شباهتهای میان دو بدافزار فلیم و استاکسنت نشان میدهد ارتباط طراحان این دو ویروس، نزدیکتر از آنچیزی است که تصور میشود.
گرداب- مجله اینترنتی "وایرد" آمریکا در مقالهای به قلم "کیم زتر" به بررسی رابطه میان ویروس "فلیم" و حمله سه سال قبل ویروس "استاکس نت" پرداخت.
دو ویروس کاملا به هم مرتبط هستند
محققین اخیرا دریافتهاند که مدول اصلی که در کد ویروس فلیم به کار رفته است، کاملا مشابه مدول اصلی به کار رفته در اولین نسخه ویروس استاکسنت است. به همین جهت این محققین اعلام کردهاند که این دو ویروس کاملا به یکدیگر مرتبط هستند.
محققین آزمایشگاه شرکت روسی "کسپراسکی" دریافتهاند که بخشی از مدول مربوط به انتشار خودکار ویروس از طریق پورتهای "یو اس بی" که در ویروس فلیم به کار رفته است، در نسخهای از ویروس استاکسنت که در سال 2009 و در پروژهای مشترک از سوی آمریکا و رژیم صهیونیستی در ایران منتشر شد هم، وجود دارد. این مدول که از آن به عنوان منبع 207 نام برده میشود، در نسخههای بعدی استاکسنت حذف شد، اما همچنان به عنوان پلت فرمی باقی ماند تا بتوان از آن در نسخههای نهایی و کاملی نظیر فلیم که امروز برای ما شناخته شده است، به کار رود.
محققین بر این باورند که پیش از آنکه استاکسنت و فلیم هر یک در جهتی جداگانه و متفاوت به کار گرفته شوند، حملهکنندگان از مدول ویروس فلیم در پروژه استاکسنت خود استفاده کردهاند. این محققین مشابهتهای میان استاکسنت و فلیم را در اینترنت منتشر کردهاند.
MD5 پیش زمینهای برای حمله فلیم
"روئل شونبرگ" محقق ارشد آزمایشگاه کسپراسکی در امور ویروسهای رایانهای در اینباره میگوید: «به عقیده من، این حمله میتوانست با حمله MD5 همراه باشد، که این بزرگترین کشفی بود که در رابطه با ویروس فلیم انجام شد.»
منظور شونبرگ از حمله MD5 مجموعه حملات مخربی است که یک هفته پیش از انتشار ویروس فلیم و با هدف قرار دادن فایلهایی با کارکرد مخرب در سیستمها انجام شد. در این حمله تلاش شده بود تا با تحریک سیستمها طوری وانمود شود که این فایلها مجاز و قابل اعتماد بوده و از سوی مایکروسافت تائید شدهاند.
در مدول مشترکی که بین فلیم و استاکسنت شناسایی شد، محققین یک ساختار دسترسی به فایلهای حساس شناسایی شد، که پیش از این در بررسیهای سال 2010 در ویروس استاکسنت نیز مشاهده شده بود. به باور محققین این ساختار دسترسی برای اولین بار در روز 22 ژوئن 2009 و در حمله ویروس استاکسنت به کار گرفته شده است.
این ساختار موجب افزایش امکان دسترسی حملهکنندگان به بخشهای حساس یک سیستم میشد و از این طریق به آنها این امکان را میداد که کدهای مخرب خود را بر روی سیستم اجرا کنند. البته هم این ساختار و هم ساختار اجرای خودکار ویروس، در نسخههای بعدی استاکسنت که در سال 2010 منتشر شد، حذف شده بود. پس از حذف ساختار اجرای خودکار، ساختار .Ikn جایگزین آن شد، که همین ساختار هم موجب مشهور شدن ویروس استاکسنت شد. در سال 2010 و پس از انتشار استاکسنت، مایکروسافت ساختارهای جایگزین شده را شناسایی کرده و آن را مسدود کرد.
دلیل اینکه این مدول مشترک بین فلیم و استاکسنت منتشر شده در سال 2009 به تازگی مورد بررسی و شناسایی قرار گرفته، این است که تاکنون محققین تنها بر نسخهای از استاکسنت که در سال 2010 منتشر شد، تمرکز داشتهاند. میزان شیوع و انتشار نسخه سال 2010 استاکسنت بیشتر بود و همچنین در آن از چهار ساختار "روز صفر" استفاده شده بود و به همین جهت این نسخه بیشتر از نسخه سال 2009 مورد توجه قرار گرفت.
