سلاح سایبری(Flame)

همانطور که در خبرها آمد طی هفته های گذشته رایانه های دولتی ایران مورد هدف بدافزاری به نام شعله (Flame) قرار گرفت. وجود چنین ابزار پیشرفته ای نشانه  آغاز عصر جدیدی از جنگ های سایبری است. ساختار این بد افزار و عملکرد آن نشان دهنده استفاده از یک تیم بزرگ مهندسی نرم افزار برای ساخت آن است. در این نوشته ۲۵ نکته بارز درباره ویژگی های این بد افزار را خواهید خواند.

۱. شعله پشرفته ترین سلاح سایبری است که تا به حال شناخته شده است.

۲. بعد از نصب، حجم این بدافزار به ۲۰MB می رسد.

۳. این بد افزار از پایگاه داده SQLite برای ذخیره داده های جمع آوری شده استفاده می کند.

۴. شعله توسط زبان برنامه نویسی Lua نوشته شده است.

۵. ویژگی های شعله بیان گر این مطلب است که این بد افزار باید توسط گروه بزرگی از مهندسان حرفه ای نرم افزار نوشته شده باشد.

۶. شرکت کسپر اسکای مدارکی را مبنی بر فعالیت مخفیانه شعله در ۲ سال گذشته یافته است.

۷. آزمایشگاه CrySyS هم اعلام کرده است که این بدافزار احتمالا ۵ تا ۸ سال است که فعالیت می کند. حتی ممکن است دوره فعالیت آن بیش از ۸ سال نیز بوده باشد.

۸. این بدافزار دست کم دارای ۲۰ ماژول مختلف است که هر کدام بخشی از کارهای جاسوسی را انجام می دهند. برای مثال یک ماژول، روشن کردن میکروفن رایانه قربانی و جمع آوری اصوات از محیط را به عهده دارد.

۹. یکی از ماژول های این بدافزار قدرت یافتن دستگاه هایی که دارای بلوتوث روشن هستند را دارد. پس از یافتن آنها با استفاده از بلوتوث اطلاعات آن رایانه ها را هم سرقت می کند.

۱۰. ماژول دیگری از شعله هم هر ۱۵ تا ۶۰ ثانیه یک تصویر از صفحه رایانه گرفته و آنها را ایمیل می کند.

۱۱. این بد افزار امکان شنود ترافیک داخلی شبکه برای یافتن نام های کاربری و کلمه های عبور را دارد.

۱۲. شعله سیستم عامل ویندوز ۷ را (حتی با آخرین به روز رسانی ها ) آلوده می کند. روش کارش هنوز ناشناخته است. البته ویندوزهای ۶۴ بیتی از گزند این بدافزار در امان هستند.

۱۳. ساختار ماژولار این بد افزار نشان  دهنده این است که تیم نویسنده آن توسعه شعله را در نظر داشته است. بدین ترتیب با به روز رسانی  این بد افزار می توانند ویژگیهای جدیدی را به آن اضافه کنند.

۱۴. محققین BitDefender اعلام کرده اند که شعله یک شاهکار نرم افزاری است. شاهکاری در حد دست آوردهای مایکروسافت، اورکل و آپاچی. شعله از ۶۵۰۰ خط کد تشکیل شده است.

۱۵. شعله از بیش از ۸۰ نام دامنه برای سرقت اطلاعات استفاده کرده است.

۱۶. تاریخ ثبت نامهای دامنه استفاده شده به سال ۲۰۰۸ باز می گردد.

۱۷. نام های دامنه با هویت های جعلی به ثبت رسیده اند و عموما هر هویت جعلی ۲ تا ۳ نام را ثبت کرده است. البته در موارد نادری تعداد دامنه های ثبت  شده توسط یک هویت به ۴ عدد هم رسیده است.

۱۸. سرورهای مورد استفاده شعله در طول عملیات تغییر مکان داده اند. این سرورها در هنگ کنگ، ترکیه، لهستان، مالزی، سوییس و لتونی قرار داشته اند.

۱۹. مرکز کنترل و فرمان این بد افزار در طی ۴ سال از ۲۲ آدرس IP مختلف استفاده کرده است.

۲۰. این سرورها از سیستم عامل اوبونتو نسخه سرور استفاده شده است.

۲۱. شعله علاقه  خاصی به فایل های اتوکد دارد.

۲۲. شعله برای جلوگیری از ارسال اطلاعاتی که مورد توجه حمله کننده ها نیست به اندازه ۱KB از فایل ها را استخراج کرده و سپس همه آنها را برای مرکز کنترل ارسال می کند. سپس مهاجمین بر اساس این اطلاعات فایلهای مورد نظرشان را انتخاب می کنند. در مرحله آخر هم فایلهای انتخاب شده توسط شعله به صورت کامل برای مرکز کنترل ارسال می شود.

۲۴. رایانه های آلوده برای دسترسی به سرورهای مرکز کنترل از کلمه عبور Lifestyle2 استفاده کرده اند.

۲۵. تمام فعالیت های شعله در فایلهای Log برای بررسی تیم حمله کننده ذخیره می شده اند.

مسئول سایت

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.

وبگاه: www.parsing.ir پست الکترونیکی این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: