ادامه تحقیقات بر روی ویروس مشهور Flame، بخش دیگری از این معمای بزرگ را آشکار کرد.
به گزارش سافتگذر به نقل از شبکه گستر؛ آخرین تحقیقات بر روی این ویروس نشان داده بود که علاوه بر Flame، سه
ویروس دیگر نیز به طور همزمان توسط یک گروه واحد از برنامهنویسان در حال
طراحی و تهیه بوده است. ولی تاکنون اطلاعات و جزئیات چندانی درباره این سه
ویروس ناشناس به دست نیامده بود.
جدیدترین تحقیقات صورت گرفته توسط
شرکت Kaspersky نشان میدهد که یکی از این ویروسهای ناشناخته که توسط
برنامهنویسان آن، نام SPE بر روی آن گذاشته شده، ماهیت و رفتار کاملاً
متفاوتی با ویروس Flame دارد.
وظیفه اصلی ویروس Flame و حتی ویروس Gauss
جمعآوری اطلاعات از کامپیوترهای آلوده بوده است ولی ویروس SPE نقش "درب
مخفی" (Bock-door)را بر روی این کامپیوترهای آلوده ایفا میکرده و امکان
دسترسی مستقیم به کامپیوتر آلوده را برای گردانندگان این ویروس فراهم
میکرده است.
ویروس Flame به نحوی طراحی شده بود که تعداد
کامپیوترهای زیادی را آلوده سازد ولی ویروس SPE فقط اهداف خاص و از پیش
تعیین شدهای را مورد حمله قرار میداده است.
ویروس SPE ماهیت و رفتار
جالبی دارد. علاوه بر اینکه این ویروس میتواند به صورت یک ویروس مستقل عمل
کند، این قابلیت را نیز دارد که به صورت یک بخش افزودنی (Module) به دو
ویروس Flame و Gauss اضافه شود.
تاکنون مدرک و سند چندان معتبری برای نشان دادن ارتباط بین دو ویروس Gauss و Flame به دست نیامده بود ولی اکنون با توجه به سازگاری ویروس SPE با این دو ویروس، این مطلب کاملاً روشن شده و به اثبات میرسد.
با
شناسایی ویروس SPE، اکنون میتوان تصویر نسبتاً کاملتری از عملکرد ویروس
Flame ترسیم کرد. حمله Flame در چند مرحله طراحی شده بود. ابتدا، آلوده
ساختن هر چه بیشتر کامپیوترها، سپس جمعآوری و سرقت اطلاعات از این
سیستمهای آلوده و در مرحله بعد، استفاده از این اطلاعات برای تشخیص و
شناسایی سیستمهای مهم و با اهمیت. در مرحله نهایی نیز ویروس SPE وارد
میدان شده و بر روی این سیستمهای انتخابی، نصب و فعال میگردید تا امکان
دسترسی مستقیم به آنها جهت عملیات خرابکارانه و جاسوسی فراهم گردد.
در
حالتی که ویروس SPE به صورت یک ویروس مستقل عمل میکند، نحوه آلوده سازی و
انتشار آن هنوز مشخص نشده است. ولی هنگامی که به عنوان یک بخش از ویروسهای
Flame و Gauss وارد صحنه میگردد، وظیفه آلوده سازی، انتشار و کاشت ویروس
SPE بر عهده این دو ویروس میباشد.
همان طور که تحقیقات گذشته نشان
داده، ویروس Flame تحت شرایط خاص در یک مقطع از چرخه عملیات، اقدام به حذف و
نابودی خود میکند ولی ویروس SPE همچنان باقی میماند و شامل عملیات حذف
Flame نمیشود. بدین ترتیب شانس و احتمال شناسایی نشدن SPE افزایش مییابد و
با حذف Flame، سیستم تحت نظر SPE، دیگر به عنوان سیستم آلوده به Flame
شناسایی نخواهد شد و کمتر کسی به آن توجه خواهد کرد.
ویروس SPE یک
جاسوسافزار تمام عیار است؛ میتواند فایلهای جدید از مرکز کنترل و
فرماندهی خود دریافت کند، فایلهای جمعآوری شده از سیستم قربانی را به
بیرون ارسال نماید، از صفحات برخی نرمافزارهای کاربردی تصویربرداری کند و
...
تحقیقات قبلی که توسط کارشناسان شرکت Kaspersky، Symantec و
اتحادیه بینالمللی مخابرات صورت گرفته بود، نشان داد که سرور فرماندهی
ویروس Flame و سه ویروس دیگر، از چهار نوع پودمان (Protocol) برای ارتباط
با این چهار ویروس استفاده میکرده است. ویروس SPE نیز دو پودمان از این
چهار پودمان را بکار می گرفته و به همین دلیل، احتمال میرود که این ویروس
دارای دو گونه مختلف بوده است.
با توجه به اینکه ویروس SPE فقط
اهداف خاصی را مورد حمله قرار میداده، شاید فقط تعداد اندکی (حدود ۵۰
دستگاه) آلوده به این ویروس شده باشند. در حالی که تعداد کامپیوترهای آلوده
به ویروس Flame در اندازه چند هزار دستگاه تخمین زده میشود.
اطلاعات
به دست آمده از سرور فرماندهی نشان میدهد که این ویروس عمدتاً از
نشانیهای IP منطقه خاورمیانه با این سرور در ارتباط بوده است.
ولی نشانیهایی از کشورهای آمریکا، فرانسه و لیتوانی هم مشاهده شده که احتمالاً به دلیل استفاده از VPN بوده است.
علیرغم
کشف این اطلاعات جدید، کارشناسان امنیتی همچنان معتقدند که فقط به اطلاعات
اولیه و سطحی درباره این حملات سایبری دست یافتهاند و هنوز ماهیت و اهداف
اصلی این پروژه عظیم مشخص نشده است.