فلیم، جاسوسی تمام عیار که ناکام ماند
فلیم اولین بار در ماه می و از سوی آزمایشگاه شرکت کسپراسکی شناسایی شد. این بدافزار که هدف اصلی آن نفوذ به سیستمهای خاورمیانه بود، به مدت دو سال فعال بوده است. محققین تعداد زیادی پلاگین را شناسایی کرده بودند که به این ویروس امکان سرقت اسناد، خواندن مکالمات متنی یک رایانه و یا ضبط مکالماتی که از طریق اسکایپ انجام میگیرد، را داده بوده است.
پیش از این گزارش شده بود که ویروس فلیم، نظیر استاکسنت این امکان را داشته که با استفاده از ساختار انتشار خودکار و .Ikn که در استاکسنت استفاده شده بود، از طریق پورت یو اس بی منتشر شود. این ویروس برای انتشار در بین رایانههای درون یک شبکه محلی نیز از اسپولر چاپی استفاده میکند که در استاکس نت استفاده شده بود. البته هنوز به درستی مشخص نیست که گروههایی که این دو ویروس را تولید کردهاند، تنها منبعی مشترک از ساختارها داشتهاند یا اینکه به کلی گروه مشترک بوده و با همکاری با هم کدها را تولید کردهاند.
این حقیقت که مدول استفاده شده در استاکس نت و فلیم تقریبا مشابه هم هستند، نشاندهنده آن است که دو گروه مجزایی که این ویروسها را تولید کردهاند، نه تنها کدهای باینری، بلکه کد اصلی ساختار انتشار خودکار را با هم به اشتراک گذارده بودند و این بدان معناست که ارتباط این دو گروه نزدیکتر از آن چیزی بوده است که پیش از این تصور میشد.
شونبرگ میگوید: «این کاملا نشان میدهد که این دو گروه رابطه تنگاتنگی داشتهاند. آنها مشکلی با دادن کدهای مرجع خود به یکدیگر نداشتهاند.»
استاکسنت، دوکو و فلیم؛ پروژههایی موازی از سوی یک دولت
محققین تاکنون به این باور رسیدهاند که فلیم بخشی از یک پروژه موازی بوده با استاکسنت بوده است. گروهی که این ویروس و خواهر خوانده آن؛ یعنی "دوکو" را تولید کردهاند، گروهی بودهاند که دولت یک کشور آنها را استخدام کرده است. این دولت همان دولتی بوده که در پشت پرده تولید استاکسنت نیز قرار داشته است. گروه به کار گرفته شده از سوی این دولت فلیم را در فرآیندی جدا از استاکسنت و با اهدافی متفاوت تولید کرده است. اکنون محققین بر این عقیدهاند که تولیدکنندگان استاکسنت در مراحل اولیه تولید این ویروس، از بخشی از کد ویروس فلیم استفاده کردهاند، (که احتمالا این امر به دلیل فشار زمانی برای تحویل و انتشار استاکسنت بوده است) اما در مراحل بعد این بخش را حذف کرده و استاکسنت را در فرآیندی جداگانه تولید کردهاند.
این محققین عنوان میکنند که احتمالا فلیم در تابستان 2008 تولید شده و حتی زمانی که گروه تولیدکننده استاکسنت بین ژانویه و ژوئن 2009 در حال تولید این ویروس بودند، فلیم به تکامل رسیده بوده است. به محض اینکه مدول فلیم از ویروس استاکسنت حذف شد، دو تیم سازنده ویروس شروع به تکمیل و انتشار این ویروسها کردند.
تیمی که بر روی ویروس استاکسنت کار میکرده، این بدافزار را به عنوان سلاحی سایبری و با هدف تخریب تولید کرده است، در حالی که تیم تولیدکننده فلیم، از مدول استاکسنت استفاده کرده، تا به ابزاری قوی برای جاسوسی دست یابد.
مطالعات روی این دو ویروس ادامه دارد تا تشابهات موجود میان آنها مشخص شود و به همین جهت محققین میگویند هنوز کشفیات بیشتری در این زمینه در راه است.
شونبرگ در پایان میگوید: «همین الان من 216 فایل در ایمیل خود دارم که به نظر میرسد تمام آنها پلاگینهای به کار رفته در فلیم باشند. من اطمینان دارم که بسیاری از آنها احتمالا تکراری هستند (با پلاگینهایی که در ویروس استاکسنت به کار رفته). اما، ما نیاز به کارکنان جدید زیادی داریم تا بتوانیم آنها را تحلیل کنیم.»
