بنابر اعلام کسپرسکی:
فلیم و استاکس نت مشابهت های فراوانی دارند
اختصاصی افتانا
کد مطلب: 1600
تاریخ انتشار : سه شنبه ۲۳ خرداد ۱۳۹۱ ساعت ۱۱:۵۱
 
برخلاف آنچه که قبلا فکر می کردیم، استاکس نت و فلیم مشابهت های فراوانی دارند.
فلیم و استاکس نت مشابهت های فراوانی دارند
 
 
Share/Save/Bookmark

برخلاف آنچه که قبلا فکر می کردیم، استاکس نت و فلیم مشابهت های فراوانی دارند.

به گزارش افتانا (پایگاه خبری امنیت اطلاعات)، متخصصان کسپرسکی با اعلام اینکه برخلاف آنچه ما تصور می کردیم، استاکس نت و فلیم (شعله آتش) کاملا به یکدیگر مرتبط هستند.

براساس این گزارش، استاکس نت سه گونه اصلی شناخته شده دارد که در تاریخ های ژوئن۲۰۰۹، مارس و آوریل ۲۰۱۰ شناسایی شدند. درواقع گونه ای که در مارس۲۰۱۰ تولید شده، همان نسخه ای است که در ژوئن توسط آنتی ویروس بلاروسی کشف شد و همه را با این بدافزار آشنا کرد.

اما بررسی های بیشتر ما نشان داده است که نسخه ژوئن۲۰۰۹ این بدافزار، با انواعی که بعدها توسعه داده شده و کشف شده تفاوت های مهمی دارد که به نحوه عملکرد و استفاده آن از درایورهای سیستمی مربوط می شود.

همین گونه بعدها جداگانه توسعه داده شد و در اکتبر۲۰۱۰ در یکی از شبکه های ما کشف شد که به آن نام Worm.Win32.Stuxnet.s دادیم که به دلیل تغییر در ماهیت بعضی فعالیت ها با تغییر نام آن را Tocy.a نامیدیم.
حال نکته مهم این است که با بررسی سوابق دریافتیم که Tocy.a و فلیم به نحو عجیبی مشابه یکدیگر هستند!

بررسی های بیشتر نشان داد که Tocy.a در واقع یکی از ماجول های فلیم است که خیلی شبیه ماجول resource
حالا می توانیم با جرات در مورد چیزی به نام پلتفرم یا سکوی کاری فلیم صحبت کنیم.
207 در استاکس نت نیز می باشد. resource 207 نیز یک فایل DLL رمزنگاری شده حاوی یک فایل PE است. این فایل نیز دقیقا مانند Flame plugin است.

گزارش کسپرسکی اذعان می کند که حالا می توانیم با جرات در مورد چیزی به نام پلتفرم یا سکوی کاری فلیم صحبت کنیم. ضمن آنکه منبع مرتبط با استاکس نت در حقیقت شامل اجرای پلتفرم فلیم نیز بوده اند.

نتیجه گیری
گزارش تحلیلی مفصل آزمایشگاه کسپرسکی نتیجه گیری کرده است که:

یک- بدافزار استاکس نت بین ژانویه تا ژوئن ۲۰۰۹ ایجاد شده، درحالیکه پلتفرم فلیم قبل از آن ایجاد شده بوده است. حدس زده می شود که زمان ایجاد آن در حدود تابستان ۲۰۰۸ بوده است.

دو- استاکس نت نسخه ۲۰۰۹ از ماجولی که در پلتفرم فلیم ایجاد شده، استفاده کرده است که نقش مهمی را در فعالیت آن داشته است.

سه- همان ماجول از استاکس نت نسخه۲۰۱۰ حذف شده و به جای آن از آسیب پذیری MS۱۰-۰۴۶ به جای روش قدیمی autorun.inf استفاده شده است.

چهار- ماجول فلیم که در استاکس نت استفاده شد، به عنوان یک آسیب پذیری ناشناخته مورد بررسی قرار گرفت که در MS۰۹-۰۲۵ به آن اشاره شد.

پنج- پس از سال ۲۰۰۹، توسعه پلتفرم فلیم به طور مستقل توسط استاکس نت انجام گردید.

این نتیجه گیری ما را به این مطلب می رساند که دو تیم توسعه مجزا مسئولیت به کارگیری فلیم و استاکس نت (بعدا روی پلتفرم Tilded) را برعهده داشته اند. که این موضوع مربوط به سال های ۲۰۰۷ و ۲۰۰۸ می شود. سپس در ۲۰۰۹بخشی از کدهای فلیم در استاکس نت به کار گرفته شده و از ۲۰۱۰ این دو گروه فعالیت هایشان را در دو مسیر مختلف و مچزا ادامه داده اند که به انتشار استاکس نت و فلیم منجر شده است.