جزئیات جدید از ویروس مهاجم به صنعت نفت

در پی انتشار گزارش همشهری در تاریخ 7خرداد 91 با عنوان «ویروس مهاجم به صنعت نفت ایران شناسایی شد»، منابع خبری داخلی و خارجی جزئیات بیشتری از عملکرد این ویروس منتشر کردند.

به گزارش سافت گذر به نقل ازهمشهری آنلاین؛ مرکز « مدیریت امداد و هماهنگی عملیات رخداد های رایانه ای » موسوم به ماهر اعلام کرد: در پی بررسی های تخصصی انجام شده توسط کارشناسان مرکز ماهر و در ادامه تحقیقات صورت گرفته پیرامون حملات هدفمند استاکس‌نت و دوکو، این مرکز اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده می‌کند. این حمله توسط بدافزاری که مرکز ماهر آن را Flame (شعله آتش) معرفی کرده، صورت می‌گیرد.

این نام برگرفته از محتویات رمزگشایی‌شده فایل‌های اصلی بدافزار است. این بدافزار در واقع پلت فرمی است که قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت‌های مختلف را داراست. در حال حاضر هیچ کدام از اجزای پرشمار تشکیل‌دهنده این بدافزار توسط بیش از 43نرم‌افزار آنتی‌ویروس در دسترس، مورد شناسایی قرار نمی‌گیرند. با وجود این ابزار شناسایی و پاکسازی این بدافزار در مرکز ماهر تهیه شده و از طریق سایت‌های مرکز در اختیار سازمان‌ها و شرکت‌های متقاضی قرار می‌گیرد.

شماری از قابلیت‌های مهم این بدافزار عبارتند از: انتشار از طریق حافظه‌های فلش و انتشار در سطح شبکه، پویش شبکه و جمع‌آوری و ثبت اطلاعات منابع شبکه و رمز عبور سیستم‌های مختلف، پویش دیسک کامپیوتر آلوده و جست‌وجو برای فایل‌هایی با پسوندها و محتوای مشخص، تهیه تصویر از فعالیت‌های خاص کاربر سیستم آلوده با ذخیره‌سازی تصاویر نمایش داده شده روی مانیتور کاربر، ذخیره‌سازی صوت دریافتی از طریق میکروفون سیستم در صورت وجود، ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور، دارا بودن بیش از 10دامنه مورد استفاده به عنوان سرور، برقراری ارتباط امن با سرورها، شناسایی و از کار انداختن بیش از 100نرم‌افزار آنتی‌ویروس، ضد بدافزار و فایروال، قابلیت آلوده‌سازی سیستم‌های ویندوز XP، ویستا و ویندوز 7.

در گزارش مرکز ماهر تصریح شده: به احتمال قریب به یقین و با درنظر گرفتن پیچیدگی و کیفیت بالای عملکرد و همچنین اهداف مشابه این بدافزار، می‌توان آن را محصولی از خانواده استاکس نت و دوکو دانست. نشانه‌های یافت‌شده حاکی از آن است که رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم‌های کامپیوتری نتیجه فعالیت یکی از اجزای این بدافزار است.

پایگاه خبری افتانا نیز گزارش داد: این بدافزار که با عنوان سلاح سایبری از آن نام برده شده است، پیچیده‌ترین جعبه ابزار فعالیت غیرمجاز سایبری است که تاکنون شناخته شده و حتی از استاکس نت نیز پیچیده‌تر است. این گزارش می‌افزاید: ایران بیشترین آسیب را از سال۲۰۱۰ تاکنون از این بدافزار متحمل شده و احتمالا هدف ۱۸۹حمله واقع شده است؛ ضمن آنکه سودان با ۳۲حمله، سوریه با ۳۰حمله، لبنان با ۱۸حمله، عربستان سعودی با ۱۰حمله و مصر با ۵حمله، دیگر هدف‌های این بدافزار بوده‌اند.گوستف، یک مقام شرکت امنیتی کسپراسکای اعلام کرد:

آزمایشگاه این شرکت، پس از اعلام درخواست اتحادیه جهانی مخابرات مبنی بر شناسایی عامل پاک شدن داده‌ها در شبکه‌های چند کشور خاورمیانه، وارد عمل شده و اقدام به تهیه و انتشار این گزارش کرده است. گوستف افزود: این بدافزار که با نام وایپر (Wiper) نیز شناخته می‌شود حجمی در حدود ۲۰ مگابایت دارد و نام دیگر آنFlame. Worm.Win32 است.

گزارش کسپراسکای تاکید دارد که این بدافزار که مجموعه کاملی از همه ابزارهای جاسوسی و جمع‌آوری اطلاعات است، شباهت‌های بسیاری به استاکس‌نت و دوکو دارد ولیکن به نظر می‌رسد که توسط گروه‌های متفاوتی نوشته شده و احتمالا به موازات یکدیگر توسعه یافته‌اند.

واشنگتن پست و بی‌بی‌سی نیز گزارش داده‌اند که این ویروس جدید که «فلِیم» نام دارد، 20 برابر بزرگ‌تر از استاکس‌نت است و البته برخلاف آن، صرفا مقاصد جاسوسی دارد نه تخریبی. به نوشته واشنگتن پست، پیچیدگی این ویروس، این گمان را میان تحلیلگران تقویت کرده که بخشی از یک پروژه تحت حمایت دولتی باشد که احتمالا آمریکا یا رژیم صهیونیستی آن را طراحی کرده‌اند.شرکت امنیتی سیمانتک نیز گزارش داد: هنوز هیچ شرکت معتبری Removal tools قطعی برای این ویروس ارائه نکرده است. این ویروس به مهاجمان اجازه می‌دهد از راه دور بتوانند فرمان‌های متنوع خود را خیلی سریع و راحت به اجرا درآورند و حتی ماهیت عملکرد ویروس را تغییر دهند.

یکی از اهداف گروه طراحان آن، استفاده بلندمدت از این بدافزار برای طراحی حملات خود بوده است. معماری به‌کار رفته در آن اجازه می‌دهد تا طراحان بدون نیاز به دوباره‌کاری بتوانند عملکرد و رفتار ویروس را به دلخواه خود تغییر دهند یا ماژول‌های جدیدی به آن اضافه کنند، آن را ارتقا دهند یا به منظور فرار از نرم‌افزارهای امنیتی تغییر شکل دهند. گفتنی است تا این لحظه، تنها راه شناسایی و از بین بردن ویروس مذکور، استفاده از راهنمایی مرکز ماهر، منتشره در سایت www.certcc.ir  است.