الأمن الإلكتروني

ثلاث برمجيات خبيثة تابعة لـ “Flame”

18 سبتمبر 2012آخر تحديث: 18 سبتمبر 2012
2 دقائق
ثلاث برمجيات خبيثة تابعة لـ "Flame"
تحريات جديدة تشير إلى ثلاث برمجيات خبيثة تابعة لـ Flame، واحدة منها لا تزال تمارس نشاطها

أعلنت شركة كاسبرسكي لاب عن نتائج البحث الجديد المتعلق بالكشف عن حملة التجسس الالكتروني “فليم” (Flame) الممولة من قبل دولة ما. وقد تم خلال البحث الذي أجرته كاسبرسكي لاب مع منظمة IMPACT الجناح التنفيذي التابع للاتحاد الدولي للاتصالات، المكلف بشؤون الأمن الالكتروني، تحليل عدد من خوادم الأوامر والمراقبة التي استخدمت من قبل “فليم” بالتفصيل. وقد عثر على آثار 3 برمجيات خبيثة لم تكتشف بعد، كما تبين أن عملية تطوير منصة “فليم” تعود إلى عام 2006.

النتائج الأساسية للبحث شملت ما يلي:

  • تطوير خوادم الأوامر والمراقبة (C&C) لـ “فليم” بدأ في ديسمبر 2006.
  • جرى تمويه خوادم الأوامر والمراقبة لتبدو كخوادم نظام إدارة المحتوى وإخفاء الطبيعة الحقيقية للمشروع من موفري خدمة الاستضافة أو التحقيقات العشوائية.
  • كانت الخوادم قادرة على استقبال البيانات من الآلات باستخدام أربعة بروتوكولات مختلفة، واحد منها فقط كان يقوم بخدمة الحواسب المصابة بـ “فليم”.
  • وجود ثلاثة بروتوكولات إضافية غير مستخدمة من قبل “فليم” يثبت أن ثلاث برمجيات خبيثة تابعة لـ “فليم” قد أنشئت ولا يعرف أي شيء عن طبيعتها حتى الآن.
  • أحد هذه الكينونات المجهولة التابعة لـ “فليم” حرة طليقة تمارس نشاطها.
  • كانت هناك أدلة تشير إلى أن منصات الأوامر والمراقبة لا تزال في مرحلة التطوير، وقد ورد اسم Red Protocol الذي أطلق على أحد أنظمة الاتصال في خوادم C&C ولكنه لم يطبق بعد.
  • لا يوجد أي دليل على أن خوادم C&C قد استخدمت في مراقبة برمجيات أخرى معروفة كـ Stuxnet أو Gauss.

واكتشفت حملة “فليم” التجسسية لأول مرة في مايو 2012 من قبل كاسبرسكي لاب خلال تحريات بادر بها الاتحاد الدولي للاتصالات. عقب هذا الاكتشاف، عملت منظمة IMPACT على إصدار إنذار فوري للدول الـ 144 الأعضاء فيها، وأرفقته بإجراءات المعالجة والإزالة. وكان تعقيد الشيفرة والروابط المؤدية إلى مطوري Stuxnet تشير إلى أن “فليم” هو نموذج آخر لعملية الكترونية معقدة ممولة من قبل دولة ما. ودلّت التقديرات الأولية على أن “فليم” بدأ عملياته في 2010 إلا أن التحليل الأول لبنية C&C التحتية له (شملت ما لا يقل عن 80 اسم نطاق معروف) أرجع هذا التاريخ إلى الوراء بنحو عامين.

وتعتمد نتائج هذا التحري على تحليل المحتوى المستخلص من عدة خوادم C&C التي استخدمت من قبل “فليم”. وتم استعادة البيانات على الرغم من أن خوادم “فليم” قد انقطعت عن الانترنت فور اكتشاف كاسبرسكي لاب عن وجود البرنامج الخبيث. وكانت جميع الخوادم تعمل على نسخة 64 بت من نظام التشغيل Debian، المعتمدة عن حاويات OpenVZ. وكانت شيفرة غالبية الخوادم قد كتبت بلغة البرمجة PHP. ولجأ مطورو “فليم” إلى اتخاذ إجراءات لجعل خادم C&C يبدو كنظام إدارة محتوى عادي بغرض تجنب لفت انتباه موفر خدمة الاستضافة.

وتبنى المهاجمون أساليب تشفير معقدة ليستأثروا وحدهم على البيانات المحملة من الآلات المصابة. وقد كشف تحليل النصوص التي استخدمت في التحكم بعملية نقل البيانات إلى الضحايا عن 4 بروتوكولات اتصال، واحد منها كان متوائماً مع “فليم” وهذا يعني أن هناك 3 أنواع على الأقل من البرمجيات الخبيثة استغلت خوادم C&C هذه. وهذا دليل كافٍ لإثبات أن برنامجاً خبيثاً واحداً على الأقل تابع لـ “فليم” لا يزال يمارس نشاطه. ولم يكتشف هذا البرنامج الخبيث بعد.

يذكر أن هناك اكتشاف هام آخر للبحث يشير إلى أن تطوير خوادم C&C التابعة لـ “فليم” بدأ في ديسمبر 2006. وهناك ما يدل على أن المنصة لا تزال في مرحلة التطوير كون أن بروتوكولاً جديداً لم يستخدم بعد “Red Protocol” قد وجد في الخوادم. وأجري آخر تحديث لشيفرة الخوادم في 18 مايو 2012 من قبل أحد المبرمجين.

الوسوم
18 سبتمبر 2012آخر تحديث: 18 سبتمبر 2012
2 دقائق
زر الذهاب إلى الأعلى