بدافزار شعله

فلیم (به انگلیسی: Flame) یا شعله^[۲] که به عنوان Flamer یا sKyWlper و Skywiper نیز شناخته می‌شود، قطعه پیچیده‌ای از یک بدافزار کامپیوتر است که رایانه‌های با سیستم‌عامل ویندوز را مورد حمله قرار می‌دهد. این بدافزار از سال ۲۰۰۶ شروع به فعالیت کرده است^[۱] و برای جاسوسی اینترنتی و تخریب اطلاعات مهم^[۳] در کشورهای خاورمیانه و اروپای شرقی استفاده می‌شود. این بدافزار اولین بار در سال ۲۰۰۷ میلادی توسط آنتی‌ویروس‌های Prevx شناسایی شد.

در گزارش‌ها آمده که sKyWlper قطعاً پیچیده‌ترین نرم‌افزار مخرب بوده است که در طی فعالیتشان دیده شده است و مسلماً این پیچیده‌ترین نرم‌افزار مخربی بوده که تا کنون کشف شده است.

بررسی‌های اولیه نشان می‌داد که بیشترین آلودگی رایانه‌ای به ترتیب کشورهای ایران ۱۸۹ رایانه، اسرائیل ۹۸ رایانه، سودان ۳۲ رایانه را تحت تأثیر قرار داده است.^[۱]

تاریخچه

به نظر می‌رسد این بدافزار که اولین بار در سال ۲۰۰۷ توسط هوش مصنوعی آنتی‌ویروس‌های Prevx شناسایی شد، از سال ۲۰۰۶ شروع به فعالیت کرده باشد.^[۱] فلیم در می ۲۰۱۲، به وسیلهٔ آزمایشگاه کاسپرسکی، مرکز واکنش سریع به مشکلات رایانه‌ای ایران و آزمایشگاه CrySyS دانشگاه تکنولوژی و اقتصاد بوداپست، تجزیه و تحلیل شد؛ هنگامی که اتحادیه بین‌المللی مخابرات سازمان ملل متحد از آزمایشگاه کاسپرسکی خواسته بود گزارش‌های حاکی از ویروس مؤثر بر رایانه‌های وزارت نفت ایران را بررسی کند. همان‌طور که آزمایشگاه کاسپرسکی بررسی کرده بود، آن‌ها یک ام‌دی۵ هَش و نام فایل که به نظر می‌رسید تنها بر روی ماشین‌های مشتری‌های خاورمیانه است را کشف کردند. بعد از کشف قطعات بیشتر محققان به برنامه نام فلیم (شعله) دادند. در ابتدا شرکت کاسپرسکی اعلام کرد که بدافزار فلیم از فوریه ۲۰۱۰ فعال شده است و بعداً CrySys گزارش داد که نام فایل کامپوننت اصلی در اوایل دسامبر ۲۰۰۷ مشاهده شده بود. با این حال تاریخ ایجاد آن به‌طور مستقیم مشخص نمی‌شود چون تاریخ ایجاد ماژول‌های مخرب به دروغ به اوایل سال ۱۹۹۴ تنظیم شده است. در بررسی‌های بعدی با کشف یک سرور که نرم‌افزار فلیم را کنترل می‌کرد مشخص شد که این بدافزار از سال ۲۰۰۶ فعال بوده است.^[۱]

مشخصات

بدافزار یک برنامه نسبتاً بزرگ در اندازه ۲۰ مگابایت است که تا حدی با زبان برنامه‌نویسی لوا با کدهای سی++ لینک شده نوشته شده است و به ماژول‌های دیگر حمله‌کننده اجازه می‌دهد بعد از عفونت اولیه لود شوند. بدافزار از ۵ روش رمزنگاری مختلف استفاده می‌کند و یک پایگاه داده، اس‌کیوال لایت، برای ذخیره اطلاعات ساخت‌یافته استفاده می‌کند. روش مورد استفاده برای آلوده کردن کد در سایر پروسه‌ها به صورت مخفی است و ماژول‌های آلوده در لیست ماژول‌های لوده شده، در یک فرایند دیده نمی‌شوند. همچنین صفحات حافظه مورد استفاده تروجان، در برابر خواندن، نوشتن و اجرا کردن محافظت شده‌اند که در نتیجه به وسیلهٔ برنامه‌های سطح کاربر قابل‌دسترس نیستند.

