در اواخر سال ١٣٩٠ نامهای از سوی حراست وزارتخانهها و سازمانهای کشور درباره انتشار ویروس جدیدی که اطلاعات دستگاهها را به صورت دائمی و برگشتناپذیر، حذف میکند ارسال میشود.
همزمان چندین شرکت در خاورمیانه درباره بدافزاری که اقدام به حذف دادههای حساس میکند، به اتحادیه بینالمللی مخابرات شکایت میکنند. شرکت کسپراکسی از سوی این اتحادیه مأمور میشود درباره این بدافزار احتمالی تحقیق کند. در سوم اردیبهشت ١٣٩١ مرکز مدیریت امداد و هماهنگی عملیات رخداداهای رایانهای ایران -ماهر- از حمله بزرگ سایبری علیه سیستمهای وزارت نفت و چندین شرکت ملی فعال در زمینه نفت و گاز خبر میدهد. در اطلاعیه مرکز ماهر به ویروسی با عنوان «وایپر» اشاره شده که اطلاعات دیسک سخت سیستمها را بهطور کامل حذف میکند. هفتم خرداد همان سال مرکز ماهر، اطلاعات بیشتری درباره حملات سایبری و بدافزار استفادهشده در آن منتشر میکند. در خبر از بدافزار جدید با عنوان Flame یاد میشود.
در همان تاریخ شرکت کسپراسکی نیز جزئیاتی درباره ویروسی با همان نام منتشر میکند. یک روز پس از آن مؤسسه تحقیقاتی CrySyS وابسته به دانشگاه بوداپست مجارستان یک گزارش مفصل ۶۴صفحهای درباره بدافزاری با نام اسکای وایپر منتشر میکند. در پی اعلام جزئیات فنی بدافزار Flame از سوی مرکز ماهر، در سایت مؤسسه CrySyS به یکسانبودن دو بدافزاراسکای وایپر و Flame اشاره میشود. کرانه باختری در فلسطین، سودان و سوریه، با فاصله بیشتر، از دیگر اهداف این بدافزار محسوب میشوند. اندازه برنامه اصلی Flame بیش از شش مگابایت است و مجموعه کامل برنامههای این بدافزار حدود ٢٠ مگابایت فضا اشغال میکند.
ویروسنویسان اغلب برای انتشار راحتتر فایلهای مخرب، فایلهایی با حجم کم میسازند، اما ساختار پیچیده این بدافزار نیاز به کتابخانههای پیچیدهای همچون Zlib و مفسر Lua دارد که باعث ایجاد این حجم زیاد میشود. برای بررسی دقیق عملکرد ویروسهای استاکسنت و دوکو، ماهها وقت صرف شده بود و در نگاه اول بهراحتی میشد فهمید که بررسی و کسب اطلاعات دقیق درباره ویروس Flame بسیار دشوارتر است و به زمان بیشتری نیاز دارد؛ برای نمونه یکی از بخشهای کوچک و رمزگذاریشده بدافزار Flame حاوی بیش از ٧٠ هزار سطر برنامهنویسی به زبان C است و بیش از ١٧٠ عبارت رمزگذاری شده در آن به کار رفته است. توابع و بخشهای مختلف آن به شکل فوقپیچیدهای به یکدیگر متصل شدهاند. این بدافزار با تزریق خود به پروسههای مجاز سیستمعامل، اجرا و به عنوان یک سرویس در سیستمعامل ویندوز ثبت میشود.
از گواهینامه و راهاندازهای جعلی استفاده کرده و خود را در کِرنِر در پایینترین سطح سیستم اجرا میکند. برخی از فایلهای بدافزار در ظاهر متعلق به شرکت مایکروسافت هستند؛ برای مثال یک فایل در ظاهر Client windows Authentication Client ۵,١ با شماره ساخت دوهزارو ۶٠٠ و متعلق به microsoft corporation است، ولی بررسی دقیقتر نشان میدهد مانند ویروسهای استاکسنت و دوکو هیچیک از فایلهای بدافزار Flame کلید اصالتسنجی معتبری ندارند.
Flame قابلیت تشخیص بیش از صد محصول امنیتی اعم از ضدویروسها، برنامههای ضدجاسوسی و دیوارهای آتش و توانایی فرارصد آنها را دارد و خود را از طریق حافظههای usb flash تکثیر کرده و با استفاده از ضعفهای امنیتی که برخی از آنها در بدافزار معروف استاکسنت نیز به کار گرفته شده بودند، در سطح شبکه منتشر میکند. برخلاف ویروسهای رایج، این بدافزار بهکندی از طریق حافظههای usb انتشار مییابد تا جلب توجه نکرده و به عنوان یک رفتار مخرب از سوی ابزارهای امنیتی شناخته نشود. عملیات متنوع و پیچیده این بدافزار از طریق چندین سرور کنترل، فرماندهی، مدیریت و هدایت میشود. Flame از فعالیتهای کاربر تصویربرداری و تماسهای صوتی برقرارشده از طریق سیستم آلوده را شنود و ضبط میکند. اطلاعات جمعآوریشده را در بانک دادههای SQL Li ذخیره کرده و آنها را به سرورهای کنترل و فرماندهی ارسال میکند.
در اوایل خردادماه ٩١ این سرورها فرمان خودکشی را به بدافزار دادند. باز هم آمریکا و اسرائیل متهمان اصلی در ساخت و انتشار بدافزار Flame در قالب یکی از بزرگترین حملات سایبری هستند؛ هرچند همواره از ارائه توضیحات دراینباره طفره رفتند.
کشف بدافزار فوقپیچیده Flame یکبار دیگر نشان داد، تنها با اتکا به ضدویروسها نمیتوان شبکهها را از گزند حملات سایبری فوقپیچیده محافظت کرد. شاید اثرات مخرب بدافزار Flame برای سیستمهای حیاتی کشور امکان اندازهگیری نداشته باشد، اما رویکرد مدیران ارشد فناوری اطلاعات کشور، پس از شناسایی این بدافزار کار را برای برپاکنندگان این نوع حملات سایبری بسیار دشوارتر کرد.