استاکس‌نت و فلیم؛ پروژه‌هایی موازی از سوی یک دولت

تاریخ انتشار : ۰۴ تير ۱۳۹۱

شباهت‌های میان دو بدافزار فلیم و استاکس‌نت نشان می‌دهد ارتباط طراحان این دو ویروس، نزدیک‌تر از آن‌چیزی است که تصور می‌شود.

گرداب- مجله اینترنتی "وایرد" آمریکا در مقاله‌ای به قلم "کیم زتر" به بررسی رابطه میان ویروس "فلیم" و حمله سه سال قبل ویروس "استاکس نت" پرداخت.

دو ویروس کاملا به هم مرتبط هستند
محققین اخیرا دریافته‌اند که مدول اصلی که در کد ویروس فلیم به کار رفته است، کاملا مشابه مدول اصلی به کار رفته در اولین نسخه ویروس استاکس‌نت است. به همین جهت این محققین اعلام کرده‌اند که این دو ویروس کاملا به یکدیگر مرتبط هستند.

محققین آزمایشگاه شرکت روسی "کسپراسکی" دریافته‌اند که بخشی از مدول مربوط به انتشار خودکار ویروس از طریق پورت‌های "یو اس بی" که در ویروس فلیم به کار رفته است، در نسخه‌ای از ویروس استاکس‌نت که در سال 2009 و در پروژه‌ای مشترک از سوی آمریکا و رژیم صهیونیستی در ایران منتشر شد هم، وجود دارد. این مدول که از آن به عنوان منبع 207 نام برده می‌شود، در نسخه‌های بعدی استاکس‌نت حذف شد، اما همچنان به عنوان پلت فرمی باقی ماند تا بتوان از آن در نسخه‌های نهایی و کاملی نظیر فلیم که امروز برای ما شناخته شده است، به کار رود.

محققین بر این باورند که پیش از آنکه استاکس‌نت و فلیم هر یک در جهتی جداگانه و متفاوت به کار گرفته شوند، حمله‌کنندگان از مدول ویروس فلیم در پروژه استاکس‌نت خود استفاده کرده‌اند. این محققین مشابهت‌های میان استاکس‌نت و فلیم را در اینترنت منتشر کرده‌اند.

MD5 پیش زمینه‌ای برای حمله فلیم
"روئل شونبرگ" محقق ارشد آزمایشگاه کسپراسکی در امور ویروس‌های رایانه‌ای در این‌باره می‌گوید: «به عقیده من، این حمله می‌توانست با حمله MD5 همراه باشد، که این بزرگترین کشفی بود که در رابطه با ویروس فلیم انجام شد.»

منظور شونبرگ از حمله MD5 مجموعه حملات مخربی است که یک هفته پیش از انتشار ویروس فلیم و با هدف قرار دادن فایل‌هایی با کارکرد مخرب در سیستم‌ها انجام شد. در این حمله تلاش شده بود تا با تحریک سیستم‌ها طوری وانمود شود که این فایل‌ها مجاز و قابل اعتماد بوده و از سوی مایکروسافت تائید شده‌اند.

در مدول مشترکی که بین فلیم و استاکس‌نت شناسایی شد، محققین یک ساختار دسترسی به فایل‌های حساس شناسایی شد، که پیش از این در بررسی‌های سال 2010 در ویروس استاکس‌نت نیز مشاهده شده بود. به باور محققین این ساختار دسترسی برای اولین بار در روز 22 ژوئن 2009 و در حمله ویروس استاکس‌نت به کار گرفته شده است.

این ساختار موجب افزایش امکان دسترسی حمله‌کنندگان به بخش‌های حساس یک سیستم می‌شد و از این طریق به آن‌ها این امکان را می‌داد که کدهای مخرب خود را بر روی سیستم اجرا کنند. البته هم این ساختار و هم ساختار اجرای خودکار ویروس، در نسخه‌های بعدی استاکس‌نت که در سال 2010 منتشر شد، حذف شده بود. پس از حذف ساختار اجرای خودکار، ساختار .Ikn جایگزین آن شد، که همین ساختار هم موجب مشهور شدن ویروس استاکس‌نت شد. در سال 2010 و پس از انتشار استاکس‌نت، مایکروسافت ساختارهای جایگزین شده را شناسایی کرده و آن را مسدود کرد.

دلیل اینکه این مدول مشترک بین فلیم و استاکس‌نت منتشر شده در سال 2009 به تازگی مورد بررسی و شناسایی قرار گرفته، این است که تاکنون محققین تنها بر نسخه‌ای از استاکس‌نت که در سال 2010 منتشر شد، تمرکز داشته‌اند. میزان شیوع و انتشار نسخه سال 2010 استاکس‌نت بیشتر بود و همچنین در آن از چهار ساختار "روز صفر" استفاده شده بود و به همین جهت این نسخه بیشتر از نسخه سال 2009 مورد توجه قرار گرفت.

