به مثابه یک بمب ساعتی

روشنتر شدن زوایای تاریک و نحوه عملکرد بدافزار Flame آن را جعبه ابزاری جاسوسی متشکل از امکانات متعدد برای پنهانکاری، سرقت و ارسال اطلاعات به روش های مختلف معرفی می کند که به مثابه یک بمب ساعتی عمل می کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مرکز ماهر با ادعای انتشار ابزار پاکسازی این بد‌افزار در نهم خردادماه سال جاری سعی کرد نشان دهد عملکرد منفعلانه خود را در مواجهه با استاکس‌نت جبران کرده و از تجربه حملات استاکس‌نت و دوکو بهره‌ برده و چابک‌تر از سابق عمل می‌کند، ضمن اینکه با تعامل با دیگر شرکت‌های امنیتی دنیا و به‌اشتراک‌گذاری اطلاعات بدافزار شعله آتش، چهره‌ پویاتری از خود به نمایش گذاشت.

شعله‌های آتش بدافزاری ترکیبی از ویروس‌های قدیمی است که ویژگی‌های منحصر به فرد گذشته را یکجا با خود یدک می‌کشد. شاخصه‌هایی مانند ضبط صدا، بلوتوث، بررسی ترافیک شبکه، تهیه عکس از برنامه‌های خاص در زمان اجرا، ثبت کلیدهای فشرده شده و... از ویژگی‌های خاص آن به شمار می‌روند.

همچنین حجم بالای آن حتی در مقایسه با سنگین‌ترین بدافزارها همچون استاکس‌نت و استفاده از زبان اسکریپت‌نویسی Lua که معمولا برای بازی‌‌های رایانه‌ای مورد استفاده قرار می‌گیرد، از خصوصیات منحصر به فرد شعله‌های آتش به‌ شمار می‌رود. ضمن اینکه بنا بر گزارش کسپرسکی، آشکار شده هیچ تاریخ انقضایی درون ویروس شعله‌های آتش تعریف نشده و غیرفعال شدنش تنها با تصمیم سازندگان آن میسر است.

جنگ سایبری

گزارش اخیر روزنامه نیویورک تایمز افشا کرده حملات چند سال اخیر بدافزارها به سازمان‌ها و نهادهای دولتی ایران از سوی ایالت متحده آمریکا سازماندهی شده است هرچند مقامات رسمی این کشور در این خصوص سکوت اختیار کرده‌اند.

علیرضا صالحی مدیر روابط عمومی محصولات امنیتی کسپرسکی در ایران نیز معتقد است ویژگی‌های سه ویروس استاکس‌نت، دوکو و شعله‌آتش آشکار می‌کند که تنها می‌تواند سرمایه‌گذاری و توان فنی یک دولت، پشتوانه طراحی و توسعه این بدافزارها باشد.

با این حال اسماعیل ذبیحی مدیر روابط عمومی شرکت ایمن رایانه پندار نماینده آنتی‌ویروس‌ پاندا در ایران، این مساله را بزرگنمایی می‌داند و با اشاره به اینکه یک نرم‌افزار برای انجام ماموریت‌های جاسوسی توانمندی‌های لازم را ندارد، معتقد است:«تمامی سازمان‌ها و نهادهای حساس در ايران و تمامی کشورهای دنیا اطلاعات حساس خود را روی سیستم‌هایی قرار می‌دهند که ارتباطی با اینترنت و حتی اینترانت نداشته باشند. این در حالی است که یک ویروس برای انتشارش نیازمند بستر اینترنت است.»

او همچنین در رد این فرضیه دومین ویژگی عمده برای انتشار یک بدافزار را سیستم‌عامل یکسان مانند فراگیر بودن ویندوز اعلام کرد و افزود:«با نصب سیستم‌عاملی مانند لینوکس به همراه آنتی‌ویروس‌های به‌روز دنیا به راحتی بسیاری از کامپیوترها را می‌توان مصون نگاه داشت، خصوصا اینکه کامپیوترهایی که حاوی اطلاعات حساس هستند معمولا مجهز به سیستم‌عامل‌هایی غیر از ویندوز هستند.»

صالحی اما با یادآوری اینکه هر دو ویروس استاکس‌نت و شعله آتش مبتنی بر حافظه‌های فلش منتشر می‌شدند، اتکای بدافزارها به بستر اینترنت برای گسترش آنها را رد کرد و افزود:«قدیمی بودن سیستم‌های صنعتی ایران در مقابل تهدیدات به‌روز و جدید است که سیستم‌های صنعتی را تبدیل به هدف‌های خوبی برای حملات سایبری می‌کند.»

حفره امنیتی مایکروسافت

به‌روزرسانی فوری همه نسخه‌های ویندوز از سوی مایکروسافت طی هفته گذشته از یکی دیگر از رازهای نحوه عملکرد شعله آتش پرده برداشت. شعله آتش از طریق حفره‌ امنیتی ویندوز و با استفاده از گواهینامه‌های تقلبی مایکروسافت خودش را در سیستم قربانی معتبر نشان داده تا دانلود و فعال شود و سپس سرقت اطلاعات را آغاز ‌کند.

صالحی نیز با اشاره به روش مشابه استاکس‌نت در استفاده از حفره‌های امنیتی گفت:«استاکس‌نت نیز مبتنی بر حفره امنیتی عمل می‌کرد که یابنده‌اش آن را به قیمت ۲۵۰ هزار دلار به سازندگان استاکس‌نت فروخته بود.»

او در ادامه با اشاره به اینکه شعله‌های آتش طی سال‌های ۲۰۰۸ تا ۲۰۱۲ بیشتر از ۸۰ دامین مختلف را در کشورهای مختلف دنیا ثبت کرده، درخصوص نحوه عملکرد آن گفت:«بیشتر این دامین‌ها در کشورهای اتریش و آلمان ثبت شده‌اند. این دامین‌ها دستور و کنترل بر نحوه عملکرد بدافزار را بر عهده داشتند.»

بنا بر گزارش کسپرسکی در خصوص این بد‌افزار، شعله‌های آتش تا رسیدن دستورات بعدی از سوی دامین به محض اینکه برنامه‌های خاص پیغام‌رسان روی سیستم فعال شوند هر ۱۵ ثانیه اقدام به عکسبرداری می‌کند و در صورت باز بودن برنامه‌های دیگر هر ۶۰ ثانیه عکسبرداری می‌کند. در این مدت همین‌طور به ضبط صدا و بررسی ترافیک شبکه و دیگر اقدامات جاسوسی خود می پردازد.