ویروس Flame و رفقای جدیدش !

بررسی و تحقیقات جدید بر روی ویروس Flame نشان می دهد که این ویروس یکی از چهار ویروسی است که توسط یک گروه چهار نفره طراحی و ساخته شده است.

تحقیقات جدید با همکاری کارشناسان شرکت های Symantec، Kaspersky، اتحادیه بین المللی مخابرات، مرکز واکنش حوادث سایبری در کشور آلمان و دفتر دولتی امنیت فناوری اطلاعات این کشور انجام شده است.

بررسی های جدید مشخص کرده که مرکز کنترل و فرماندهی ویروس Flame حدود شش سال قبل طراحی و ساخته شده است ولی نخستین فعالیت های این مرکز فرماندهی حدود دو سال قبل مشاهده و ثبت گردیده.

علاوه بر ویروس Flame کار ساخت بر روی سه ویروس دیگر نیز به طور همزمان در جریان بوده است. یکی از این سه ویروس ناشناخته تکمیل نشده و فعال نگردیده است. ولی از وضعیت و عملکرد دو ویروس تکمیل شده دیگر، اطلاعات چندانی در دست نیست. تصور می شود که حداقل یکی از این دو ویروس ناشناخته به طور کامل فعال شده و هم اکنون در شبکه های کامپیوتری در حال انجام عملیات محوله است.

مرکز کنترل و فرماندهی قابلیت استفاده از چهار نوع پودمان (Protocol) مختلف را داشته. به نظر می رسد که هر پودمان برای ارتباط یکی از چهار ویروس از کامپیوترهای آلوده با مرکز فرماندهی استفاده می شده است. محققان از روشی به نام Sinkhole استفاده کردند تا ترافیک سرور فرماندهی را به نشانی مورد نظر خود هدایت کنند. تجزیه و تحلیل ترافیک و نشانی های IP که از آنها با سرور فرماندهی ارتباط برقرار شده، نشان می دهد که دو گروه از کامپیوترهای آلوده با این سرور در تماس هستند. یک گروه مربوط به ویروس Flame می شود و گروه دیگر مربوط به همان ویروس ناشناخته است که در حال حاضر فعال می باشد. عمده نشانی های IP متصل شده به سرور فرماندهی از دو کشور ایران و سودان بوده است. ایران با حدود 3700 نشانی و سودان با 1280 نشانی دو کشور اصلی بوده اند که با سرور فرماندهی ارتباط برقرار کرده اند.

سیستم فرماندهی ویروس Flame به نحوی طراحی شده که در ظاهر شبیه یک سیستم مدریت محتوا یا (Content Management System – CMS) است. در ساخت منوها و کنسول سیستم نیز از کلمات عادی مانند Update، Client، Blog، News و… استفاده شده تا حتی باعث شک و تردید شرکت میزبان (Hosting) که سیستم بر روی آن قرار داشته است، نشود.

نویسندگان ویروس Flame با به جا گذاشتن نام های مستعار خود در قسمت های مختلف برنامه ویروس، مشخص نموده اند که یک گروه چهار نفره، با مهارت ها و تخصص های مختلف، مسئول طراحی و ساخت Flame و سه ویروس دیگر بوده اند.

آمارهای به دست آمده نشان می دهد در طول یک هفته از بیش از 5 هزار نشانی IP منحصر به فرد با سرور فرماندهی ارتباط برقرار شده است. همچنین فایل های Log به دست آمده نشانگر این است که ویروس Flame در کمتر از یک هفته، بیش از 5 گیگا بایت اطلاعات از کامپیوترهای قربانی به مرکز فرماندهی ارسال کرده است. این اطلاعات از سروری به دست آمده که ویروس نویسان به دلایل ناشناخته، مدتی پس از راه اندازی، دسترسی به آن نداشته اند وگرنه هر نیم ساعت یکبار اطلاعات سرقت شده از کامپیوترهای آلوده، از سرور فرماندهی به سرورهای دیگر منتقل شده و اطلاعات بر روی سرور فرماندهی پاک و حذف می شده.

بررسی های جدید نشان می دهد که سیستم کنترل و فرماندهی ویروس Flame بر روی سیستم عامل 64 بیتی از نوع Debian نصب بوده است. از زبان های برنامه نویسی PHP و Python برای نوشتن سیستم استفاده شده و اطلاعات دریافتی نیز بر روی MySQL نگهداری می شده است. سرور تحت وب نیز Apache 2.0 بوده و آخرین تنظیمات سرور فرماندهی در اواخر بهار امسال صورت گرفته است.