فلیم، جاسوسی تمام عیار که ناکام ماند
فلیم اولین بار در ماه می و از سوی آزمایشگاه شرکت کسپراسکی شناسایی شد. این بدافزار که هدف اصلی آن نفوذ به سیستم‌های خاورمیانه بود، به مدت دو سال فعال بوده است. محققین تعداد زیادی پلاگین را شناسایی کرده بودند که به این ویروس امکان سرقت اسناد، خواندن مکالمات متنی یک رایانه و یا ضبط مکالماتی که از طریق اسکایپ انجام می‌گیرد، را داده بوده است.

پیش از این گزارش شده بود که ویروس فلیم، نظیر استاکس‌نت این امکان را داشته که با استفاده از ساختار انتشار خودکار و .Ikn که در استاکس‌نت استفاده شده بود، از طریق پورت یو اس بی منتشر شود. این ویروس برای انتشار در بین رایانه‌های درون یک شبکه محلی نیز از اسپولر چاپی استفاده می‌کند که در استاکس نت استفاده شده بود. البته هنوز به درستی مشخص نیست که گروه‌هایی که این دو ویروس را تولید کرده‌اند، تنها منبعی مشترک از ساختارها داشته‌اند یا اینکه به کلی گروه مشترک بوده و با همکاری با هم کدها را تولید کرده‌اند.

این حقیقت که مدول استفاده شده در استاکس نت و فلیم تقریبا مشابه هم هستند، نشان‌دهنده آن است که دو گروه مجزایی که این ویروس‌ها را تولید کرده‌اند، نه تنها کدهای باینری، بلکه کد اصلی ساختار انتشار خودکار را با هم به اشتراک گذارده بودند و این بدان معناست که ارتباط این دو گروه نزدیک‌تر از آن چیزی بوده است که پیش از این تصور می‌شد.

شونبرگ می‌گوید: «این کاملا نشان می‌دهد که این دو گروه رابطه تنگاتنگی داشته‌اند. آن‌ها مشکلی با دادن کدهای مرجع خود به یکدیگر نداشته‌اند.»

استاکس‌نت، دوکو و فلیم؛ پروژه‌هایی موازی از سوی یک دولت
محققین تاکنون به این باور رسیده‌اند که فلیم بخشی از یک پروژه موازی بوده با استاکس‌نت بوده است. گروهی که این ویروس و خواهر خوانده آن؛ یعنی "دوکو" را تولید کرده‌اند، گروهی بوده‌اند که دولت یک کشور آن‌ها را استخدام کرده است. این دولت همان دولتی بوده که در پشت پرده تولید استاکس‌نت نیز قرار داشته است. گروه به کار گرفته شده از سوی این دولت فلیم را در فرآیندی جدا از استاکس‌نت و با اهدافی متفاوت تولید کرده است. اکنون محققین بر این عقیده‌اند که تولیدکنندگان استاکس‌نت در مراحل اولیه تولید این ویروس، از بخشی از کد ویروس فلیم استفاده کرده‌اند، (که احتمالا این امر به دلیل فشار زمانی برای تحویل و انتشار استاکس‌نت بوده است) اما در مراحل بعد این بخش را حذف کرده و استاکس‌نت را در فرآیندی جداگانه تولید کرده‌اند.

این محققین عنوان می‌کنند که احتمالا فلیم در تابستان 2008 تولید شده و حتی زمانی که گروه تولیدکننده استاکس‌نت بین ژانویه و ژوئن 2009 در حال تولید این ویروس بودند، فلیم به تکامل رسیده بوده است. به محض اینکه مدول فلیم از ویروس استاکس‌نت حذف شد، دو تیم سازنده ویروس شروع به تکمیل و انتشار این ویروس‌ها کردند.

تیمی که بر روی ویروس استاکس‌نت کار می‌کرده، این بدافزار را به عنوان سلاحی سایبری و با هدف تخریب تولید کرده است، در حالی که تیم تولید‌کننده فلیم، از مدول استاکس‌نت استفاده کرده، تا به ابزاری قوی برای جاسوسی دست یابد.

مطالعات روی این دو ویروس ادامه دارد تا تشابهات موجود میان آن‌ها مشخص شود و به همین جهت محققین می‌گویند هنوز کشفیات بیشتری در این زمینه در راه است.

شونبرگ در پایان می‌گوید: «همین الان من 216 فایل در ایمیل خود دارم که به نظر می‌رسد تمام آن‌ها پلاگین‌های به کار رفته در فلیم باشند. من اطمینان دارم که بسیاری از آن‌ها احتمالا تکراری هستند (با پلاگین‌هایی که در ویروس استاکس‌نت به کار رفته). اما، ما نیاز به کارکنان جدید زیادی داریم تا بتوانیم آن‌ها را تحلیل کنیم.»

منبع: فارس