امنیت

فناوری اطلاعات

November 27, 2015
9:47 جمعه، 6ام آذرماه 1394
کد خبر: 74700

ایران و جنگ‌های سایبری

در اواخر سال ١٣٩٠ نامه‌ای از سوی حراست وزارتخانه‌ها و سازمان‌های کشور درباره انتشار ویروس جدیدی که اطلاعات دستگاه‌ها را به صورت دائمی و برگشت‌ناپذیر، حذف می‌کند ارسال می‌شود.
 
هم‌زمان چندین شرکت در خاورمیانه درباره بدافزاری که اقدام به حذف داده‌های حساس می‌کند، به اتحادیه بین‌المللی مخابرات شکایت می‌کنند. شرکت کسپراکسی از سوی این اتحادیه مأمور می‌شود درباره این بدافزار احتمالی تحقیق کند. در سوم اردیبهشت ١٣٩١ مرکز مدیریت امداد و هماهنگی عملیات رخداداهای رایانه‌ای ایران -ماهر- از حمله بزرگ سایبری علیه سیستم‌های وزارت نفت و چندین شرکت ملی فعال در زمینه نفت و گاز خبر می‌دهد. در اطلاعیه مرکز ماهر به ویروسی با عنوان «وایپر» اشاره شده که اطلاعات دیسک سخت سیستم‌ها را به‌طور کامل حذف می‌کند. هفتم خرداد همان سال مرکز ماهر، اطلاعات بیشتری درباره حملات سایبری و بدافزار استفاده‌شده در آن منتشر می‌کند. در خبر از بدافزار جدید با عنوان Flame یاد می‌شود.
 
در همان تاریخ شرکت کسپراسکی نیز جزئیاتی درباره ویروسی با همان نام منتشر می‌کند. یک روز پس از آن مؤسسه تحقیقاتی CrySyS وابسته به دانشگاه بوداپست مجارستان یک گزارش مفصل ۶۴صفحه‌ای درباره بدافزاری با نام اسکای وایپر منتشر می‌کند. در پی اعلام جزئیات فنی بدافزار Flame از سوی مرکز ماهر، در سایت مؤسسه CrySyS به یکسان‌بودن دو بدافزاراسکای وایپر و Flame اشاره می‌شود. کرانه باختری در فلسطین، سودان و سوریه، با فاصله بیشتر، از دیگر اهداف این بدافزار محسوب می‌شوند. اندازه برنامه اصلی Flame بیش از شش مگابایت است و مجموعه کامل برنامه‌های این بدافزار حدود ٢٠ مگابایت فضا اشغال می‌کند.
 
ویروس‌نویسان اغلب برای انتشار راحت‌تر فایل‌های مخرب، فایل‌هایی با حجم کم می‌سازند، اما ساختار پیچیده این بدافزار نیاز به کتابخانه‌های پیچیده‌ای همچون Zlib و مفسر Lua دارد که باعث ایجاد این حجم زیاد می‌شود. برای بررسی دقیق عملکرد ویروس‌های استاکسنت و دوکو، ماه‌ها وقت صرف شده بود و در نگاه اول به‌راحتی می‌شد فهمید که بررسی و کسب اطلاعات دقیق درباره ویروس Flame بسیار دشوارتر است و به زمان بیشتری نیاز دارد؛ برای نمونه یکی از بخش‌های کوچک و رمزگذاری‌شده بدافزار Flame حاوی بیش از ٧٠‌ هزار سطر برنامه‌نویسی به زبان C است و بیش از ١٧٠ عبارت رمز‌گذاری شده در آن به کار رفته است. توابع و بخش‌های مختلف آن به شکل فوق‌پیچیده‌ای به یکدیگر متصل شده‌اند. این بدافزار با تزریق خود به پروسه‌های مجاز سیستم‌عامل، اجرا و به ‌عنوان یک سرویس در سیستم‌عامل ویندوز ثبت می‌شود.
 
از گواهی‌نامه و راه‌اندازهای جعلی استفاده کرده و خود را در کِرنِر در پایین‌ترین سطح سیستم اجرا می‌کند. برخی از فایل‌های بدافزار در ظاهر متعلق به شرکت مایکروسافت هستند؛ برای مثال یک فایل در ظاهر Client windows Authentication Client ۵,١ با شماره ساخت دوهزارو ۶٠٠ و متعلق به microsoft corporation است، ولی بررسی دقیق‌تر نشان می‌دهد مانند ویروس‌های استاکسنت و دوکو هیچ‌یک از فایل‌های بدافزار Flame کلید اصالت‌سنجی معتبری ندارند.
 
Flame قابلیت تشخیص بیش از صد محصول امنیتی اعم از ضدویروس‌ها، برنامه‌های ضدجاسوسی و دیوارهای آتش و توانایی فرارصد آنها را دارد و خود را از طریق حافظه‌های usb flash تکثیر کرده و با استفاده از ضعف‌های امنیتی که برخی از آنها در بدافزار معروف استاکسنت نیز به کار گرفته شده بودند، در سطح شبکه منتشر می‌کند. برخلاف ویروس‌های رایج، این بدافزار به‌کندی از طریق حافظه‌های usb انتشار می‌یابد تا جلب توجه نکرده و به ‌عنوان یک رفتار مخرب از سوی ابزارهای امنیتی شناخته نشود. عملیات متنوع و پیچیده این بدافزار از طریق چندین سرور کنترل، فرماندهی، مدیریت و هدایت می‌شود. Flame از فعالیت‌های کاربر تصویربرداری و تماس‌های صوتی برقرارشده از طریق سیستم آلوده را شنود و ضبط می‌کند. اطلاعات جمع‌آوری‌شده را در بانک داده‌های SQL Li ذخیره کرده و آنها را به سرورهای کنترل و فرماندهی ارسال می‌کند.
 
در اوایل خردادماه ٩١ این سرورها فرمان خودکشی را به بدافزار دادند. باز هم آمریکا و اسرائیل متهمان اصلی در ساخت و انتشار بدافزار Flame در قالب یکی از بزرگ‌ترین حملات سایبری هستند؛ هرچند همواره از ارائه توضیحات دراین‌باره طفره رفتند.
 
کشف بدافزار فوق‌پیچیده Flame یک‌بار دیگر نشان داد، تنها با اتکا به ضدویروس‌ها نمی‌توان شبکه‌ها را از گزند حملات سایبری فوق‌پیچیده محافظت کرد. شاید اثرات مخرب بدافزار Flame برای سیستم‌های حیاتی کشور امکان اندازه‌گیری نداشته باشد، اما رویکرد مدیران ارشد فناوری اطلاعات کشور، پس از شناسایی این بدافزار کار را برای برپا‌کنندگان این نوع حملات سایبری بسیار دشوارتر کرد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.