جزئیات جدید از ویروس مینی فلیم /

متخصصان يک مرکز تحقيقاتي اعلام کردند که ويروس ميني فليم يکي از ماژول‌هاي ويروس شعله نبوده بلکه يک بدافزار مستقل است که در قالب plug-in دو ويروس شعله و گاس(Gauss) عمل مي‌کند. بنابر اعلام کارشناسان، يکي از سه بدافزاري که طي کاوش سرورهاي کنترل و فرماندهي ويروس شعله شناسايي شد، به عنوان ابزار مراقبتي ثانويه عليه برخي اهداف خاص مورد استفاده قرار مي‌گرفت. در ابتدا گمان مي‌شد بدافزار MiniFlame که به SPE هم شناخته مي‌شود يکي از ماژول‌هاي ويروس شعله است، اما متخصصان مرکز تحقيقاتي کسپرسکي‌لب دريافتند که MiniFlame يک بدافزار مستقل است و در قالب plug-in دو ويروس شعله و گاس (Gauss) عمل مي‌کند. بر اساس اين گزارش، گاس يکي ديگر از حملات خرابکارانه‌اي است که از حمايت مالي دولتي برخوردار است و هدف آن سرقت اطلاعات بانکي آنلاين است. الکساندر گوستف، متخصص امنيت ارشد کسپرسکي در اين باره گفته است: شعله بعد از جمع‌آوري و مرور داده‌ها قرباني مورد نظرش را تعريف و شناسايي مي‌کند و سپس MiniFlame براي نظارت بيشتر روي هدف و اجراي عمليات خرابکاري سايبري نصب و اجرا مي‌شود. به گفته وي، تيم تحقيقاتي او موفق به شناسايي نحوه عملکرد و ارتباط ميان بدافزارهاي استاکس نت، شعله، گاس و Duqu شده است. براين اساس مشخص شد که "شعله کوچک" حدود 10 تا 20 حمله سايبري موفق داشته است. اين درحاليست که شعله حدود 700 بار و گاس حدود 2 هزار و 500 بار کامپيوترها و شبکه هاي گوناگون را هدف قرار داده است. ميني فليم در مقايسه با دو بدافزار ديگر محدوده جغرافيايي متفاوتي را هدف اصلي خود قرار داده است به نحوي که تاکنون 6 نسخه از اين ويروس رايانه اي شناسايي شده که بيشترين قربانيان اين ويروس به لبنان بر مي‌گردد و اين درحاليست که ايران، سودان و سوريه اهداف اصلي شعله محسوب مي‌شدند. کسپرسکي همچنين در بيانيه‌اي در وبلاگ خود اعلام کرد: نتايج تحقيقات نشان مي‌دهد MiniFlame ابزاري براي حمله به هدف‌هاي خاص و درجه يک است و تاکنون عليه اهدافي به کار برده شده که بيشترين اهميت و حساسيت را نزد مهاجمان دارا بوده‌اند. به گفته متخصصان کسپرسکي، هکرها از طريق MiniFlame مي‌توانند به تمام فايل‌هاي سيستم‌هاي کامپيوتري آلوده دسترسي پيدا کنند و يا هنگام اجراي مرورگر اينترنتي، برنامه‌هاي آفيس، آدوبي ريدر، مسنجر يا کلاينت FTP روي کامپيوترهاي قرباني، از صفحات و پوشه‌هاي مختلف اسکرين شات بگيرند. اين بدافزار سپس اطلاعات مسروقه را به يکي از سرورهاي کنترل و فرماندهي اختصاصي خود يا يکي از سرورهاي شعله ارسال مي‌کند. MiniFlame همچنين قادر است از طريق ماژول ديگري که درايوهاي USB را هدف قرار مي‌دهد به سيستم‌هاي کامپيوتري نفوذ کرده و اطلاعات سيستم آفلاين را به سرقت ببرد. به گزارش روابط عمومي شرکت پاد، در قسمتي از بيانيه کسپرسکي آمده است: اگر شعله و گاس را عمليات جاسوسي بزرگي بدانيم که سيستم هزاران را نفر را آلوده کرده است، شعله کوچک به ابزار تهاجمي ظريف و دقيقي شباهت دارد. ساختار MiniFlame مشابه شعله است. اين بدافزار علاوه بر سرقت اطلاعات، دسترسي مستقيم به سيستم هاي آلوده را براي مهاجمان فراهم مي‌کند. محققان بر اين باورند که توسعه SPE سال 2007 آغاز شد و تا امسال ادامه داشته است. کسپرسکي تاکنون موفق شده است چند دامنه کنترل فرمان بدافزارهاي شعله و MiniFlame را شناسايي کند. براين اساس از ماه مه تا پايان سپتامبر گذشته متخصصان امنيت کسپرسکي نزديک به 14 هزار اتصال از 90 آدرس IP مختلف را به اين دامنه‌ها رديابي کردند که عمدتا به سرورهايي در لبنان ختم مي‌شد، درحالي که رد پاي MiniFlame در ايران، فرانسه و آمريکا هم ديده شده است. متخصصان 10 فرمان قابل فهم براي اين بدافزار را شناسايي کرده‌اند که ثبت و ارسال فايل ها از بدافزار به سرور کنترل و فرمان و بالعکس، تهيه اسکرين شات از مراحل نفوذ پيش فرض و غير فعال شدن براي دوره‌هاي مشخص و از پيش برنامه‌ريزي شده از جمله آنهاست. کاوش اوليه مرکز کنترل و فرمان ويروس شعله که به شناسايي MiniFlame منجر شد به سپتامبر گذشته بر مي‌گردد. محققان کسپرسکي، سيمانتک، CERT-Bund/BSI و اتحاديه جهاني مخابرات علاوه بر شناسايي شعله، در کنار هم 3 بدافزار جديد و 4 پروتکل ارتباطي يعني OldProtocol، OldProtocolE، SignupProtocol و RedProtocol را شناسايي کردند. MiniFlame از طريق اين پروتکل‌ها به مرکز کنترل و فرماندهي متصل مي‌شده است. کشف ويروس SPE درحاليست که دو بدافزار ديگر با عنوان SP و IP هنوز ناشناخته مانده است. کارشناسان احتمال مي‌دهند که SP به احتمال فراوان يک نسخه قديمي از MiniFlame است، اما هويت بدافزار IP هنوز نامشخص است. بين سه بدافزار نامبرده IP از همه جديدتر است. ارزيابي سرورهاي کنترل و فرماندهي در ماه سپتامبر نشان داد که دست کم چهار برنامه نويس با سطوح مهارتي گوناگون پشت حملات اين بدافزارها بوده‌اند. همچنين مشخص شد که در ارسال اطلاعات کامپيوترهاي آلوده به سرورها شيوه‌هاي پيشرفته و پيچيده‌اي براي رمز نگاري داده‌ها به کار رفته است. در گزارش کسپرسکي از شعله کوچک آمده است: با شناسايي شعله، گاس و MiniFlame احتمالا فقط از سطح يک عمليات جاسوسي- سايبري بزرگ در خاورميانه پرده برداشته‌ايم. اهداف اصلي اين حملات همچنان نامعلوم است و از هويت قربانيان و مهاجمان اطلاعاتي در دست نيست. /مهر