فلیم، مینی فلیم، گاوس، madi، داکو وغیره تنها شماری محدود از بدافزارهایی هستند که طی ماههای اخیر فضای سایبری را تهدید کردهاند.
به گزارش ایسنا، تروریسم سایبری که این روزها وارد چهارمین دهه عمر خود شده، اکنون چنان گسترش یافته که از سال 2012 به عنوان سال جهنمی در این زمینه نام برده و اینگونه اظهار میشود که در این فضا افراد با داشتن یک میلیارد دلار و کمتر از پنجاه نفر نیروی متخصص قادر خواهند بود یک کشور را از کار بیندازند.
این موضوع برروی کشور ما نیز بی تاثیر نبوده و طی این مدت ایران نیز در فضای سایبری مورد حملات مختلف قرار گرفته و تلاشهایی شده است تا بخش های مختلفی مانند نفت، صنعت، بانک و... از کار افتاده و یا دچار اختلال شوند.
شمار حملات ریز و درشتی که در این زمینه صورت گرفته چنان وسیع بوده که وزیر ارتباطات زمانی شمار آنها را حتی تا 14 هزار حمله ارزیابی کرده بود.
در این میان در شرایطی که هنوز مدت زیادی از حملاتی مانند فلیم (شعله آتش) و مینی فلیم نمیگذرد این روزها در فضای رسانهیی از حمله بدافزار جدیدی به نام ناریلام صحبت میشود. به همین بهانه برخی از مهم ترین حملاتی که در فاصلهای نه چندان دور صورت گرفته را مورد مرور قرار دادهایم.
**استاکس نت و حمله به بخش صنعتی
اواسط سال 89 بود که رسانههای مختلف در سطح دنیا بحث حمله کرم جاسوسی به نام استاکس نت خبر داده و بر این نکته تاکید کردند که این کرم بخش صنعتی کشورها را مورد حمله قرار داده و برخی رایانههای ایران را هم تحت تاثیر قرار داده است. البته در همان دوره محسن حاتم - معاون وقت وزیر صنایع - با اشاره به اینکه هجوم کرم جاسوس استاکس نت به رایانههای ایرانی میتواند دارای دلایل اقتصادی یا سیاسی باشد، گفت: آلودگی به این کرم از حدود هشت ماه پیش در ایران آغاز شده و مشخص نیست چرا رسانههای بیگانه هماکنون این موضوع را مطرح میکنند.
وی عمده مراکز مورد تهاجم این کرم صنایع مربوط به بخش نفت و نیرو دانسته و از شناسایی IPهای آلوده و طراحی آنتی ویروس خبر داده بود.
البته این بدافزار کشورهای متعددی مانند هند، اندونزی و پاکستان را هم مورد حمله قرار داده بود.
**گاوس و سیستم بانکی
ویروس گاوس را می توان به عنوان یکی دیگر از حملات سایبری دانست که هدف اصلی آن کشورهای خاورمیانه بود. این ویروس که به عقیده بسیاری از کارشناسان جهان توسط همان طراحان استاکس نت طراحی شده بود قابلیت حمله به زیرساختهای اصلی کشورها را داشت.
این بدافزار در 10 آگوست سال 2012 تحت خانواده تروجانها شناسایی و در اواسط سال 2011 به عنوان تروجان بانکی توسط مهاجمین مورد استفاده قرار گرفته و سیستمهای هدف این بدافزار، سیستمهای خانواده ویندوز ارزیابی شده بود.
در واقع این تروجان به منظور دستیابی به اطلاعات سیستمهای قربانی و سرقت اطلاعات اعتباری، پست الکترونیکی و شبکههای اجتماعی ایجاد شده بود و کارکرد آن به این شکل نبود که همه نوع اطلاعات قابل جمعآوری در آن ذخیره شود بلکه مشخصات سیستم استفاده شده و اطلاعات بانکی و اینترنتی مرورگر مورد علاقه این بدافزار بود.
**شعله آتش در تجهیزات نفتی
اما در این مدت یکی از جدی ترین حملات سایبری حملهای بود که نسبت به تجهیزات نفتی کشورهای خاورمیانه صورت گرفت. این بدافزار که با نام فلیم (شعله آتش) به کشورهای مختلفی ارسال شده بود، پیچیدگیهای متعددی داشت و علاوه بر جاسوسی، یک ویروس مخرب به شمار می رفت.
در این زمینه پیش از گزارش شرکت سیمانتک تصور میشد که ویروس "فلیم" تنها یک ابزار جاسوسی و سرقت اطلاعات بوده است اما ویکرام تاکور، سخنگوی شرکت سیمانتک گفت که این شرکت یکی از بخشهای ویروس "فلیم" را شناسایی کرده که میتواند فایلها را از کامپیوترها پاک کند و این بدان معنی است که ویروس "فلیم" میتواند به برخی از برنامههای مهم سیب وارد کرده و اجرای آنها را مختل کند و حتی میتواند به طور کلی سیستم عامل را از کار بیندازد.
چند روز پس از انتشار اخبار مربوط به این بدافزار،مرکز ماهر مدعی شد که برای نخستین بار در دنیا، ابزار پاکسازی بدافزار Flame را تولید و به زودی از طریق سایت مرکز ماهر در اختیار کاربران قرار خواهد داد.
شعله آتش از جمله بدافزارهای پیچیدهای محسوب میشد که از طریق 43 آنتی ویروس مختلف، امکان شناسایی این بدافزار وجود نداشت.
علاوه بر ایران در این حوزه، فلسطین، مجارستان، لبنان، استرالیا، سوریه، روسیه، هنگ کنگ و امارات از جمله کشورهایی بودند که مورد هدف این بدافزار قرار گرفتند.
