این سه برنامه به احتمال بدافزارهای دیگر مرتبط با فلیم هستند.
نه کاسپرسکی و نه سیمنتک هنوز نتوانستهاند این سه برنامه را تحت کنترل خود درآورند.
دستکم یکی از این سه بدافزار در اینترنت فعال بوده یا هنوز هم در حال فعالیت است. کاسپرسکی میگوید تعدادی از رایانههای موجود در ایران و لبنان به این بدافزارها آلودهاند. این رایانهها تلاش میکنند با سرورهای فرمانده ارتباط برقرار کنند.
مشاهده چند نام مستعار
شرکت روسی کاسپرسکی از سوی اتحادیه بینالمللی مخابرات (یکی از نهادهای سازمان ملل متحد) مأموریت یافته دلایل انتشار فلیم و مسئولان آنان را شناسایی کند. این شرکت روسی و همچنین شرکت سیمنتک در این مورد اما اطلاعاتی منتشر نکردهاند.
در بیانیهی کاسپرسکی تنها به کامنتها و چهار اسم مستعار اشاره شده که از قرار روی یکی از سرورهای فرمانده مشاهده شدهاند. بنا بر اعلام کاسپرسکی، تشخیص هویت این افراد به ادامه تحقیقاتی بستگی دارد که با همکاری دستگاههای ذیربط در جریاناند.
پس از کشف فلیم هیچ شخص یا گروهی مسئولیت نوشتن یا انتشار آن را بر عهده نگرفت. ساختار این ویروس و رمزگذاری فوقالعاده پیچیدهی اطلاعات دزدیدهشده اما نشان میدهند که تنها یک دولت یا گروه مهندسی متکی به یک دولت میتواند طراح آن باشد.
فلیم با حدود ۲۰ مگابایت حجم، به نسبت بدافزار بزرگی است. این ویروس از ۲۰ مجموعه نرمافزار مختلف تشکیل شده و آنطور که شرکت کاسپرسکی میگوید قابلیتهای آن و تعداد نرمافزارها قابل افزایش هستند.
عمر فلیم ظاهرا بیش از آن چیزی است که تا کنون تصور میشد. کاسپرسکی در ماه ژوئن اعلام کرد که این بدافزار تا ۵ سال عمر دارد. اما حال یکی از کارشناسان این شرکت میگوید که این ویروس فعالیت خود را از دسامبر ۲۰۰۶ آغاز کرده و از آن زمان دائم تکامل یافته است. این روند همچنان ادامه دارد.
برخی از مقامهای پیشین و کنونی نزدیک به محافل دولتی در آمریکا ظاهرا به خبرگزاری رویترز گفتهاند که طراحی و انتشار ویروس "استاکسنت" کار ایالات متحده است و این کشور در طراحی فلیم هم "نقش داشته است".
استاکسنت نخستین بدافزار مهاجم به ایران بود که در سال ۲۰۱۰ نام آن بر سر زبانها افتاد. دستگاههای فعال با نرمافزارهای شرکت زیمنس آلمان، هدف این بدافزار بودند. چنین دستگاههایی در تأسیسات هستهای ایران وجود دارند.
کاسپرسکی و سیمنتک گمان میکنند که مسئولیت استاکسنت و فلیم با یک منبع است، زیرا بخشی از کدهای هر دو برنامه تقریبا منطبق بر هم هستند. اهداف این دو بدافزار هم نظریهی یادشده را تقویت میکنند؛ استاکسنت تأسیسات هستهای ایران را هدف قرار داد و فلیم در خاور میانه و خاور نزدیک جاسوسی میکند.