شرکت امنیت رایانهای کسپرسکی به شواهد تازهای در مورد فعالیت
بدافزار "فلیم" در ایران دست یافته است. روی یکی از سرورهای فرمانده که با رایانههای
آلوده به این ویروس در ارتباطاند، چند نام پیدا شده است.
شرکت امنیتی کسپرسکی در روزهای نخستین ماه ژوئن ۲۰۱۲ برای اولین بار از حمله
سایبری به برخی از کشورهای خاورمیانه با بدافزار "فلیم" خبر داد. ویروس یادشده از قرار
عملیات پیچیدهای همچون ثبت ترافیک شبکه، ضبط مکالمات صوتی، ثبت رکورد صفحه کلید،
نفوذ به پست الکترونیک و برداشتن عکس از صفحات اینترنتی را انجام میدهد.
کسپرسکی حال به اطلاعات جدیدی در مورد این ویروس دست یافته است. کارشناسان این شرکت
از شناسایی چندین سرور خبر میدهند که با رایانههای مبتلا به "فلیم" در ارتباطاند
و آنها را کنترل میکنند. یکی از این سرورهای فرمانده در طول تنها یک هفته ۵/۵ گیگا
بایت اطلاعات از ۵ هزار رایانهی آلوده جمعآوری کرده است.
لابراتوار کسپرسکی در هنگام کشف ویروس یادشده اعلام کرد که اکثر آلودگیها به این بدافزار
(۱۸۹ مورد) در ایران یافت شده است. مواردی نیز (۹۸ مورد) در اسرائیل و
فلسطین مشاهده شدند. این شرکت بار دیگر اطلاعات پیشین را تأیید کرد
و ایران و سودان را دو کشوری دانست که مورد بیشترین حملات قرار گرفتهاند.
کارشناسان کسپرسکی سعی کردهاند به اطلاعات موجود بر روی یکی از سرورهای فرمانده نفوذ
کنند. بنا بر اعلام این شرکت، اطلاعات اما آنچنان پیچیده رمزگذاری شدهاند که شکستن
قفل آنها تقریبا غیرممکن است.
بدافزار جدید
کارشناسان کسپرسکی و همکاران آنان در شرکت "سیمنتک" در هنگام تجزیه و تحلیل
سرورهای فرمانده به نرمافزاری هدایتکننده به نام "Newsforyou" (اخبار برای شما) برخوردهاند.
این نرمافزار طوری طراحی شده که شبیه نرمافزارهای معمول برای کنترل وبسایتها عمل
میکند.
بنا بر اعلام کارشناسان، "نیوز فور یو" با استفاده از بدافزار فلیم سه برنامه دیگر
به نامهای "SP"، "SPE" و "IP" را مدیریت میکند. این سه برنامه به احتمال بدافزارهای
دیگر مرتبط با فلیم هستند.
ه کسپرسکی و نه سیمنتک هنوز نتوانستهاند این سه برنامه را تحت کنترل خود درآورند.
دستکم یکی از این سه بدافزار در اینترنت فعال بوده یا هنوز هم در حال فعالیت است.
کسپرسکی میگوید تعدادی از رایانههای موجود در ایران و لبنان به این بدافزارها آلودهاند.
این رایانهها تلاش میکنند با سرورهای فرمانده ارتباط برقرار کنند.
مشاهده چند نام مستعار
شرکت کسپرسکی از سوی اتحادیه بینالمللی مخابرات (یکی از نهادهای سازمان ملل متحد)
مأموریت یافته دلایل انتشار فلیم و مسئولان آنان را شناسایی کند. این شرکت و همچنین
شرکت سیمنتک در این مورد اما اطلاعاتی منتشر نکردهاند.
در بیانیهی کسپرسکی تنها به کامنتها و چهار اسم مستعار اشاره شده که از قرار روی
یکی از سرورهای فرمانده مشاهده شدهاند. بنا بر اعلام کسپرسکی، تشخیص هویت این افراد
به ادامه تحقیقاتی بستگی دارد که با همکاری دستگاههای ذیربط در جریاناند.
پس از کشف فلیم هیچ شخص یا گروهی مسئولیت نوشتن یا انتشار آن را بر عهده نگرفت. ساختار
این ویروس و رمزگذاری فوقالعاده پیچیدهی اطلاعات دزدیدهشده اما نشان میدهند که
تنها یک دولت یا گروه مهندسی متکی به یک دولت میتواند طراح آن باشد.
فلیم با حدود ۲۰ مگابایت حجم، به نسبت بدافزار بزرگی است. این ویروس از ۲۰ مجموعه نرمافزار
مختلف تشکیل شده و آنطور که شرکت کسپرسکی میگوید قابلیتهای آن و تعداد نرمافزارها
قابل افزایش هستند.
عمر فلیم ظاهرا بیش از آن چیزی است که تا کنون تصور میشد. کسپرسکی در ماه ژوئن اعلام
کرد که این بدافزار تا ۵ سال عمر دارد. اما حال یکی از کارشناسان این شرکت میگوید
که این ویروس فعالیت خود را از دسامبر ۲۰۰۶ آغاز کرده و از آن زمان دائم تکامل یافته
است. این روند همچنان ادامه دارد.
برخی از مقامهای پیشین و کنونی نزدیک به محافل دولتی در آمریکا ظاهرا به خبرگزاری
رویترز گفتهاند که طراحی و انتشار ویروس "استاکسنت" کار ایالات متحده است و این کشور
در طراحی فلیم هم "نقش داشته است".
استاکسنت نخستین بدافزار مهاجم به ایران بود که در سال ۲۰۱۰ نام آن بر سر زبانها
افتاد. دستگاههای فعال با نرمافزارهای شرکت زیمنس آلمان، هدف این بدافزار بودند.
کسپرسکی و سیمنتک گمان میکنند که مسئولیت استاکسنت و فلیم با یک منبع است، زیرا بخشی
از کدهای هر دو برنامه تقریبا منطبق بر هم هستند. اهداف این دو بدافزار هم نظریهی
یادشده را تقویت میکنند.