سه شنبه 3 اسفند 1395 - 24 جمادي الاول 1438 - 21 فوريه 2017
نتایج تحقیقات نشان می ‌دهد MiniFlame ابزاری برای حمله به هدف‌ های خاص و درجه یک است و تاکنون علیه اهدافی به کار برده شده که بیشترین اهمیت و حساسیت را نزد مهاجمان دارا بوده ‌اند؛ مانند یک دانشگاه در ایران.
عکس نویسنده
عکس نویسنده
نویسنده : آزاده مرنی
بازدید :
زمان تقریبی مطالعه :

کودک ویروس شعله به دنیا آمد!


نتایج تحقیقات نشان می ‌دهد "MiniFlame" ابزاری برای حمله به هدف‌ های خاص و درجه یک است و تاکنون علیه اهدافی به کار برده شده که بیشترین اهمیت و حساسیت را نزد مهاجمان دارا بوده ‌اند؛ مانند یک دانشگاه در ایران.

چندی پیش متخصصان "کسپرسکی" (Kaspersky) اظهار داشتند: نگران گسترش فعالیت های بدافزار شعله یا Flame هستند که کماکان به اقدامات تخریبی خود ادامه می دهد، آنها در عین حال عملکرد خوب مرکز ایرانی ماهر در برخورد با این بدافزار خطرناک را ستودند. این متخصصان معتقدند هنوز زود است که بگوییم آیا جهان از این سلاح سایبری مخرب رهایی یافته یا نه، هر چند مقامات ایرانی معتقدند این مشکل را برطرف کرده اند. "الکساندر گوستاو" (مدیر کارشناسان امنیتی در کاسپرسکی) گفته بود: "اگر چه فعالیت نسخه فعلی Flame ظاهراً با موفقیت متوقف شده، اما ممکن است در آینده شاهد عرضه نسخه تازه ای از آن باشیم."

ویروس شعله

این در حالی است که اخیرا و بنابر اعلام کارشناسان، یکی از سه بدافزاری که طی کاوش سرورهای کنترل و فرماندهی ویروس شعله شناسایی شد، به عنوان ابزار مراقبتی ثانویه علیه برخی اهداف خاص مورد استفاده قرار می ‌گرفته است. در ابتدا گمان می ‌شد بدافزار MiniFlame که به SPE هم شناخته می ‌شود یکی از ماژول ‌های ویروس شعله است، اما متخصصان مرکز تحقیقاتی "کسپرسکی ‌لب" دریافتند که MiniFlame یک بدافزار مستقل می باشد و در قالب plug-in دو ویروس شعله و گاس (Gauss) عمل می ‌کند. بر اساس این گزارش گاس یکی دیگر از حملات خرابکارانه ‌ای است که از حمایت مالی دولتی برخوردار و هدف آن سرقت اطلاعات بانکی آنلاین است.

"الکساندر گوستف"، متخصص امنیت ارشد "کسپرسکی" می گوید: "شعله" بعد از جمع ‌آوری و مرور داده ‌ها، قربانی مورد نظرش را تعریف و شناسایی می ‌کند و سپس MiniFlame برای نظارت بیشتر روی هدف و اجرای عملیات خرابکاری سایبری نصب و اجرا می ‌شود. به گفته ی "گوستف"، تیم تحقیقاتی او موفق به شناسایی نحوه ی عملکرد و ارتباط میان بدافزارهای "استاکس نت"، "شعله"، "گاس" و Danu شده است.

"شعله کوچک" حدود 10 تا 20 حمله ی سایبری موفق داشته است. این در حالیست که "شعله" حدود 700 بار و "گاس" حدود 2 هزار و 500 بار کامپیوترها و شبکه‌ های گوناگون را هدف قرار داده. حائز اهمیت آن که، "MiniFlame" در مقایسه با دو بدافزار دیگر محدوده جغرافیایی متفاوتی را هدف اصلی خود قرار داده است. تاکنون 6 نسخه از "MiniFlame" شناسایی شده که بیشترین قربانیان این ویروس به لبنان برمی ‌گردد و این درحالیست که ایران، سودان و سوریه اهداف اصلی شعله محسوب می‌ شدند.

اگر چه فعالیت نسخه فعلی Flame ظاهراً با موفقیت متوقف شده، اما ممکن است در آینده شاهد عرضه نسخه تازه ای از آن باشیم.

"کسپرسکی" همچنین در بیانیه ‌ای در وبلاگ خود اعلام کرد: "نتایج تحقیقات نشان می ‌دهد "MiniFlame" ابزاری برای حمله به هدف‌ های خاص و درجه یک است و تاکنون علیه اهدافی به کار برده شده که بیشترین اهمیت و حساسیت را نزد مهاجمان دارا بوده‌اند."  به گفته ی متخصصان "کسپرسکی"، هکرها از طریق MiniFlame می‌ توانند به تمام فایل ‌های سیستم‌ های کامپیوتری آلوده دسترسی پیدا کنند و یا هنگام اجرای مرورگر اینترنتی، برنامه‌ های آفیس، آدوبی ریدر، مسنجر یا کلاینت FTP روی کامپیوترهای قربانی، از صفحات و پوشه ‌های مختلف "اسکرین شات" بگیرند. این بدافزار سپس اطلاعات مسروقه را به یکی از سرورهای کنترل و فرماندهی اختصاصی خود یا یکی از سرورهای شعله ارسال می ‌کند. MiniFlame همچنین قادر است از طریق ماژول دیگری که درایوهای USB را هدف قرار می‌ دهد به سیستم‌ های کامپیوتری نفوذ کرده و اطلاعات سیستم آفلاین را به سرقت ببرد.

