کد QR مطلبدریافت لینک صفحه با کد QR

نتایج کامل بررسی‌ کارشناسان کسپرسکی درباره بدافزار Flame اعلام شد

رد پای استاکس‌نت در بدافزار شعله

سايت خبری ايتنا , 27 خرداد 1391 ساعت 12:28

ایتنا-برنامه‌نویسی که پشت حملات این حفره و حفره MS۱۰-۰۷۳ بوده، در توسعه کرم Stuxnet.b هم نقش داشته است.



محققان با بررسی کد کرم Flame دریافتند که این ابزار خرابکارانه با کرم استاکس‌نت بی‌ارتباط نبوده و هر دو از یک ریشه برخاسته‌اند.

به گفته متخصصان Kaspersky Lab، ماژول مهمی که Flame برای تکثیر خود به کار برده، مشابه همان ماژولی است که استاکس‌نت از آن استفاده کرده است.
این ماژول در واقع یک نسخه ابتدایی از کرم استاکس‌نت است که در سال ۲۰۰۹، یعنی بیش از یک سال زودتر از شناسایی نسخه اصلی این کرم به وسیله شرکت ضد ویروس بلاروسی VirusBlokAda، در اینترنت فعال بود.

عده‌ای از کارشناسان کرم بدافزار Flame را مستقیما به استاکس‌نت مربوط می‌دانند؛ ویروسی که به گفته بسیاری از کارشناسان سایت غنی‌سازی هسته‌ای نطنز را هدف حملات خود قرار داده بود.
ظهور استاکس‌نت و کمی بعد از آن بدافزار Flame از وقوع یک دوره جنگ سایبری و حملات شدید به اهداف گوناگونی در ایران دارد که سال‌ها به طول خواهد انجامید.

محققان کسپرسکی بر این باورند که نسخه‌های ابتدایی استاکس‌نت در واقع از دل چیزی برخاسته است که به آن «پلات‌فورم شعله» می‌گویند.
بر اساس مطلبی که در وبلاگ Securelist شرکت کسپرسکی منتشر شده است، احتمال می‌رود که توسعه استاکس‌نت و Flame از سال ۲۰۰۹ مسیر تازه‌ای به خود گرفته بود، زیرا دو تیم برنامه‌نویسی مختلف با اهدافی متفاوت به صورت مستقل روی یک پلات‌فورم واحد مشغول به کار شدند.
متخصصان Kaspersky Lab و شرکت‌های دیگر ابتدا بر این باور بودند که استاکس‌نت و بر پایه دو ساختار نرم‌افزاری کاملا متفاوت بنا شده و شواهد زیادی برای ارتباط دادن این بدافزارها به یکدیگر وجود نداشت.

با وجود این رفته رفته دلایل و شواهد فراوانی کارشناسان را به ارتباط این بدافزارها به دیگری واداشت. 
از یک سو استاکس‌نت و Flame هر دو ایران و کشورهای همسایه این کشور را هدف قرار داده‌اند که پیش از این چنین الگوی رفتاری در هیچ بدافزاری دیده نشده است.

از سوی دیگر Flame به منظور تکثیر از یک کامپیوتر به کامپیوتر دیگر عمدتا از همان شیوه‌هایی استفاده می‌کند که استاکس‌نت هم برپایه آنها تکثیر و گسترش می یابد، مثل آلودگی از طریق USB و بهره‌گیری از آسیب‌پذیری Autorun ویندوز و یک آسیب‌پذیری دیگر دربخش پرینت.اینگونه بود که محققان دریافتند گمان ابتدایی آنها در مورد Flame اشتباه بوده است.

متخصصان کسپرسکی در تحقیقات خود به سرنخ‌هایی رسیدند که از طریق فناوری تحلیل خودکار ویروس کسپرسکی موفق به کشف و شناسایی آن شدند. 
این در حالی است که محققان از طریق همین فناوری در اکتبر سال ۲۰۱۰ فایل خرابکارانه‌ای را شناسایی کردند که شکل تغییریافته استاکس‌نت بود.