منبع: فارس
دو ویروس کاملا به هم مرتبط هستند
محققین اخیرا دریافتهاند که مدول اصلی که در کد ویروس فلیم به کار رفته است، کاملا مشابه مدول اصلی به کار رفته در اولین نسخه ویروس استاکسنت است. به همین جهت این محققین اعلام کردهاند که این دو ویروس کاملا به یکدیگر مرتبط هستند.
محققین آزمایشگاه شرکت روسی "کسپراسکی" دریافتهاند که بخشی از مدول مربوط به انتشار خودکار ویروس از طریق پورتهای "یو اس بی" که در ویروس فلیم به کار رفته است، در نسخهای از ویروس استاکسنت که در سال 2009 و در پروژهای مشترک از سوی آمریکا و رژیم صهیونیستی در ایران منتشر شد هم، وجود دارد. این مدول که از آن به عنوان منبع 207 نام برده میشود، در نسخههای بعدی استاکسنت حذف شد، اما همچنان به عنوان پلت فرمی باقی ماند تا بتوان از آن در نسخههای نهایی و کاملی نظیر فلیم که امروز برای ما شناخته شده است، به کار رود.
محققین بر این باورند که پیش از آنکه استاکسنت و فلیم هر یک در جهتی جداگانه و متفاوت به کار گرفته شوند، حملهکنندگان از مدول ویروس فلیم در پروژه استاکسنت خود استفاده کردهاند. این محققین مشابهتهای میان استاکسنت و فلیم را در اینترنت منتشر کردهاند.
MD5 پیش زمینهای برای حمله فلیم
"روئل شونبرگ" محقق ارشد آزمایشگاه کسپراسکی در امور ویروسهای رایانهای در اینباره میگوید: «به عقیده من، این حمله میتوانست با حمله MD5 همراه باشد، که این بزرگترین کشفی بود که در رابطه با ویروس فلیم انجام شد.»
منظور شونبرگ از حمله MD5 مجموعه حملات مخربی است که یک هفته پیش از انتشار ویروس فلیم و با هدف قرار دادن فایلهایی با کارکرد مخرب در سیستمها انجام شد. در این حمله تلاش شده بود تا با تحریک سیستمها طوری وانمود شود که این فایلها مجاز و قابل اعتماد بوده و از سوی مایکروسافت تائید شدهاند.
در مدول مشترکی که بین فلیم و استاکسنت شناسایی شد، محققین یک ساختار دسترسی به فایلهای حساس شناسایی شد، که پیش از این در بررسیهای سال 2010 در ویروس استاکسنت نیز مشاهده شده بود. به باور محققین این ساختار دسترسی برای اولین بار در روز 22 ژوئن 2009 و در حمله ویروس استاکسنت به کار گرفته شده است.
این ساختار موجب افزایش امکان دسترسی حملهکنندگان به بخشهای حساس یک سیستم میشد و از این طریق به آنها این امکان را میداد که کدهای مخرب خود را بر روی سیستم اجرا کنند. البته هم این ساختار و هم ساختار اجرای خودکار ویروس، در نسخههای بعدی استاکسنت که در سال 2010 منتشر شد، حذف شده بود. پس از حذف ساختار اجرای خودکار، ساختار .Ikn جایگزین آن شد، که همین ساختار هم موجب مشهور شدن ویروس استاکسنت شد. در سال 2010 و پس از انتشار استاکسنت، مایکروسافت ساختارهای جایگزین شده را شناسایی کرده و آن را مسدود کرد.
دلیل اینکه این مدول مشترک بین فلیم و استاکسنت منتشر شده در سال 2009 به تازگی مورد بررسی و شناسایی قرار گرفته، این است که تاکنون محققین تنها بر نسخهای از استاکسنت که در سال 2010 منتشر شد، تمرکز داشتهاند. میزان شیوع و انتشار نسخه سال 2010 استاکسنت بیشتر بود و همچنین در آن از چهار ساختار "روز صفر" استفاده شده بود و به همین جهت این نسخه بیشتر از نسخه سال 2009 مورد توجه قرار گرفت.
