آخرین اخبار
facebook Telegram RSS ارسال به دوستان نسخه چاپی
کد خبر : 9169
تاریخ انتشار : 28 خرداد 1391 3:38
تعداد بازدید : 619

نتایج کامل بررسی‌ کارشناسان کسپرسکی درباره بدافزار Flame اعلام شد

رد پای استاکس نت در بدافزار شعله

محققان با بررسی کد کرم Flame دریافتند که این ابزار خرابکارانه با کرم استاکس نت بی ارتباط نبوده و هر دو از یک ریشه برخاسته اند.

فناوران - به گزارش روابط عمومی شرکت پارس آتنا دژ (پاد) به نقل از متخصصان Kaspersky Lab، ماژول مهمی که Flame برای تکثیر خود به کار برده، مشابه همان ماژولی است که استاکس‌نت از آن استفاده کرده است. این ماژول در واقع یک نسخه ابتدایی از کرم استاکس‌نت است که در سال 2009، یعنی بیش از یک سال زودتر از شناسایی نسخه اصلی این کرم به وسیله شرکت ضد ویروس بلاروسی VirusBlokAda، در اینترنت فعال بود. عده‌ای از کارشناسان کرم بدافزار Flame را مستقیما به استاکس‌نت مربوط می‌دانند؛ ویروسی که به گفته بسیاری از کارشناسان سایت غنی‌سازی هسته‌ای نطنز را هدف حملات خود قرار داده بود. ظهور استاکس‌نت و کمی بعد از آن بدافزار Flame از وقوع یک دوره جنگ سایبری و حملات شدید به اهداف گوناگونی در ایران دارد که سال‌ها به طول خواهد انجامید.
محققان کسپرسکی بر این باورند که نسخه‌های ابتدایی استاکس‌نت در واقع از دل چیزی برخاسته است که به آن «پلات‌فورم شعله» می‌گویند. بر اساس مطلبی که در وبلاگ Securelist شرکت کسپرسکی منتشر شده است، احتمال می‌رود که توسعه استاکس‌نت و Flame از سال 2009 مسیر تازه‌ای به خود گرفته بود، زیرا دو تیم برنامه‌نویسی مختلف با اهدافی متفاوت به صورت مستقل روی یک پلات‌فورم واحد مشغول به کار شدند.
متخصصان Kaspersky Lab و شرکت‌های دیگر ابتدا بر این باور بودند که استاکس‌نت و بر پایه دو ساختار نرم‌افزاری کاملا متفاوت بنا شده و شواهد زیادی برای ارتباط دادن این بدافزارها به یکدیگر وجود نداشت.
با وجود این رفته رفته دلایل و شواهد فراوانی کارشناسان را به ارتباط این بدافزارها به دیگری واداشت. از یک سو استاکس‌نت و Flame هر دو ایران و کشورهای همسایه این کشور را هدف قرار داده‌اند که پیش از این چنین الگوی رفتاری در هیچ بدافزاری دیده نشده است.
از سوی دیگر Flame به منظور تکثیر از یک کامپیوتر به کامپیوتر دیگر عمدتا از همان شیوه‌هایی استفاده می‌کند که استاکس‌نت هم برپایه آنها تکثیر و گسترش می‌یابد، مثل آلودگی از طریق USB و بهره‌گیری از آسیب‌پذیری Autorun ویندوز و یک آسیب‌پذیری دیگر دربخش پرینت. این‌گونه بود که محققان دریافتند گمان ابتدایی آنها در مورد Flame اشتباه بوده است.
متخصصان کسپرسکی در تحقیقات خود به سرنخ‌هایی رسیدند که از طریق فناوری تحلیل خودکار ویروس کسپرسکی موفق به کشف و شناسایی آن شدند. این در حالی است که محققان از طریق همین فناوری در اکتبر سال 2010 فایل خرابکارانه‌ای را شناسایی کردند که شکل تغییریافته استاکس‌نت بود. کارشناسان کسپرسکی در آن زمان با بررسی این نسخه تغییریافته، شباهت چندانی بین آن و استاکس‌نت پیدا نکردند و از این رو آن را Tocy.a نامیدند.
بیش از دو سال پیش همان گروه محققان هنگام جست‌وجو برای یافتن نمونه‌های قدیمی‌تر بدافزارهایی شبیه به شعله به کرم Tocy.a برخوردند. محققان با درنظر گرفتن تاریخچه Tocy.a و ریشه گرفتن به عنوان یکی از نسخه‌های اولیه استاکس‌نت، تحقیقات خود را گسترش دادند تا دریابند که چرا هوش مصنوعی شرکت‌های امنیتی دو کد خرابکارانه را این چنین شبیه به هم در نظر می‌گیرد، ولی با سایر بدافزارهای شناسایی شده در پایگاه داده جامعه کسپرسکی شباهتی پیدا نمی‌کند.
نتایج محققان از این قرار بود: ماژولی که در یک نمونه اولیه از استاکس‌نت پیدا شده بود، Resource 207 نام گرفت. این ماژول که کمی بیش از 350 هزار بایت حجم دارد، در Stuxnet.a به کار رفته بود تا دسترسی کامل به سیستم‌های کامپیوتری را در مهاجمان قرار دهد. پس از روی کار آمدن نسخه‌های بعدی استاکس‌نت اثری از Resource 207 دیده نشد، از این رو کارشناسان توجه بیشتری به این نسخه از استاکس‌نت نشان دادند و رد پای این نمونه اولیه را در نسخه‌های پیشرفته‌تر بدافزار استاکس‌نت شناسایی کردند.
