شعلههای آتش بدافزاری ترکیبی از ویروسهای قدیمی است که ویژگیهای منحصر به فرد گذشته را یکجا با خود یدک میکشد
منبع : هفته نامه عصر ارتباط
روشنتر شدن زوایای تاریک و نحوه عملکرد بدافزار Flame آن را جعبه ابزاری جاسوسی متشکل از امکانات متعدد برای پنهانکاری، سرقت و ارسال اطلاعات به روش های مختلف معرفی می کند که به مثابه یک بمب ساعتی عمل می کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مرکز ماهر با ادعای انتشار ابزار پاکسازی این بدافزار در نهم خردادماه سال جاری سعی کرد نشان دهد عملکرد منفعلانه خود را در مواجهه با استاکسنت جبران کرده و از تجربه حملات استاکسنت و دوکو بهره برده و چابکتر از سابق عمل میکند، ضمن اینکه با تعامل با دیگر شرکتهای امنیتی دنیا و بهاشتراکگذاری اطلاعات بدافزار شعله آتش، چهره پویاتری از خود به نمایش گذاشت.
شعلههای آتش بدافزاری ترکیبی از ویروسهای قدیمی است که ویژگیهای منحصر به فرد گذشته را یکجا با خود یدک میکشد. شاخصههایی مانند ضبط صدا، بلوتوث، بررسی ترافیک شبکه، تهیه عکس از برنامههای خاص در زمان اجرا، ثبت کلیدهای فشرده شده و... از ویژگیهای خاص آن به شمار میروند.
همچنین حجم بالای آن حتی در مقایسه با سنگینترین بدافزارها همچون استاکسنت و استفاده از زبان اسکریپتنویسی Lua که معمولا برای بازیهای رایانهای مورد استفاده قرار میگیرد، از خصوصیات منحصر به فرد شعلههای آتش به شمار میرود. ضمن اینکه بنا بر گزارش کسپرسکی، آشکار شده هیچ تاریخ انقضایی درون ویروس شعلههای آتش تعریف نشده و غیرفعال شدنش تنها با تصمیم سازندگان آن میسر است.
جنگ سایبری
گزارش اخیر روزنامه نیویورک تایمز افشا کرده حملات چند سال اخیر بدافزارها به سازمانها و نهادهای دولتی ایران از سوی ایالت متحده آمریکا سازماندهی شده است هرچند مقامات رسمی این کشور در این خصوص سکوت اختیار کردهاند.
علیرضا صالحی مدیر روابط عمومی محصولات امنیتی کسپرسکی در ایران نیز معتقد است ویژگیهای سه ویروس استاکسنت، دوکو و شعلهآتش آشکار میکند که تنها میتواند سرمایهگذاری و توان فنی یک دولت، پشتوانه طراحی و توسعه این بدافزارها باشد.
با این حال اسماعیل ذبیحی مدیر روابط عمومی شرکت ایمن رایانه پندار نماینده آنتیویروس پاندا در ایران، این مساله را بزرگنمایی میداند و با اشاره به اینکه یک نرمافزار برای انجام ماموریتهای جاسوسی توانمندیهای لازم را ندارد، معتقد است:«تمامی سازمانها و نهادهای حساس در ايران و تمامی کشورهای دنیا اطلاعات حساس خود را روی سیستمهایی قرار میدهند که ارتباطی با اینترنت و حتی اینترانت نداشته باشند. این در حالی است که یک ویروس برای انتشارش نیازمند بستر اینترنت است.»
او همچنین در رد این فرضیه دومین ویژگی عمده برای انتشار یک بدافزار را سیستمعامل یکسان مانند فراگیر بودن ویندوز اعلام کرد و افزود:«با نصب سیستمعاملی مانند لینوکس به همراه آنتیویروسهای بهروز دنیا به راحتی بسیاری از کامپیوترها را میتوان مصون نگاه داشت، خصوصا اینکه کامپیوترهایی که حاوی اطلاعات حساس هستند معمولا مجهز به سیستمعاملهایی غیر از ویندوز هستند.»
صالحی اما با یادآوری اینکه هر دو ویروس استاکسنت و شعله آتش مبتنی بر حافظههای فلش منتشر میشدند، اتکای بدافزارها به بستر اینترنت برای گسترش آنها را رد کرد و افزود:«قدیمی بودن سیستمهای صنعتی ایران در مقابل تهدیدات بهروز و جدید است که سیستمهای صنعتی را تبدیل به هدفهای خوبی برای حملات سایبری میکند.»
حفره امنیتی مایکروسافت
بهروزرسانی فوری همه نسخههای ویندوز از سوی مایکروسافت طی هفته گذشته از یکی دیگر از رازهای نحوه عملکرد شعله آتش پرده برداشت. شعله آتش از طریق حفره امنیتی ویندوز و با استفاده از گواهینامههای تقلبی مایکروسافت خودش را در سیستم قربانی معتبر نشان داده تا دانلود و فعال شود و سپس سرقت اطلاعات را آغاز کند.
صالحی نیز با اشاره به روش مشابه استاکسنت در استفاده از حفرههای امنیتی گفت:«استاکسنت نیز مبتنی بر حفره امنیتی عمل میکرد که یابندهاش آن را به قیمت ۲۵۰ هزار دلار به سازندگان استاکسنت فروخته بود.»
او در ادامه با اشاره به اینکه شعلههای آتش طی سالهای ۲۰۰۸ تا ۲۰۱۲ بیشتر از ۸۰ دامین مختلف را در کشورهای مختلف دنیا ثبت کرده، درخصوص نحوه عملکرد آن گفت:«بیشتر این دامینها در کشورهای اتریش و آلمان ثبت شدهاند. این دامینها دستور و کنترل بر نحوه عملکرد بدافزار را بر عهده داشتند.»
بنا بر گزارش کسپرسکی در خصوص این بدافزار، شعلههای آتش تا رسیدن دستورات بعدی از سوی دامین به محض اینکه برنامههای خاص پیغامرسان روی سیستم فعال شوند هر ۱۵ ثانیه اقدام به عکسبرداری میکند و در صورت باز بودن برنامههای دیگر هر ۶۰ ثانیه عکسبرداری میکند. در این مدت همینطور به ضبط صدا و بررسی ترافیک شبکه و دیگر اقدامات جاسوسی خود می پردازد.