الكشف عن المزيد من المعلومات حول فيروس Flame
كشفت شركة “كاسبرسكي لاب” عن معلومات جديدة تتعلق بفيروس Flame الذي كان قد تم كشف النقاب عنه الأسبوع الماضي، والذي صنفه الخبراء الأمنيون على أنه أكبر الهجمات الالكترونية التي تم اكتشافها حتى الآن وأكثرها تعقيداً.
وقالت الشركة بأن الجهة التي تقف وراء فيروس Flame التجسسي قد استهدفت بشكل رئيسي أجهزة كمبيوتر في إيران عبر استخدام أكثر من 80 إسم نطاق مختلف لسرقة تصاميم، وملفات بي دي إف، ورسائل الكترونية من الضحايا.
وقد قامت الجهة المجهولة التي تقف خلف الفيروس بإغلاق البنية التحتية لمركز القيادة والتحكم الذي تنطلق منه الهجمات مباشرةً بعد انكشاف الفيروس وانتشار الأخبار عنه الإثنين الماضي. ويُقدر الخبراء بأن الفيروس يعمل بنشاط منذ عامين على الأقل دون أن يتم اكتشافه. وقد شنت الجهة التي تقف خلفه الهجمات باستخدام 80 إسم نطاق مختلف مسجلة بأسماء وعناوين وهمية.
وقال “آلكساندر جوستاف” كبير خبراء كاسبرسكي بأن أسماء النطاق التي كانت مصدر الفيروس قد تم تسجيلها بناءاً على قائمة كبيرة من الهويات الوهمية وعبر شركات تسجيل مختلفة، ويعود تاريخ تسجيل بعضها إلى العام 2008. وقد سجل كل شخص وهمي إسمين أو ثلاثة أسماء نطاق فقط، أو 4 أسماء في حالات نادرة على حد تعبيره.
وعدا عن الأسماء المزيفة فقد تم استخدام عناوين وهمية تبين أن بعضها تعود إلى عناوين فنادق في أوروبا، أو عناوين محال تجارية ومؤسسات أو عيادات أطباء. ونظراً للتأثير والتعقيد العاليين للفيروس وكونه يستهدف إيران وبعض الدول الشرق أوسطية، يعتقد الباحثون بأن “دولة غنية” تقف خلفه.
واعتمدت البنية التحتية لمركز القيادة والتحكم بالفيروس على مجموعة متنقلة من المخدمات تتغير عبر الوقت. وتتوزع هذه المخدمات على كل من هونغ كونغ وتركيا وألمانيا وبولونيا وماليزيا ولاتفيا وسويسرا. كما اعتمدت على 22 عنوان إنترنت IP على الأقل، وعملت المخدمات التي كانت مسؤولة عن الفيروس على نظام أوبونتو لينوكس واستخدمت بروتوكولي SSL و SSH لتشفير المعلومات.
وللحد من كمية وأحجام المستندات وتجنب رفع البيانات غير الهامة بالنسبة لمشغّلي الفيروس، يعمل Flame على استخراج عينة يبلغ حجمها 1 كيلوبايت فقط من ملفات بي دي إف أو مستندات إكسيل ومستندات تطبيقات معالجة النصوص، ثم يقوم الفيروس بضغط ورفع عينات النصوص إلى مركز القيادة والتحكم حيث يقوم المهاجمون بإلقاء نظرة على المحتويات ثم إعطاء الأمر للفيروس بالحصول على المستندات الهامة فقط.
ويُذكّر هذا الفيروس بفيروس آخر شهير وهو Stuxnet والذي كشفت تقارير أخيرة بأن كل من الولايات المتحدة وإسرائيل قامتا بتطويره بهدف ضرب المنشآت النووية الإيرانية. ويشير البعض بأصابع الاتهام إلى الولايات المتحدة وإسرائيل أيضاً على أنهما الجهة التي تقف خلف فيروس Flame الذي قال الخبراء بأنه أخطر بمراحل من Stuxnet.