ویروس شعله

در قسمتی از بیانیه ی "کسپرسکی" آمده است: "اگر شعله و گاس را عملیات جاسوسی بزرگی بدانیم که سیستم هزاران نفر را آلوده کرده است، شعله کوچک به ابزار تهاجمی ظریف و دقیقی شباهت دارد." ساختار MiniFlame مشابه شعله می باشد. این بدافزار علاوه بر سرقت اطلاعات، دسترسی مستقیم به سیستم های آلوده را برای مهاجمان فراهم می ‌کند. محققان بر این باورند که توسعه SPE ، سال 2007 آغاز شد و تا امسال ادامه داشته است.

کسپرسکی تاکنون موفق شده چند دامنه کنترل فرمان بدافزارهای شعله و MiniFlame را شناسایی کند. بر این اساس از ماه مه تا پایان سپتامبر گذشته متخصصان امنیت "کسپرسکی" نزدیک به 14 هزار اتصال از 90 آدرس IP مختلف را به این دامنه‌ ها ردیابی کردند که عمدتا به سرورهایی در لبنان ختم می ‌شد، در حالی که رد پای MiniFlame در ایران، فرانسه و آمریکا هم دیده شده است. البته متخصصان 10 فرمان قابل فهم برای این بدافزار را شناسایی کرده‌ اند که ثبت و ارسال فایل ‌ها از بدافزار به سرور کنترل و فرمان و بالعکس، تهیه اسکرین شات از مراحل نفوذ پیش ‌فرض و غیرفعال شدن برای دوره‌های مشخص و از پیش برنامه ‌ریزی شده از جمله آنها می باشد.

کاوش اولیه ی مرکز کنترل و فرمان ویروس شعله که به شناسایی MiniFlame منجر شد به سپتامبر گذشته برمی ‌گردد. محققان کسپرسکی، سیمانتک، CERT-Bund/BSI  و اتحادیه ی جهانی مخابرات علاوه بر شناسایی "شعله"، در کنار هم 3 بدافزار جدید و 4 پروتکل ارتباطی یعنی OldProtocol، OldProtocolE، SignupProtocol  و RedProtocol را شناسایی کرده اند. MiniFlame از طریق این پروتکل ‌ها به مرکز کنترل و فرماندهی متصل می ‌شده است. باید توجه داشت که کشف ویروس SPE درحالیست که دو بدافزار دیگر با عنوان SP و IP هنوز ناشناخته مانده اند. کارشناسان معتقدند که SP به احتمال فراوان یک نسخه ی قدیمی از "MiniFlame" باشد، اما هویت بدافزار IP هنوز نامشخص است. بین سه بدافزار نامبرده IP از همه جدیدتر می باشد.

"شعله کوچک" حدود 10 تا 20 حمله ی سایبری موفق داشته است. این در حالیست که "شعله" حدود 700 بار و "گاس" حدود 2 هزار و 500 بار کامپیوترها و شبکه‌ های گوناگون را هدف قرار داده

ارزیابی سرورهای کنترل و فرماندهی در ماه سپتامبر نشان داد که دست کم چهار برنامه‌ نویس با سطوح مهارتی گوناگون پشت حملات این بدافزارها بوده ‌اند. همچنین مشخص شد که در ارسال اطلاعات کامپیوترهای آلوده به سرورها شیوه‌ های پیشرفته و پیچیده ‌ای برای رمز نگاری داده‌ ها به کار رفته است. در گزارش کسپرسکی از شعله کوچک آمده است: "با شناسایی شعله، گاس و MiniFlame  احتمالا فقط از سطح یک عملیات جاسوسی- سایبری بزرگ در خاورمیانه پرده برداشته‌ ایم. اهداف اصلی این حملات همچنان نامعلوم است و از هویت قربانیان و مهاجمان اطلاعاتی در دست نیست."

در واقع انتشار انواع بدافزارهای "شعله" نشان می دهد که جهان در آستانه ی شکل گیری یک جنگ سرد سایبری است. مقامات امنیتی چین و آمریکا که چندی قبل در واشنگتن با هم دیدار کرده بودند، برای کاهش تنش های فزاینده حاصل از این جنگ سرد سایبری توافق هایی را به عمل آوردند. متخصصان کسپرسکی معتقدند، تنها مدرک قابل اعتنا و معتبری که در مورد محل اصلی انتشار شعله وجود دارد آدرس های IP است. به گفته Alexander Gostev در برخی موارد، آدرس هایIP  نقاط آلوده شده نشانگر هدف گذاری های خاصی هستند، مانند یک دانشگاه در ایران؛ و این موضوع باید زنگ خطری برای مسئولین باشد تا خود را به جهت مقابله ای سخت آماده سازند.

فرآوری : آزاده مرنی

بخش ارتباطات تبیان


منابع: افتانا / ایتنا

تلفن : 81200000
پست الکترونیک : public@tebyan.com
آدرس : بلوارکشاورز ، خیابان نادری ، نبش حجت دوست ، پلاک 12

ارتباط با ما

روابط عمومی

درباره ما

نقشه سایت

تعدادبازدیدکنندگان
افراد آنلاین