این پروژه شامل سه بدافزاری است که به گفته متخصصان، یکی از آن‌ها همچنان مشغول به کار است.^[۱]

کاربرد

مانند سلاح سایبری که قبلاً شناخته شده بود، یعنی استاکس‌نت و دوکو، این بدافزار به صورت هدفمند ساخته شده و می‌تواند از طریق قابلیت روت‌کیتها، از نرم‌افزارهای امنیتی فعلی فرار کند. هنگامی که یک سیستم آلوده می‌شود، بدافزار فلیم می‌تواند بروی شبکه محلی یا از طریق فلش دیسک به سیستم‌های دیگر پخش شود و می‌تواند صدا، نماگرفت یا فعالیت‌های کی‌برد و ترافیک شبکه را ضبط کند. برنامه همچنین مکالمات اسکایپ را ضبط می‌کند و می‌تواند سیستم آلوده را به Bluetooth beacons تبدیل کند که تلاش می‌کند اطلاعات تماس را از بلوتوث اطراف جمع‌آوری کند. این داده‌ها همراه به اسناد محلی به سرور فرماندهی و کنترل ارسال می‌شود.
برخلاف استاکس‌نت که برای آسیب رساندن به یک فرایند صنعتی طراحی شده بود، فلیم به نظر می‌رسد که صرفاً برای مقاصد جاسوسی نوشته شده است. به نظر نمی‌رسد که برای یک صنعت خاص را هدف قرار داده باشد، بلکه یک ابزار حمله کامل است که برای اهداف سایبری و جاسوسی عمومی طراحی شده است.
فلیم هیچ تاریخ پایان عمر را به صورت توکار ندارد تا آن را غیرفعال کند، اما اپراتورها می‌توانند یک ماژول kill ارسال کنند که همه رده‌پاهای فایل‌ها فلیم را از سیستم پاک کند.

نظریه‌ها در مورد مبدأ

روزنامه واشینگتن پست در گزارشی از همکاری آمریکا و اسرائیل در تولید بدافزار موسوم به فلیم (Flame) با هدف خرابکاری در برنامه اتمی ایران خبر داده است. این روزنامه به نقل از منابع مطلع ناشناس نوشت: «هدف از تولید این بدافزار، جاسوسی از شبکه‌های کامپیوتری در ایران و کسب اطلاعات لازم برای ایجاد اخلال در پیشرفت برنامه هسته‌ای این کشور بوده است.»^[۴]

دستور پاک‌سازی

سازندگان بدافزار «فلیم» (Flame)، با فرستادن دستور «خودکشی»، آن را از برخی کامپیوترهای آلوده، پاک کرده‌اند. شرکت سیمانتک اعلام کرده است که در بعضی از کامپیوترهایی که به «فلیم» آلوده شده بودند، رد فرمانی فوری از طرف سازندگانش را پیدا کرده‌اند که برای پاک کردن کامل بدافزار فلیم از روی کامپیوترها طراحی شده بود.^[۵]

جستارهای وابسته

منابع

↑ ^۱٫۰ ^۱٫۱ ^۱٫۲ ^۱٫۳ ^۱٫۴ ^۱٫۵ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml
↑ فلیم به معنی شعله یکی ار رشته‌هایی است که در کد یافته شده است.
↑ BBC فارسی - دانش و فن - بدافزار فلیم 'به جز جاسوسی، خرابکاری هم می‌کند.'
↑ BBC فارسی - ایران - 'همکاری آمریکا و اسرائیل در تولید بدافزار فلیم'
↑ BBC فارسی - جهان - سازندگان بدافزار "فلیم" به آن دستور 'خودکشی' داده‌اند

ویکی‌پدیا انگلیسی

[bbc.co.uk-1] ۱٫۰ ^۱٫۱ ^۱٫۲ ^۱٫۳ ^۱٫۴ ^۱٫۵ http://www.bbc.co.uk/persian/science/2012/09/120918_l13_flame_vid.shtml

[2] فلیم به معنی شعله یکی ار رشته‌هایی است که در کد یافته شده است.

[3] BBC فارسی - دانش و فن - بدافزار فلیم 'به جز جاسوسی، خرابکاری هم می‌کند.'

[4] BBC فارسی - ایران - 'همکاری آمریکا و اسرائیل در تولید بدافزار فلیم'

[5] BBC فارسی - جهان - سازندگان بدافزار "فلیم" به آن دستور 'خودکشی' داده‌اند

[۱]

[۲]

[۳]

[۴]

[۵]

ن ب و جنگ سایبری در ایران
رخدادها	عملیات بازی‌های المپیک عملیات مرلین Operation Ababil "Operation Newscaster" "Operation Cleaver"
گروه‌ها	تیم الفین بچه گربه جذاب عدل علی
بدافزارها	استاکس‌نت شعله دوکیو استارس مهدی شامون
مرتبط	ارتش سایبری ایران پروژه عنکبوت حمله سایبری آبان ۱۴۰۰