امنیت

اینترنت و شبکه

فناوری اطلاعات

October 22, 2012
2:38 دوشنبه، 1ام آبانماه 1391
کد خبر: 51120

رد پای شعله و گاس در بدافزار MiniFlame

 

بنابر اعلام کارشناسان، یکی از سه بدافزاری که طی کاوش سرورهای کنترل و فرماندهی ویروس شعله شناسایی شد، به عنوان ابزار مراقبتی ثانویه علیه برخی اهداف خاص مورد استفاده قرار می‌گرفت.
 
به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) از روابط عمومی شرکت پاد، در ابتدا گمان می‌شد بدافزار MiniFlame که به SPE هم شناخته می‌شود یکی از ماژول‌های ویروس شعله است، اما متخصصان مرکز تحقیقاتی کسپرسکی‌لب دریافتند که MiniFlame یک بدافزار مستقل است و در قالب plug-in دو ویروس شعله و گاس (Gauss) عمل می‌کند.
 
بر اساس این گزارش گاس یکی دیگر از حملات خرابکارانه‌ای است که از حمایت مالی دولتی برخوردار است و هدف آن سرقت اطلاعات بانکی آنلاین است.
 
الکساندر گوستف، متخصص امنیت ارشد کسپرسکی می گوید: «شعله بعد از جمع‌آوری و مرور داده‌ها قربانی مورد نظرش را تعریف و شناسایی می‌کند و سپس MiniFlame برای نظارت بیشتر روی هدف و اجرای عملیات خرابکاری سایبری نصب و اجرا می‌شود.»
 
به گفته گوستف، تیم تحقیقاتی او موفق به شناسایی نحوه عملکرد و ارتباط میان بدافزارهای استاکس نت، شعله، گاس و Duqu شده است.
 
«شعله کوچک» حدود 10 تا 20 حمله سایبری موفق داشته است. این درحالیست که شعله حدود 700 بار و گاس حدود 2 هزار و 500 بار کامپیوترها و شبکه های گوناگون را هدف قرار داده است. گفتنی است MiniFlame در مقایسه با دو بدافزار دیگر محدوده جغرافیایی متفاوتی را هدف اصلی خود قرار داده است. تاکنون 6 نسخه از MiniFlame شناسایی شده که بیشترین قربانیان این ویروس به لبنان بر می‌گردد. این درحالیست که ایران، سودان و سوریه اهداف اصلی شعله محسوب می‌شدند.
 
کسپرسکی همچنین در بیانیه‌ای در وبلاگ خود اعلام کرد: «نتایج تحقیقات نشان می‌دهد MiniFlame ابزاری برای حمله به هدف‌های خاص و درجه یک است و تاکنون علیه اهدافی به کار برده شده که بیشترین اهمیت و حساسیت را نزد مهاجمان دارا بوده‌اند.»
 
به گفته متخصصان کسپرسکی، هکرها از طریق MiniFlame می‌توانند به تمام فایل‌های سیستم‌های کامپیوتری آلوده دسترسی پیدا کنند و یا هنگام اجرای مرورگر اینترنتی، برنامه‌های آفیس، آدوبی ریدر، مسنجر یا کلاینت FTP روی کامپیوترهای قربانی، از صفحات و پوشه‌های مختلف اسکرین شات بگیرند. این بدافزار سپس اطلاعات مسروقه را به یکی از سرورهای کنترل و فرماندهی اختصاصی خود یا یکی از سرورهای شعله ارسال می‌کند. MiniFlame همچنین قادر است از طریق ماژول دیگری که درایوهای USB را هدف قرار می‌دهد به سیستم‌های کامپیوتری نفوذ کرده و اطلاعات سیستم آفلاین را به سرقت ببرد.
 
در قسمتی از بیانیه کسپرسکی آمده است: «اگر شعله و گاس را عملیات جاسوسی بزرگی بدانیم که سیستم هزاران را نفر را آلوده کرده است، شعله کوچک به ابزار تهاجمی ظریف و دقیقی شباهت دارد.»
 
ساختار MiniFlame مشابه شعله است. این بدافزار علاوه بر سرقت اطلاعات، دسترسی مستقیم به سیستم های آلوده را برای مهاجمان فراهم می‌کند. محققان بر این باورند که توسعه SPE سال 2007 آغاز شد و تا امسال ادامه داشته است. کسپرسکی تاکنون موفق شده است چند دامنه کنترل فرمان بدافزارهای شعله و MiniFlame را شناسایی کند. بر این اساس از ماه مه تا پایان سپتامبر گذشته متخصصان امنیت کسپرسکی نزدیک به 14 هزار اتصال از 90 آدرس IP مختلف را به این دامنه‌ها ردیابی کردند که عمدتا به سرورهایی در لبنان ختم می‌شد، درحالی که رد پای MiniFlame در ایران، فرانسه و آمریکا هم دیده شده است.
 
 
 
 
 
متخصصان 10 فرمان قابل فهم برای این بدافزار را شناسایی کرده‌اند که ثبت و ارسال فایل ها از بدافزار به سرور کنترل و فرمان و بالعکس، تهیه اسکرین شات از مراحل نفوذ پیش فرض و غیر فعال شدن برای دوره‌های مشخص و از پیش برنامه‌ریزی شده از جمله آنهاست.
 
کاوش اولیه مرکز کنترل و فرمان ویروس شعله که به شناسایی MiniFlame منجر شد به سپتامبر گذشته بر می‌گردد. محققان کسپرسکی، سیمانتک، CERT-Bund/BSI و اتحادیه جهانی مخابرات علاوه بر شناسایی شعله، در کنار هم 3 بدافزار جدید و 4 پروتکل ارتباطی یعنی OldProtocol، OldProtocolE، SignupProtocol و RedProtocol را شناسایی کردند. MiniFlame از طریق این پروتکل‌ها به مرکز کنترل و فرماندهی متصل می‌شده است.
 
کشف ویروس SPE درحالیست که دو بدافزار دیگر با عنوان SP و IP هنوز ناشناخته مانده است. کارشناسان احتمال می‌دهند که SP به احتمال فراوان یک نسخه قدیمی از MiniFlame است، اما هویت بدافزار IP هنوز نامشخص است. بین سه بدافزار نامبرده IP از همه جدیدتر است. ارزیابی سرورهای کنترل و فرماندهی در ماه سپتامبر نشان داد که دست کم چهار برنامه نویس با سطوح مهارتی گوناگون پشت حملات این بدافزارها بوده‌اند. همچنین مشخص شد که در ارسال اطلاعات کامپیوترهای آلوده به سرورها شیوه‌های پیشرفته و پیچیده‌ای برای رمز نگاری داده‌ها به کار رفته است.
 
در گزارش کسپرسکی از شعله کوچک آمده است: «با شناسایی شعله، گاس و MiniFlame احتمالا فقط از سطح یک عملیات جاسوسی- سایبری بزرگ در خاورمیانه پرده برداشته‌ایم. اهداف اصلی این حملات همچنان نامعلوم است و از هویت قربانیان و مهاجمان اطلاعاتی در دست نیست.»
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.