در پی انتشار گزارش همشهری در تاریخ 7خرداد 91 با عنوان «ویروس مهاجم به
صنعت نفت ایران شناسایی شد»، منابع خبری داخلی و خارجی جزئیات بیشتری از
عملکرد این ویروس منتشر کردند.
به گزارش سافت گذر به نقل ازهمشهری آنلاین؛ مرکز « مدیریت امداد و هماهنگی
عملیات رخداد های رایانه ای » موسوم به ماهر اعلام کرد: در پی بررسی های
تخصصی انجام شده توسط کارشناسان مرکز ماهر و در ادامه تحقیقات صورت گرفته
پیرامون حملات هدفمند استاکسنت و
دوکو، این مرکز اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده
میکند. این حمله توسط بدافزاری که مرکز ماهر آن را Flame (شعله آتش)
معرفی کرده، صورت میگیرد.
این نام برگرفته از محتویات رمزگشاییشده فایلهای اصلی بدافزار است.
این بدافزار در واقع پلت فرمی است که قابلیت دریافت و نصب ابزارهای گوناگون
جهت فعالیتهای مختلف را داراست. در حال حاضر هیچ کدام از اجزای پرشمار
تشکیلدهنده این بدافزار توسط بیش از 43نرمافزار آنتیویروس در دسترس،
مورد شناسایی قرار نمیگیرند. با وجود این ابزار شناسایی و پاکسازی این
بدافزار در مرکز ماهر تهیه شده و از طریق سایتهای مرکز در اختیار
سازمانها و شرکتهای متقاضی قرار میگیرد.
شماری از قابلیتهای مهم این بدافزار عبارتند از: انتشار از طریق
حافظههای فلش و انتشار در سطح شبکه، پویش شبکه و جمعآوری و ثبت اطلاعات
منابع شبکه و رمز عبور سیستمهای مختلف، پویش دیسک کامپیوتر آلوده و
جستوجو برای فایلهایی با پسوندها و محتوای مشخص، تهیه تصویر از
فعالیتهای خاص کاربر سیستم آلوده با ذخیرهسازی تصاویر نمایش داده شده روی
مانیتور کاربر، ذخیرهسازی صوت دریافتی از طریق میکروفون سیستم در صورت
وجود، ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور، دارا بودن
بیش از 10دامنه مورد استفاده به عنوان سرور، برقراری ارتباط امن با سرورها،
شناسایی و از کار انداختن بیش از 100نرمافزار آنتیویروس، ضد بدافزار و
فایروال، قابلیت آلودهسازی سیستمهای ویندوز XP، ویستا و ویندوز 7.
در گزارش مرکز ماهر تصریح شده: به احتمال قریب به یقین و با درنظر گرفتن
پیچیدگی و کیفیت بالای عملکرد و همچنین اهداف مشابه این بدافزار، میتوان
آن را محصولی از خانواده استاکس نت و دوکو دانست. نشانههای یافتشده حاکی
از آن است که رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات
سیستمهای کامپیوتری نتیجه فعالیت یکی از اجزای این بدافزار است.
پایگاه خبری افتانا نیز گزارش داد: این بدافزار که با عنوان سلاح
سایبری از آن نام برده شده است، پیچیدهترین جعبه ابزار فعالیت غیرمجاز
سایبری است که تاکنون شناخته شده و حتی از استاکس نت نیز پیچیدهتر است.
این گزارش میافزاید: ایران بیشترین آسیب را از سال۲۰۱۰ تاکنون از این
بدافزار متحمل شده و احتمالا هدف ۱۸۹حمله واقع شده است؛ ضمن آنکه سودان با
۳۲حمله، سوریه با ۳۰حمله، لبنان با ۱۸حمله، عربستان سعودی با ۱۰حمله و مصر
با ۵حمله، دیگر هدفهای این بدافزار بودهاند.گوستف، یک مقام شرکت امنیتی
کسپراسکای اعلام کرد:
آزمایشگاه این شرکت، پس از اعلام درخواست اتحادیه جهانی مخابرات مبنی بر
شناسایی عامل پاک شدن دادهها در شبکههای چند کشور خاورمیانه، وارد عمل
شده و اقدام به تهیه و انتشار این گزارش کرده است. گوستف افزود: این
بدافزار که با نام وایپر (Wiper) نیز شناخته میشود حجمی در حدود ۲۰
مگابایت دارد و نام دیگر آنFlame. Worm.Win32 است.
گزارش کسپراسکای تاکید دارد که این بدافزار که مجموعه کاملی از همه
ابزارهای جاسوسی و جمعآوری اطلاعات است، شباهتهای بسیاری به استاکسنت و
دوکو دارد ولیکن به نظر میرسد که توسط گروههای متفاوتی نوشته شده و
احتمالا به موازات یکدیگر توسعه یافتهاند.
واشنگتن پست و بیبیسی نیز گزارش دادهاند که این ویروس جدید که
«فلِیم» نام دارد، 20 برابر بزرگتر از استاکسنت است و البته برخلاف آن،
صرفا مقاصد جاسوسی دارد نه تخریبی. به نوشته واشنگتن پست، پیچیدگی این
ویروس، این گمان را میان تحلیلگران تقویت کرده که بخشی از یک پروژه تحت
حمایت دولتی باشد که احتمالا آمریکا یا رژیم صهیونیستی آن را طراحی
کردهاند.شرکت امنیتی سیمانتک نیز گزارش داد: هنوز هیچ شرکت معتبری Removal
tools قطعی برای این ویروس ارائه نکرده است. این ویروس به مهاجمان اجازه
میدهد از راه دور بتوانند فرمانهای متنوع خود را خیلی سریع و راحت به
اجرا درآورند و حتی ماهیت عملکرد ویروس را تغییر دهند.
یکی از اهداف گروه طراحان آن، استفاده بلندمدت از این بدافزار برای
طراحی حملات خود بوده است. معماری بهکار رفته در آن اجازه میدهد تا
طراحان بدون نیاز به دوبارهکاری بتوانند عملکرد و رفتار ویروس را به
دلخواه خود تغییر دهند یا ماژولهای جدیدی به آن اضافه کنند، آن را ارتقا
دهند یا به منظور فرار از نرمافزارهای امنیتی تغییر شکل دهند. گفتنی است
تا این لحظه، تنها راه شناسایی و از بین بردن ویروس مذکور، استفاده از
راهنمایی مرکز ماهر، منتشره در سایت www.certcc.ir است.