حرف‌های تازه دانشمندان امنیتی درباره استاکس‌نت، فلیم و دوکو
رد‌پای طراح Flowershop در توسعه استاکس‌نت
کد مطلب: 15223
تاریخ انتشار : چهارشنبه ۲۱ فروردين ۱۳۹۸ ساعت ۱۲:۵۶
 
به نظر می‌رسد طراح برنامه مخرب قدیمی به نام Flowershop که از سال ۲۰۰۲ تا ۲۰۱۳ اهدافی را در خاورمیانه آلوده کرده‌بود نیز در توسعه استاکس‌نت دخالت داشته‌است.
رد‌پای طراح Flowershop در توسعه استاکس‌نت
 
 
Share/Save/Bookmark
به نظر می‌رسد طراح برنامه مخرب قدیمی به نام Flowershop که از سال  ۲۰۰۲ تا ۲۰۱۳ اهدافی را در خاورمیانه آلوده کرده‌بود نیز در توسعه استاکس‌نت دخالت داشته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تحقیقات اخیر در مورد تهدیدات قدیمی نرم‌افزارهای مخرب مرتبط با استاکس‌نت علیه برنامه هسته‌ای ایران در حدود یک دهه پیش، چندین کشف جدید ازجمله همکاری یک بازیگر چهارم ناشناخته احتمالی در این عملیات مخفی و همچنین نسخه‌‌های ناشناخته‌ای از ویروس Flame و تروجان Duqu را منتشر کرده‌است.

شرکت Chronicle تابعه Alphabet، یافته‌های  محققان خود، خوان آندرس گوئررو ساده و سیلاس کاتلر را در کنفرانس امنیتی کسپرسکی در سنگاپور و همچنین در وبلاگ این شرکت که توسط گزارش‌های دقیق‌تر تحلیلی تکمیل شده‌است، منتشر کرد.

درسلسله این اکتشاف‌ها می‌تواند یک کلید واحد که از یک گزارش امنیتی در سال ۲۰۱۷ سرچشمه گرفته‌است ردیابی شود و احتمال یک پیوند جدید بین بدافزار مخرب جاسوسی سایبری شناخته‌شده به‌عنوان Flame و گروهی از بازیگران دولتی که احتمالا درگیر در حمله بدافزار استاکس‌نت هستند برقرار کند. این حمله باعث شد که کنترل‌کننده‌های منطقی برنامه‌ریزی‌شده برای تاسیسات هسته‌ای ایران در نطنز دچار اشکال شوند که نتیجه آن آسیب به سانتریفیوژها بود که در آن زمان ایده‌های هسته‌ای ایران را به پیش می‌برد.

ظاهرا مهاجمان استاکس‌نت که کرونیکل به‌طور کلی آنها را GOSSIPGIRL می‌نامد به‌طور گسترده‌ای شامل توسعه‌دهندگان ویروس Flame و Duqu و گروه موسوم به گروه «معادله» می‌شود. گروه معادله به‌طور قابل توجهی با NSA مرتبط بوده‌است، در حالی که ساخت Duqu به اسرائیل مرتبط دانسته شده‌است و Flame به یک عملیات اطلاعاتی مشترک بین ایالات متحده و اسرائیل مرتبط است.

اما بر اساس یافته‌های کرونیکل، به نظر می‌رسد که یک بازیگر چهارم در توسعه استاکس‌نت دخالت داشته‌باشد. این بازیگر یک برنامه مخرب قدیمی به نام Flowershop که اهداف خاورمیانه را در طول دوره فعالیت خود از سال ۲۰۰۲ تا ۲۰۱۳ آلوده کرد، ایجاد کرده‌است. کد این بدافزار را می‌توان در یک بخش خاص از Stuxnet به نام Stuxshop پیدا کرد و از آن برای ارتباط با سرورهای C2 و البته کارکردهای دیگر استفاده شده‌است.

گوئررو و کاتلر در گزارش فنی خود بیان کرده‌اند: «ارزش این یافته اخیر در دو جنبه است: اولا، این یافته‌ها نشان می‌دهد که تیم دیگری با پلتفرم بدافزار خود در توسعه اولیه Stuxnet مشارکت داشته‌است. دوم اینکه، این دیدگاه را پشتیبانی می‌کند که استاکس‌نت در واقع محصول یک چارچوب توسعه مدولار است که به منظور ایجاد امکان همکاری میان بازیگران تهدیدکننده مستقل و پراکنده، طراحی شده‌است. یافته‌های اخیر ما، همراه با بخش برجسته‌ای از تجزیه‌وتحلیل فنی که قبلا در مورد این تهدید گزارش شده، تیم طراح Flowershop را در کنار گروه معادله، طراحان Flame و Duqu، به‌عنوان بازیگرانی که در تهیه مرحله‌های مختلف استاکس‌نت تحت یک عملیات که احتمالا از اوایل سال ۲۰۰۶ فعال بودند، قرار می‌دهد.

تحقیقات بیشتری نشان داده که یکی دیگر از شگفتی‌ها این است که بدافزار Flame که در ماه مه ۲۰۱۲ پس از کشف عمومی‌اش ناپدید شد، تقریبا دو سال بعد به شکل Flame ۲.۰ مجددا ظاهر شد.

Flame که نام آن sKyWIper است و در سال ۲۰۱۲ کشف شد از لحاظ تاریخی رایانه‌های مبتنی‌بر ویندوز را در ایران مورد هدف قرار می‌داده‌است. ابزار جاسوسی سایبری که احتمالا در زمان‌بندی 2014-2016 استفاده شده، قادر به جمع‌آوری اطلاعات سیستم، ایجاد خلاءهای نفوذ پنهانی و انتشار بدافزار در سراسر شرکت‌ها از طریق به‌روزرسانی ویندوز است.

در طول دوره مطالعه خود، این محققان همچنین یک نسخه ناشناخته Duqu را کشف کرده‌اند که بدافزاری ساخته‌شده از استاکس‌نت است و به‌منظور سرقت اطلاعات مفید برای حمله به سیستم‌های کنترل صنعتی استفاده می‌شود.

این نسخه با نام Dubbed Duqu ۱.۵ به نظر می‌رسد یک پل بین تهدید اصلی Duqu ۱.۰ و تهدید پیشرفته Duqu ۲.۰ که بدافزاری با فرم مدولار فعال در حافظه رم است که به‌شدت دفاتر آزمایشگاه کسپرسکی را آلوده کرده‌بود و همچنین مذاکرات هسته‌ای ۵ + ۱ و ایران در سوئیس را هدف قرار داده‌است. کرونیکل بیان کرده که دیگر نسخه‌های Duqu اخیرا در شرکت‌های اروپایی، آفریقا و خاورمیانه جاسوسی کرده‌اند.

به گفته کرونیکل ویژگی‌های موجود در نسخه ۱.۵ عبارت‌اند از: یک زنجیره بارگذاری گسترده‌تر، عملیاتی-تجربی و چنسطحی. این کار با یک راننده هسته تروجانی آغاز می‌ شود که با یک گواهی به سرقت رفته امضا شده‌است تا سیستم فایل مجازی رجیستری (VFS) که هماهنگ‌کننده مادر بدافزار را در حافظه را بارگذاری می‌کند، آلوده سازد و پس از آن یک VFS را روی دیسک بارگذاری می‌کند تا یک‌سری پلاگین نصب شود تا راه برای گسترش بیشتر و دسترسی به راه‌های نفوذ پنهان به ماشین‌های آلوده باز شود.
مرجع : تابناک