شرکت امنیت رایانه‌ای کسپرسکی به شواهد تازه‌ای در مورد فعالیت بدافزار "فلیم" در ایران دست یافته است. روی یکی از سرورهای فرمانده که با رایانه‌های آلوده به این ویروس در ارتباط‌اند، چند نام پیدا شده است.

شرکت امنیتی کسپرسکی در روزهای نخستین ماه ژوئن ۲۰۱۲ برای اولین بار از حمله سایبری به برخی از کشورهای خاورمیانه با بدافزار "فلیم" خبر داد. ویروس یادشده از قرار عملیات‌ پیچیده‌ای همچون ثبت ترافیک شبکه، ضبط مکالمات صوتی، ثبت رکورد صفحه کلید، نفوذ به پست الکترونیک و برداشتن عکس از صفحات اینترنتی را انجام می‌دهد.

کسپرسکی حال به اطلاعات جدیدی در مورد این ویروس دست یافته است. کارشناسان این شرکت از شناسایی چندین سرور خبر می‌دهند که با رایانه‌های مبتلا به "فلیم" در ارتباط‌اند و آنها را کنترل می‌کنند. یکی از این سرورهای فرمانده در طول تنها یک هفته ۵/۵ گیگا بایت اطلاعات از ۵ هزار رایانه‌ی آلوده جمع‌آوری کرده است.

لابراتوار کسپرسکی در هنگام کشف ویروس یادشده اعلام کرد که اکثر آلودگی‌ها به این بدافزار (۱۸۹ مورد) در ایران یافت شده است. مواردی نیز (۹۸ مورد) در اسرائیل و فلسطین مشاهده شدند. این شرکت بار دیگر اطلاعات پیشین را تأیید کرد و ایران و سودان را دو کشوری دانست که مورد بیشترین حملات قرار گرفته‌اند.

کارشناسان کسپرسکی سعی کرده‌اند به اطلاعات موجود بر روی یکی از سرورهای فرمانده نفوذ کنند. بنا بر اعلام این شرکت، اطلاعات اما آن‌چنان پیچیده رمزگذاری شده‌اند که شکستن قفل آنها تقریبا غیرممکن است.

بدافزار جدید

کارشناسان کسپرسکی و همکاران آنان در شرکت "سیمنتک" در هنگام تجزیه و تحلیل سرورهای فرمانده به نرم‌افزاری هدایت‌کننده به نام "Newsforyou" (اخبار برای شما) برخورده‌اند. این نرم‌افزار طوری طراحی شده که شبیه نرم‌افزارهای معمول برای کنترل وبسایت‌ها عمل می‌کند.

بنا بر اعلام کارشناسان، "نیوز فور یو" با استفاده از بدافزار فلیم سه برنامه دیگر به نام‌های "SP"، "SPE" و "IP" را مدیریت می‌کند. این سه برنامه به احتمال بدافزارهای دیگر مرتبط با فلیم هستند.

ه کسپرسکی و نه سیمنتک هنوز نتوانسته‌اند این سه برنامه را تحت کنترل خود درآورند.

دست‌کم یکی از این سه بدافزار در اینترنت فعال بوده یا هنوز هم در حال فعالیت است. کسپرسکی می‌گوید تعدادی از رایانه‌های موجود در ایران و لبنان به این بدافزارها آلوده‌اند. این رایانه‌ها تلاش می‌کنند با سرورهای فرمانده ارتباط برقرار کنند.

مشاهده چند نام مستعار

شرکت کسپرسکی از سوی اتحادیه بین‌المللی مخابرات (یکی از نهادهای سازمان ملل متحد) مأموریت یافته دلایل انتشار فلیم و مسئولان آنان را شناسایی کند. این شرکت و همچنین شرکت سیمنتک در این مورد اما اطلاعاتی منتشر نکرده‌اند.

در بیانیه‌ی کسپرسکی تنها به کامنت‌ها و چهار اسم مستعار اشاره شده که از قرار روی یکی از سرورهای فرمانده مشاهده شده‌اند. بنا بر اعلام کسپرسکی، تشخیص هویت این افراد به ادامه تحقیقاتی بستگی دارد که با همکاری دستگاه‌های ذیربط در جریان‌اند.

پس از کشف فلیم هیچ شخص یا گروهی مسئولیت نوشتن یا انتشار آن را بر عهده نگرفت. ساختار این ویروس و رمزگذاری فوق‌العاده پیچیده‌ی اطلاعات دزدیده‌شده اما نشان می‌دهند که تنها یک دولت یا گروه مهندسی متکی به یک دولت می‌تواند طراح آن باشد.

فلیم با حدود ۲۰ مگابایت حجم، به نسبت بدافزار بزرگی است. این ویروس از ۲۰ مجموعه نرم‌افزار مختلف تشکیل شده و آن‌طور که شرکت کسپرسکی می‌گوید قابلیت‌های آن و تعداد نرم‌افزارها قابل افزایش هستند.

عمر فلیم ظاهرا بیش از آن چیزی است که تا کنون تصور می‌شد. کسپرسکی در ماه ژوئن اعلام کرد که این بدافزار تا ۵ سال عمر دارد. اما حال یکی از کارشناسان این شرکت می‌گوید که این ویروس فعالیت خود را از دسامبر ۲۰۰۶ آغاز کرده و از آن زمان دائم تکامل یافته است. این روند همچنان ادامه دارد.

برخی از مقام‌های پیشین و کنونی نزدیک به محافل دولتی در آمریکا ظاهرا به خبرگزاری رویترز گفته‌اند که طراحی و انتشار ویروس "استاکس‌نت" کار ایالات متحده است و این کشور در طراحی فلیم هم "نقش داشته است".

استاکس‌نت نخستین بدافزار مهاجم به ایران بود که در سال ۲۰۱۰ نام آن بر سر زبان‌ها افتاد. دستگاه‌های فعال با نرم‌افزارهای شرکت زیمنس آلمان، هدف این بدافزار بودند.

کسپرسکی و سیمنتک گمان می‌کنند که مسئولیت استاکس‌نت و فلیم با یک منبع است، زیرا بخشی از کدهای هر دو برنامه تقریبا منطبق بر هم هستند. اهداف این دو بدافزار هم نظریه‌ی یادشده را تقویت می‌کنند.