محققان با تحقیق بیشتر دریافتند که Resource 207 تقریبا با ماژول بدافزار Flame تفاوتی ندارد. کسپرسکی هم‌اکنون Resouce 207 را یک پلاگین Flame یا به بیان دقیق‌تر «نمونه اولیه Flame» می‌نامد. در واقع Resource 207 تقریبا از هر نظر با یکی از فایل‌های Comntemporary شعله به نام mssecmgr.ocx برابری می‌کند. هر دوی این عناصر از ساختار مشابهی برخوردار است؛ فایل‌های زیرمجموعه هم نام، الگوریتم و رشته رمزگشایی مشابه و شیوه‌های کم و بیش یکسان نوشتن کد پایه.
محققان کسپرسکی همچون کارشناسان شناسایی و تطابق دست خط به این نتیجه رسیدند که بی شک بخشی از عناصر استاکس‌نت و Flame به دست یک نفر یا یک گروه خلق شده است. به اعتقاد محققان، Resource 207 پایه پلات‌فرم شعله بوده است.
کارشناسان کسپرسکی در وبلاگ Securelist نوشته‌اند: در بازه زمانی ماه ژانویه تا ژوئن 2009 که استاکس‌نت فعال شده بود، پلات‌فورم شعله هم خلق شده بود. بر اساس محاسبات ما، تاریخ ساخت بدافزار شعله به تابستان 2008 بر می‌گردد، یعنی زمانی که این کرم از ساختاری ماژولی برخوردار شده بود.
این کارشناسان معتقدند که استاکس‌نت از ماژول پایه پلات‌فرم Flame استفاده کرده است. به احتمال فراوان آن ماژول به طور خاص برای کارکرد در ساختار استاکس‌نت طراحی شده بود. به گفته محققان، این ماژول ابتدا از یک آسیب پذیری شناخته نشده موفق به نفوذ به یک سیستم کامپیوتری و کنترل کامل آن شد که مایکروسافت بعدا با انتشار وصله امنیتی MS09-025 این آسیب پذیری را پوشش داد. این ماژول سپس در سال 2010 از چرخه فعالیت خارج شد، زیرا هدایت‌کنندگان استاکس‌نت به دنبال شیوه‌های جدیدی برای نفوذ به سیستم از طریق آسیب‌پذیری بودند که مایکروسافت با عرضه وصله امنیتی MS10-046    آن را مسدود کرد. در سال 2009 تحول پلات‌فورم Flame از طریق تیمی که به طور مستقل روی استاکس‌نت کار می‌کردند، ادامه یافت. در این حال محققان کسپرسکی احتمال دادند که کار روی برنامه‌های خرابکارانه به دو گروه برنامه‌نویس مستقل سپرده شده است؛ تیم (F (Flame و تیم (D (Tilded یا همان برنامه Flame.
محققان کسپرسکی در این باره می‌گویند: هر یک از این دو گروه از سال 2007 به این سو مشغول توسعه پلات‌فورم خاص خود بوده‌اند، اما پایه و شواهد مشترکی در ساختار هر دو بدافزار به چشم می‌خورد.
علاوه بر ارتباط مستقیم بین Flame و استاکس‌نت، محققان پنج آسیب‌پذیری ناشناخته‌ای را کشف کردند که نسخه‌ای از استاکس‌نت در سال 2009 از طریق آن به سیستم‌های کامپیوتری نفوذ می‌کرد. این نسخه از استاکس‌نت در ماژول استاکس‌نت و Flame هم به کار رفته بود. کد نفوذ از طریق آن آسیب‌پذیری همچنین در نمونه دیگری از استاکس‌نت که اوایل سال 2009 فعال بود، گنجانده شده بود. کد آن نسخه استاکس‌نت در فوریه 2009 نوشته شده بود و نفوذپذیری مربوط به آن هنوز کشف نشده بود. مایکروسافت این آسیب پذیری را چهار ماه بعد با انتشار به‌روزرسانی امنیتی MS09-025 وصله کرد.
رول شوونبرگ، یکی از محققان ارشد بدافزار در کسپرسکی می‌گوید: برنامه‌نویسی که پشت حملات این حفره و حفره MS10-073 بوده، در توسعه کرم Stuxnet.b هم نقش داشته است. محققان دقیقا نمی‌دانند که چرا Resource 207 از کد استاکس‌نت حذف شد، هرچند می‌توان این اقدام را راهی برای مجزا کردن ساختار استاکس‌نت و شعله دانست. یک فرضیه می‌گوید که Flame یک ابزار جاسوسی سایبری برای مقاصد کلی است و برنامه نویسان نمی‌خواستند دو پلات‌فورم را بیش از حد لازم با هم درآمیزند.
تحقیقات متخصصان نتایج بسیار جالبی را به دنبال داشته است. دانستن این نکته که دو کد خرابکارانه با اهداف و مقاصد یکسان از یک منبع سرچشمه گرفته است، برای بسیاری از کارشناسان امنیتی تعجب آور نیست. بسیاری تصور می‌کردند که اصل و اساس بدافزار Flame به یک دولت ناشناس بر می‌گردد و نه گروه‌های هکری و مجرمان سایبری. با این حال انتشار خبر حمله Collision بی‌سابقه Flame به منظور شبیه‌سازی یک به‌روزرسانی نرم‌افزاری مایکروسافت، شک کارشناسان را به یقین تبدیل کرد.این در حالی است که گزارش‌های خبری اخیر به نقل از منابع دولتی ناشناس، ایالات متحده را عامل اصلی توسعه استاکس‌نت می‌داند. بر اساس این گزارش‌ها ممکن است آمریکا و متحدانش پس پرده بدافزار Flame هم نقش داشته باشند.


نظر شما



نمایش غیر عمومی
تصویر امنیتی :