کارشناسان کسپرسکی در آن زمان با بررسی این نسخه تغییریافته، شباهت چندانی بین آن و استاکس‌نت پیدا نکردند و از این رو آن را Tocy.a نامیدند.
بیش از دو سال پیش همان گروه محققان هنگام جست‌وجو برای یافتن نمونه‌های قدیمی تر بدافزارهایی شبیه به شعله به کرم Tocy.a برخوردند.

محققان با درنظر گرفتن تاریخچه Tocy.a و ریشه گرفتن به عنوان یکی از نسخه‌های اولیه استاکس‌نت، تحقیقات خود را گسترش دادند تا دریابند که چرا هوش مصنوعی شرکت‌های امنیتی دو کد خرابکارانه را این چنین شبیه به هم در نظر می‌گیرد، ولی با سایر بدافزارهای شناسایی شده در پایگاه داده جامعه کسپرسکی شباهتی پیدا نمی‌کند.
نتایج محققان از این قرار بود: ماژولی که در یک نمونه اولیه از استاکس‌نت پیدا شده بود، Resource ۲۰۷ نام گرفت.

این ماژول که کمی بیش از ۳۵۰ هزار بایت حجم دارد، در Stuxnet.a به کار رفته بود تا دسترسی کامل به سیستم‌های کامپیوتری را در مهاجمان قرار دهد.
پس از روی کار آمدن نسخه های بعدی استاکس‌نت اثری از Resource ۲۰۷ دیده نشد، از این رو کارشناسان توجه بیشتری به این نسخه از استاکس‌نت نشان دادند و رد پای این نمونه اولیه را در نسخه‌های پیشرفته تر بدافزار استاکس‌نت شناسایی کردند.

محققان با تحقیق بیشتر دریافتند که Resource ۲۰۷ تقریبا با ماژول بدافزار Flame تفاوتی ندارد. کسپرسکی هم اکنون Resouce ۲۰۷ را یک پلاگين Flame یا به بیان دقیق‌تر «نمونه اولیه Flame» می‌نامد. 
در واقع Resource ۲۰۷ تقریبا از هر نظر با یکی از فایل های Comntemporary شعله به نام mssecmgr.ocx برابری می‌کند.

هر دوی این عناصر از ساختار مشابهی برخوردار است؛ فایل‌های زیرمجموعه هم نام، الگوریتم و رشته رمزگشایی مشابه و شیوه‌های کم و بیش یکسان نوشتن کد پایه.
محققان کسپرسکی همچون کارشناسان شناسایی و تطابق دست خط به این نتیجه رسیدند که بی شک بخشی از عناصر استاکس‌نت و Flame به دست یک نفر یا یک گروه خلق شده است. 

به اعتقاد محققان، Resource ۲۰۷ پایه پلات‌فرم شعله بوده است.
کارشناسان کسپرسکی در وبلاگ Securelist نوشته‌اند: در بازه زمانی ماه ژانویه تا ژوئن ۲۰۰۹ که استاکس‌نت فعال شده بود، پلات‌فورم شعله هم خلق شده بود. 
بر اساس محاسبات ما، تاریخ ساخت بدافزار شعله به تابستان ۲۰۰۸ بر می‌شود، یعنی زمانی که این کرم از ساختاری ماژولی برخوردار شده بود.

این کارشناسان معتقدند که استاکس‌نت از ماژول پایه پلات‌فرم Flame استفاده کرده است. 
به احتمال فراوان آن ماژول به طور خاص برای کارکرد در ساختار استاکس‌نت طراحی شده بود. به گفته محققان، این ماژول ابتدا از یک آسیب پذیری شناخته نشده موفق به نفوذ به یک سیستم کامپیوتری و کنترل کامل آن شد که مایکروسافت بعدا با انتشار وصله امنیتی MS۰۹-۰۲۵ این آسیب پذیری را پوشش داد.

