ردپای تازه از بدافزار فلیم در ایران

شرکت امنیتی کاسپرسکی در روسیه در روزهای نخستین ماه ژوئن ۲۰۱۲ برای اولین بار از حمله سایبری به برخی از کشورهای خاورمیانه با بدافزار "فلیم" خبر داد. ویروس یادشده از قرار عملیات‌ پیچیده‌ای همچون ثبت ترافیک شبکه، ضبط مکالمات صوتی، ثبت رکورد صفحه کلید، نفوذ به پست الکترونیک و برداشتن عکس از صفحات اینترنتی را انجام می‌دهد.

کاسپرسکی حال به اطلاعات جدیدی در مورد این ویروس دست یافته است. کارشناسان این شرکت از شناسایی چندین سرور خبر می‌دهند که با رایانه‌های مبتلا به "فلیم" در ارتباط‌اند و آنها را کنترل می‌کنند. یکی از این سرورهای فرمانده در طول تنها یک هفته ۵/۵ گیگا بایت اطلاعات از ۵ هزار رایانه‌ی آلوده جمع‌آوری کرده است.

لابراتوار کاسپرسکی در هنگام کشف ویروس یادشده اعلام کرد که اکثر آلودگی‌ها به این بدافزار (۱۸۹ مورد) در ایران یافت شده است. مواردی نیز (۹۸ مورد) در اسرائیل و مناطق تحت کنترل حکومت خودگردان فلسطین مشاهده شدند. این شرکت بار دیگر اطلاعات پیشین را تأیید کرد و ایران و سودان را دو کشوری دانست که مورد بیشترین حملات قرار گرفته‌اند.

کارشناسان کاسپرسکی سعی کرده‌اند به اطلاعات موجود بر روی یکی از سرورهای فرمانده نفوذ کنند. بنا بر اعلام این شرکت، اطلاعات اما آن‌چنان پیچیده رمزگذاری شده‌اند که شکستن قفل آنها تقریبا غیرممکن است.

بدافزار جدید در ایران و لبنان

کارشناسان کاسپرسکی و همکاران آنان در شرکت آمریکایی "سیمنتک" در هنگام تجزیه و تحلیل سرورهای فرمانده به نرم‌افزاری هدایت‌کننده به نام "Newsforyou" (اخبار برای شما) برخورده‌اند. این نرم‌افزار طوری طراحی شده که شبیه نرم‌افزارهای معمول برای کنترل وبسایت‌ها عمل می‌کند.

بنا بر اعلام کارشناسان، "نیوز فور یو" با استفاده از بدافزار فلیم سه برنامه دیگر به نام‌های "SP"، "SPE" و "IP" را مدیریت می‌کند. این سه برنامه به احتمال بدافزارهای دیگر مرتبط با فلیم هستند.

نه کاسپرسکی و نه سیمنتک هنوز نتوانسته‌اند این سه برنامه را تحت کنترل خود درآورند.

دست‌کم یکی از این سه بدافزار در اینترنت فعال بوده یا هنوز هم در حال فعالیت است. کاسپرسکی می‌گوید تعدادی از رایانه‌های موجود در ایران و لبنان به این بدافزارها آلوده‌اند. این رایانه‌ها تلاش می‌کنند با سرورهای فرمانده ارتباط برقرار کنند.

مشاهده چند نام مستعار

شرکت روسی کاسپرسکی از سوی اتحادیه بین‌المللی مخابرات (یکی از نهادهای سازمان ملل متحد) مأموریت یافته دلایل انتشار فلیم و مسئولان آنان را شناسایی کند. این شرکت روسی و همچنین شرکت سیمنتک در این مورد اما اطلاعاتی منتشر نکرده‌اند.

در بیانیه‌ی کاسپرسکی تنها به کامنت‌ها و چهار اسم مستعار اشاره شده که از قرار روی یکی از سرورهای فرمانده مشاهده شده‌اند. بنا بر اعلام کاسپرسکی، تشخیص هویت این افراد به ادامه تحقیقاتی بستگی دارد که با همکاری دستگاه‌های ذیربط در جریان‌اند.
 

پس از کشف فلیم هیچ شخص یا گروهی مسئولیت نوشتن یا انتشار آن را بر عهده نگرفت. ساختار این ویروس و رمزگذاری فوق‌العاده پیچیده‌ی اطلاعات دزدیده‌شده اما نشان می‌دهند که تنها یک دولت یا گروه مهندسی متکی به یک دولت می‌تواند طراح آن باشد.

فلیم با حدود ۲۰ مگابایت حجم، به نسبت بدافزار بزرگی است. این ویروس از ۲۰ مجموعه نرم‌افزار مختلف تشکیل شده و آن‌طور که شرکت کاسپرسکی می‌گوید قابلیت‌های آن و تعداد نرم‌افزارها قابل افزایش هستند.

عمر فلیم ظاهرا بیش از آن چیزی است که تا کنون تصور می‌شد. کاسپرسکی در ماه ژوئن اعلام کرد که این بدافزار تا ۵ سال عمر دارد. اما حال یکی از کارشناسان این شرکت می‌گوید که این ویروس فعالیت خود را از دسامبر ۲۰۰۶ آغاز کرده و از آن زمان دائم تکامل یافته است. این روند همچنان ادامه دارد.

برخی از مقام‌های پیشین و کنونی نزدیک به محافل دولتی در آمریکا ظاهرا به خبرگزاری رویترز گفته‌اند که طراحی و انتشار ویروس "استاکس‌نت" کار ایالات متحده است و این کشور در طراحی فلیم هم "نقش داشته است".

استاکس‌نت نخستین بدافزار مهاجم به ایران بود که در سال ۲۰۱۰ نام آن بر سر زبان‌ها افتاد. دستگاه‌های فعال با نرم‌افزارهای شرکت زیمنس آلمان، هدف این بدافزار بودند. چنین دستگاه‌هایی در تأسیسات هسته‌ای ایران وجود دارند.

کاسپرسکی و سیمنتک گمان می‌کنند که مسئولیت استاکس‌نت و فلیم با یک منبع است، زیرا بخشی از کدهای هر دو برنامه تقریبا منطبق بر هم هستند. اهداف این دو بدافزار هم نظریه‌ی یادشده را تقویت می‌کنند؛ استاکس‌نت تأسیسات هسته‌ای ایران را هدف قرار داد و فلیم در خاور میانه و خاور نزدیک جاسوسی می‌کند.