ایران و جنگ‌های سایبری

در اواخر سال ١٣٩٠ نامه‌ای از سوی حراست وزارتخانه‌ها و سازمان‌های کشور درباره انتشار ویروس جدیدی که اطلاعات دستگاه‌ها را به صورت دائمی و برگشت‌ناپذیر، حذف می‌کند ارسال می‌شود.

 

هم‌زمان چندین شرکت در خاورمیانه درباره بدافزاری که اقدام به حذف داده‌های حساس می‌کند، به اتحادیه بین‌المللی مخابرات شکایت می‌کنند. شرکت کسپراکسی از سوی این اتحادیه مأمور می‌شود درباره این بدافزار احتمالی تحقیق کند. در سوم اردیبهشت ١٣٩١ مرکز مدیریت امداد و هماهنگی عملیات رخداداهای رایانه‌ای ایران -ماهر- از حمله بزرگ سایبری علیه سیستم‌های وزارت نفت و چندین شرکت ملی فعال در زمینه نفت و گاز خبر می‌دهد. در اطلاعیه مرکز ماهر به ویروسی با عنوان «وایپر» اشاره شده که اطلاعات دیسک سخت سیستم‌ها را به‌طور کامل حذف می‌کند. هفتم خرداد همان سال مرکز ماهر، اطلاعات بیشتری درباره حملات سایبری و بدافزار استفاده‌شده در آن منتشر می‌کند. در خبر از بدافزار جدید با عنوان Flame یاد می‌شود.

 

در همان تاریخ شرکت کسپراسکی نیز جزئیاتی درباره ویروسی با همان نام منتشر می‌کند. یک روز پس از آن مؤسسه تحقیقاتی CrySyS وابسته به دانشگاه بوداپست مجارستان یک گزارش مفصل ٦٤صفحه‌ای درباره بدافزاری با نام اسکای وایپر منتشر می‌کند. در پی اعلام جزئیات فنی بدافزار Flame از سوی مرکز ماهر، در سایت مؤسسه CrySyS به یکسان‌بودن دو بدافزاراسکای وایپر و Flame اشاره می‌شود. کرانه باختری در فلسطین، سودان و سوریه، با فاصله بیشتر، از دیگر اهداف این بدافزار محسوب می‌شوند. اندازه برنامه اصلی Flame بیش از شش مگابایت است و مجموعه کامل برنامه‌های این بدافزار حدود ٢٠ مگابایت فضا اشغال می‌کند.

 

ویروس‌نویسان اغلب برای انتشار راحت‌تر فایل‌های مخرب، فایل‌هایی با حجم کم می‌سازند، اما ساختار پیچیده این بدافزار نیاز به کتابخانه‌های پیچیده‌ای همچون Zlib و مفسر Lua دارد که باعث ایجاد این حجم زیاد می‌شود. برای بررسی دقیق عملکرد ویروس‌های استاکسنت و دوکو، ماه‌ها وقت صرف شده بود و در نگاه اول به‌راحتی می‌شد فهمید که بررسی و کسب اطلاعات دقیق درباره ویروس Flame بسیار دشوارتر است و به زمان بیشتری نیاز دارد؛ برای نمونه یکی از بخش‌های کوچک و رمزگذاری‌شده بدافزار Flame حاوی بیش از ٧٠‌ هزار سطر برنامه‌نویسی به زبان C است و بیش از ١٧٠ عبارت رمز‌گذاری شده در آن به کار رفته است. توابع و بخش‌های مختلف آن به شکل فوق‌پیچیده‌ای به یکدیگر متصل شده‌اند. این بدافزار با تزریق خود به پروسه‌های مجاز سیستم‌عامل، اجرا و به ‌عنوان یک سرویس در سیستم‌عامل ویندوز ثبت می‌شود.

 

از گواهی‌نامه و راه‌اندازهای جعلی استفاده کرده و خود را در کِرنِر در پایین‌ترین سطح سیستم اجرا می‌کند. برخی از فایل‌های بدافزار در ظاهر متعلق به شرکت مایکروسافت هستند؛ برای مثال یک فایل در ظاهر Client windows Authentication Client ٥,١ با شماره ساخت دوهزارو ٦٠٠ و متعلق به microsoft corporation است، ولی بررسی دقیق‌تر نشان می‌دهد مانند ویروس‌های استاکسنت و دوکو هیچ‌یک از فایل‌های بدافزار Flame کلید اصالت‌سنجی معتبری ندارند.

 

Flame قابلیت تشخیص بیش از صد محصول امنیتی اعم از ضدویروس‌ها، برنامه‌های ضدجاسوسی و دیوارهای آتش و توانایی فرارصد آنها را دارد و خود را از طریق حافظه‌های usb flash تکثیر کرده و با استفاده از ضعف‌های امنیتی که برخی از آنها در بدافزار معروف استاکسنت نیز به کار گرفته شده بودند، در سطح شبکه منتشر می‌کند. برخلاف ویروس‌های رایج، این بدافزار به‌کندی از طریق حافظه‌های usb انتشار می‌یابد تا جلب توجه نکرده و به ‌عنوان یک رفتار مخرب از سوی ابزارهای امنیتی شناخته نشود. عملیات متنوع و پیچیده این بدافزار از طریق چندین سرور کنترل، فرماندهی، مدیریت و هدایت می‌شود. Flame از فعالیت‌های کاربر تصویربرداری و تماس‌های صوتی برقرارشده از طریق سیستم آلوده را شنود و ضبط می‌کند. اطلاعات جمع‌آوری‌شده را در بانک داده‌های SQL Li ذخیره کرده و آنها را به سرورهای کنترل و فرماندهی ارسال می‌کند.

 

در اوایل خردادماه ٩١ این سرورها فرمان خودکشی را به بدافزار دادند. باز هم آمریکا و اسرائیل متهمان اصلی در ساخت و انتشار بدافزار Flame در قالب یکی از بزرگ‌ترین حملات سایبری هستند؛ هرچند همواره از ارائه توضیحات دراین‌باره طفره رفتند.

 

کشف بدافزار فوق‌پیچیده Flame یک‌بار دیگر نشان داد، تنها با اتکا به ضدویروس‌ها نمی‌توان شبکه‌ها را از گزند حملات سایبری فوق‌پیچیده محافظت کرد. شاید اثرات مخرب بدافزار Flame برای سیستم‌های حیاتی کشور امکان اندازه‌گیری نداشته باشد، اما رویکرد مدیران ارشد فناوری اطلاعات کشور، پس از شناسایی این بدافزار كار را برای برپا‌کنندگان این نوع حملات سایبری بسیار دشوارتر کرد.