فلیم، جاسوسی تمام عیار که ناکام ماند
فلیم اولین بار در ماه می و از سوی آزمایشگاه شرکت کسپراسکی شناسایی شد. این بدافزار که هدف اصلی آن نفوذ به سیستمهای خاورمیانه بود، به مدت دو سال فعال بوده است. محققین تعداد زیادی پلاگین را شناسایی کرده بودند که به این ویروس امکان سرقت اسناد، خواندن مکالمات متنی یک رایانه و یا ضبط مکالماتی که از طریق اسکایپ انجام میگیرد، را داده بوده است.
پیش از این گزارش شده بود که ویروس فلیم، نظیر استاکسنت این امکان را داشته که با استفاده از ساختار انتشار خودکار و .Ikn که در استاکسنت استفاده شده بود، از طریق پورت یو اس بی منتشر شود. این ویروس برای انتشار در بین رایانههای درون یک شبکه محلی نیز از اسپولر چاپی استفاده میکند که در استاکس نت استفاده شده بود. البته هنوز به درستی مشخص نیست که گروههایی که این دو ویروس را تولید کردهاند، تنها منبعی مشترک از ساختارها داشتهاند یا اینکه به کلی گروه مشترک بوده و با همکاری با هم کدها را تولید کردهاند.
این حقیقت که مدول استفاده شده در استاکس نت و فلیم تقریبا مشابه هم هستند، نشاندهنده آن است که دو گروه مجزایی که این ویروسها را تولید کردهاند، نه تنها کدهای باینری، بلکه کد اصلی ساختار انتشار خودکار را با هم به اشتراک گذارده بودند و این بدان معناست که ارتباط این دو گروه نزدیکتر از آن چیزی بوده است که پیش از این تصور میشد.
شونبرگ میگوید: «این کاملا نشان میدهد که این دو گروه رابطه تنگاتنگی داشتهاند. آنها مشکلی با دادن کدهای مرجع خود به یکدیگر نداشتهاند.»
استاکسنت، دوکو و فلیم؛ پروژههایی موازی از سوی یک دولت
محققین تاکنون به این باور رسیدهاند که فلیم بخشی از یک پروژه موازی بوده با استاکسنت بوده است. گروهی که این ویروس و خواهر خوانده آن؛ یعنی "دوکو" را تولید کردهاند، گروهی بودهاند که دولت یک کشور آنها را استخدام کرده است. این دولت همان دولتی بوده که در پشت پرده تولید استاکسنت نیز قرار داشته است. گروه به کار گرفته شده از سوی این دولت فلیم را در فرآیندی جدا از استاکسنت و با اهدافی متفاوت تولید کرده است. اکنون محققین بر این عقیدهاند که تولیدکنندگان استاکسنت در مراحل اولیه تولید این ویروس، از بخشی از کد ویروس فلیم استفاده کردهاند، (که احتمالا این امر به دلیل فشار زمانی برای تحویل و انتشار استاکسنت بوده است) اما در مراحل بعد این بخش را حذف کرده و استاکسنت را در فرآیندی جداگانه تولید کردهاند.
این محققین عنوان میکنند که احتمالا فلیم در تابستان 2008 تولید شده و حتی زمانی که گروه تولیدکننده استاکسنت بین ژانویه و ژوئن 2009 در حال تولید این ویروس بودند، فلیم به تکامل رسیده بوده است. به محض اینکه مدول فلیم از ویروس استاکسنت حذف شد، دو تیم سازنده ویروس شروع به تکمیل و انتشار این ویروسها کردند.
تیمی که بر روی ویروس استاکسنت کار میکرده، این بدافزار را به عنوان سلاحی سایبری و با هدف تخریب تولید کرده است، در حالی که تیم تولیدکننده فلیم، از مدول استاکسنت استفاده کرده، تا به ابزاری قوی برای جاسوسی دست یابد.
مطالعات روی این دو ویروس ادامه دارد تا تشابهات موجود میان آنها مشخص شود و به همین جهت محققین میگویند هنوز کشفیات بیشتری در این زمینه در راه است.
شونبرگ در پایان میگوید: «همین الان من 216 فایل در ایمیل خود دارم که به نظر میرسد تمام آنها پلاگینهای به کار رفته در فلیم باشند. من اطمینان دارم که بسیاری از آنها احتمالا تکراری هستند (با پلاگینهایی که در ویروس استاکسنت به کار رفته). اما، ما نیاز به کارکنان جدید زیادی داریم تا بتوانیم آنها را تحلیل کنیم.»
منبع: فارس