متخصصان يک مرکز تحقيقاتي اعلام کردند که ويروس ميني فليم يکي از ماژولهاي ويروس شعله نبوده بلکه يک بدافزار مستقل است که در قالب plug-in دو ويروس شعله و گاس(Gauss) عمل ميکند.
بنابر اعلام کارشناسان، يکي از سه بدافزاري که طي کاوش سرورهاي کنترل و فرماندهي ويروس شعله شناسايي شد، به عنوان ابزار مراقبتي ثانويه عليه برخي اهداف خاص مورد استفاده قرار ميگرفت.
در ابتدا گمان ميشد بدافزار MiniFlame که به SPE هم شناخته ميشود يکي از ماژولهاي ويروس شعله است، اما متخصصان مرکز تحقيقاتي کسپرسکيلب دريافتند که MiniFlame يک بدافزار مستقل است و در قالب plug-in دو ويروس شعله و گاس (Gauss) عمل ميکند.
بر اساس اين گزارش، گاس يکي ديگر از حملات خرابکارانهاي است که از حمايت مالي دولتي برخوردار است و هدف آن سرقت اطلاعات بانکي آنلاين است.
الکساندر گوستف، متخصص امنيت ارشد کسپرسکي در اين باره گفته است: شعله بعد از جمعآوري و مرور دادهها قرباني مورد نظرش را تعريف و شناسايي ميکند و سپس MiniFlame براي نظارت بيشتر روي هدف و اجراي عمليات خرابکاري سايبري نصب و اجرا ميشود.
به گفته وي، تيم تحقيقاتي او موفق به شناسايي نحوه عملکرد و ارتباط ميان بدافزارهاي استاکس نت، شعله، گاس و Duqu شده است. براين اساس مشخص شد که "شعله کوچک" حدود 10 تا 20 حمله سايبري موفق داشته است. اين درحاليست که شعله حدود 700 بار و گاس حدود 2 هزار و 500 بار کامپيوترها و شبکه هاي گوناگون را هدف قرار داده است.
ميني فليم در مقايسه با دو بدافزار ديگر محدوده جغرافيايي متفاوتي را هدف اصلي خود قرار داده است به نحوي که تاکنون 6 نسخه از اين ويروس رايانه اي شناسايي شده که بيشترين قربانيان اين ويروس به لبنان بر ميگردد و اين درحاليست که ايران، سودان و سوريه اهداف اصلي شعله محسوب ميشدند.
کسپرسکي همچنين در بيانيهاي در وبلاگ خود اعلام کرد: نتايج تحقيقات نشان ميدهد MiniFlame ابزاري براي حمله به هدفهاي خاص و درجه يک است و تاکنون عليه اهدافي به کار برده شده که بيشترين اهميت و حساسيت را نزد مهاجمان دارا بودهاند.
به گفته متخصصان کسپرسکي، هکرها از طريق MiniFlame ميتوانند به تمام فايلهاي سيستمهاي کامپيوتري آلوده دسترسي پيدا کنند و يا هنگام اجراي مرورگر اينترنتي، برنامههاي آفيس، آدوبي ريدر، مسنجر يا کلاينت FTP روي کامپيوترهاي قرباني، از صفحات و پوشههاي مختلف اسکرين شات بگيرند. اين بدافزار سپس اطلاعات مسروقه را به يکي از سرورهاي کنترل و فرماندهي اختصاصي خود يا يکي از سرورهاي شعله ارسال ميکند. MiniFlame همچنين قادر است از طريق ماژول ديگري که درايوهاي USB را هدف قرار ميدهد به سيستمهاي کامپيوتري نفوذ کرده و اطلاعات سيستم آفلاين را به سرقت ببرد.
به گزارش روابط عمومي شرکت پاد، در قسمتي از بيانيه کسپرسکي آمده است: اگر شعله و گاس را عمليات جاسوسي بزرگي بدانيم که سيستم هزاران را نفر را آلوده کرده است، شعله کوچک به ابزار تهاجمي ظريف و دقيقي شباهت دارد.
ساختار MiniFlame مشابه شعله است. اين بدافزار علاوه بر سرقت اطلاعات، دسترسي مستقيم به سيستم هاي آلوده را براي مهاجمان فراهم ميکند. محققان بر اين باورند که توسعه SPE سال 2007 آغاز شد و تا امسال ادامه داشته است.
کسپرسکي تاکنون موفق شده است چند دامنه کنترل فرمان بدافزارهاي شعله و MiniFlame را شناسايي کند. براين اساس از ماه مه تا پايان سپتامبر گذشته متخصصان امنيت کسپرسکي نزديک به 14 هزار اتصال از 90 آدرس IP مختلف را به اين دامنهها رديابي کردند که عمدتا به سرورهايي در لبنان ختم ميشد، درحالي که رد پاي MiniFlame در ايران، فرانسه و آمريکا هم ديده شده است.
متخصصان 10 فرمان قابل فهم براي اين بدافزار را شناسايي کردهاند که ثبت و ارسال فايل ها از بدافزار به سرور کنترل و فرمان و بالعکس، تهيه اسکرين شات از مراحل نفوذ پيش فرض و غير فعال شدن براي دورههاي مشخص و از پيش برنامهريزي شده از جمله آنهاست.
کاوش اوليه مرکز کنترل و فرمان ويروس شعله که به شناسايي MiniFlame منجر شد به سپتامبر گذشته بر ميگردد. محققان کسپرسکي، سيمانتک، CERT-Bund/BSI و اتحاديه جهاني مخابرات علاوه بر شناسايي شعله، در کنار هم 3 بدافزار جديد و 4 پروتکل ارتباطي يعني OldProtocol، OldProtocolE، SignupProtocol و RedProtocol را شناسايي کردند. MiniFlame از طريق اين پروتکلها به مرکز کنترل و فرماندهي متصل ميشده است.
کشف ويروس SPE درحاليست که دو بدافزار ديگر با عنوان SP و IP هنوز ناشناخته مانده است. کارشناسان احتمال ميدهند که SP به احتمال فراوان يک نسخه قديمي از MiniFlame است، اما هويت بدافزار IP هنوز نامشخص است. بين سه بدافزار نامبرده IP از همه جديدتر است. ارزيابي سرورهاي کنترل و فرماندهي در ماه سپتامبر نشان داد که دست کم چهار برنامه نويس با سطوح مهارتي گوناگون پشت حملات اين بدافزارها بودهاند. همچنين مشخص شد که در ارسال اطلاعات کامپيوترهاي آلوده به سرورها شيوههاي پيشرفته و پيچيدهاي براي رمز نگاري دادهها به کار رفته است.
در گزارش کسپرسکي از شعله کوچک آمده است: با شناسايي شعله، گاس و MiniFlame احتمالا فقط از سطح يک عمليات جاسوسي- سايبري بزرگ در خاورميانه پرده برداشتهايم. اهداف اصلي اين حملات همچنان نامعلوم است و از هويت قربانيان و مهاجمان اطلاعاتي در دست نيست.
/مهر