این ماژول سپس در سال ۲۰۱۰ از چرخه فعالیت خارج شد، زیرا هدایت‌کنندگان استاکس‌نت به دنبال شیوه‌های جدیدی برای نفوذ به سیستم از طریق آسیب‌پذیری بودند که مایکروسافت با عرضه وصله امنیتی MS۱۰-۰۴۶ آن را مسدود کرد. 
در سال ۲۰۰۹ تحول پلات‌فورم Flame از طریق تیمی که به طور مستقل روی استاکس‌نت کار می‌کردند، ادامه یافت.

در این حال محققان کسپرسکی احتمال دادند که کار روی برنامه‌های خرابکارانه به دو گروه برنامه‌نویس مستقل سپرده شده است؛ تیم F (Flame) و تیم D (Tilded یا همان برنامهFlame )
محققان کسپرسکی در این باره می‌گویند: هر یک از این دو گروه از سال ۲۰۰۷ به این سو مشغول توسعه پلات‌فورم خاص خود بوده‌اند، اما پایه و شواهد مشترکی در ساختار هر دو بدافزار به چشم می‌خورد.
 علاوه بر ارتباط مستقیم بین Flame و استاکس‌نت، محققان پنج آسیب پذیری ناشناخته‌ای را کشف کردند که نسخه‌ای از استاکس‌نت در سال ۲۰۰۹ از طریق آن به سیستم‌های کامپیوتری نفوذ می‌کرد. 

این نسخه از استاکس‌نت در ماژول استاکس‌نت و Flame هم به کار رفته بود. کد نفوذ از طریق آن آسیب‌پذیری همچنین در نمونه دیگری از استاکس‌نت که اوایل سال ۲۰۰۹ فعال بود، گنجانده شده بود. 
کد آن نسخه استاکس‌نت در فوریه ۲۰۰۹ نوشته شده بود و نفوذپذیری مربوط به آن هنوز کشف نشده بود.

مایکروسافت این آسیب پذیری را چهار ماه بعد با انتشار به‌روزرسانی امنیتی MS۰۹-۰۲۵ وصله کرد.
رول شوونبرگ، یکی از محققان ارشد بدافزار در کسپرسکی می‌گوید: برنامه‌نویسی که پشت حملات این حفره و حفره MS۱۰-۰۷۳ بوده، در توسعه کرم Stuxnet.b هم نقش داشته است.

محققان دقیقا نمی‌دانند که چرا Resource ۲۰۷ از کد استاکس‌نت حذف شد، هرچند می‌توان این اقدام را راهی برای مجزا کردن ساختار استاکس‌نت و شعله دانست. 
یک فرضیه می‌گوید که Flame یک ابزار جاسوسی سایبری برای مقاصد کلی است و برنامه نویسان نمی‌خواستند دو پلات‌فورم را بیش از حد لازم با هم درآمیزند.

تحقیقات متخصصان نتایج بسیار جالبی را به دنبال داشته است. دانستن این نکته که دو کد خرابکارانه با اهداف و مقاصد یکسان از یک منبع سرچشمه گرفته است، برای بسیاری از کارشناسان امنیتی تعجب آور نیست.
بسیاری تصور می‌کردند که اصل و اساس بدافزار Flame به یک دولت ناشناس بر می‌گردد و نه گروه‌های هکری و مجرمان سایبری. با این حال انتشار خبر حمله Collision بی‌سابقه Flame به منظور شبیه‌سازی یک به‌روزرسانی نرم‌افزاری مایکروسافت، شک کارشناسان را به یقین تبدیل کرد. 

این در حالی است که گزارش‌های خبری اخیر به نقل از منابع دولتی ناشناس، ایالات متحده را عامل اصلی توسعه استاکس‌نت می‌داند. بر اساس این گزارش‌ها ممکن است آمریکا و متحدانش پس پرده بدافزار Flame هم نقش داشته باشند. 
---------------------------------------------------------
تهیه شده در شرکت پارس آتنا دژ
 


کد مطلب: 22486

آدرس مطلب: https://www.itna.ir/report/22486/رد-پای-استاکس-نت-بدافزار-شعله

ايتنا
  https://www.itna.ir