**Madi
اواخر تیرماه امسال بود که یک ویروس که بیش از هشت ماه از شروع فعالیت آن میگذشت، شناسایی شد و اینگونه اعلام شد که حدود 800 رایانه توسط این بدافزار آلوده شده است.
خبر انتشار این ویروس اولین بار توسط کسپرسکی اعلام شد که ادعا میکرد که این تروجان بیش از 800 کامپیوتر را آلوده کرده و بیش از هشت ماه از شروع فعالیت آن میگذرد و مشخص نیست چرا یک بدافزار ساده که از مدتها قبل توسط شرکتهای معتبر آنتی ویروس شناسایی شده بود، در یک مقطع زمانی به طور گسترده تحت پوشش خبری قرار گرفته است.
ثبت اطلاعات صفحه کلید، عکس گرفتن از صفحه مانیتور در فواصل مشخص، عکس گرفتن در صورت استفاده از قبیل facebook، skype و یا Gmail، و ایجاد درهای پشتی جهت نفوذ و دسترسی مهاجم، ضبط، ذخیره و ارسال فایلهای صوتی از جمله کارکردهای این ویروس بود.
وزیر ارتباطات و فناوری اطلاعات درباره این بدافزارخطاب به کاربران گفته بود که از باز کردن ایمیلها و فایلهایی که از طریق کاربران ناشناخته برای آنها ارسال میشود خودداری کنند.
بررسیهای به عمل آمده بر روی نمونههای madi گویای آن بود که یک بدافزار ساده و کم هزینه بوده و در آن از هیچ آسیبپذیری خاصی جهت انتشار و آسیب رسانی به سیستم ها استفاده نشده است. لذا بر خلاف ادعا های صورت گرفته مبنی بر مقایسه این بدافزار با تهدیداتی نظیر flame و در نظر گرفتن آن به عنوان یک تهدید هدفمند سایبری دور از ذهن بنظر می رسد.
**مینی فلیم
اوایل مهر ماه امسال و در شرایطی که تنها چند ماه از انتشار بدافزارهایی مانند فلیم و گاوس می گذشت این بار بدافزاری با نام مینی فلیم جاسوسی خود را آغاز کرد.
در ارتباط با این بدافزار اینگونه اعلام شده بود که مینی فلیم در واقع شکلی جدید از بدافزار فلیم است که توسط حکومتها پشتیبانی میشود و بهطور خاص برای جاسوسی طراحی شده و جایی که کار فلیم تمام می شود این بدافزار آغاز به کار می کند.
در توضیحات کسپرسکای درباره مینی فلیم آمده بود:«نخست فلیم یا گاوس برای آلوده ساختن حداکثر تعداد ممکن قربانیان و جمعآوری حجم زیادی از اطلاعات مورد استفاده قرار میگیرند. پس از اینکه دادهها جمعآوری و بازبینی شدند، یک قربانی جالب توجه انتخاب شده و شناسایی میشود. سپس مینی فلیم برروی سیستم قربانی منتخب نصب میشود تا به نظارت عمیقتر و جاسوسی دقیقتر ادامه دهد.».
بنا بر اعلام مرکز ماهر، احتمالا توسعه دهندگان MiniFlame کار خود را در سال 2007 آغاز کردهاند.
نکته دیگر آن که گفته می شد نرخ آلودگی این بدافزار به خصوص در مقایسه با گاوس و فلیم پایین بوده و تنها 50 تا 60 کامپیوتر در سراسر جهان توسط این بدافزار
آلوده شدهاند. اما در این نوع حملات تمرکز برروی تعداد قربانیان نیست، بلکه بیشتر اهداف خاص مد نظر است.
**و اما ناریلام
اما در آخرین خبرها، از ورود بدافزاری تازه با نام ناریلام صحبت میشود که البته مرکز ماهر در این باره بر این نکته تاکید دارد که این بدافزار در سال 89 توسط مراکز و شرکتهای فعال در حوزه امنیت فناوری اطلاعات کشور شناسایی و گزارش شده است.
در اطلاعیه مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهیی آمده است: بررسیهای اولیه تا این لحظه نشان میدهد بدافزار فوق الذکر بر خلاف اخبار منتشر شده تهدید جدی سایبری نبوده بلکه یک بدافزار محلی است که احتمالا به منظور آسیب زدن به کاربران محصولات نرم افزاری شرکت خاص ایجاد شده است.
طراحی و پیادهسازی این بدافزار اثری از پیچیدگیهای یک حمله سایبری یا حتی بدافزارهای قدرتمند گروههای خرابکار سایبری را ندارد و بیشتر شبیه یک بدافزار آماتوری است. دامنه فعالیت این بدافزار و انتشار آن بسیار محدود بوده و تنها کاربران محصولات نرمافزاری سیستمهای مالی و حسابداری میتوانند نسبت به اسکن سیستم توسط آنتی ویروس بروز شده اقدام کنند.
البته با این وجود برخی از فعالان فضای مجازی در این زمینه بر این نکته اذعان داشتند که فارغ از اینکه آیا می توان گونه جدید ویروس ناریلام را یک بدافزار "ضد ایرانی" با اهداف سیاسی در نظر گرفت که با هدف حمله به زیرساختهای اطلاعاتی کشور تولید و منتشر شده و یا برعکس بزرگنمایی این ویروس در رسانهها را یک ترفند تجاری، تبلیغاتی یا رسانهیی تلقی کرد، مدیران شبکههای سازمانی کشور باید حداکثر توجه و هشیاری را در رعایت جوانب حفاظتی و امنیتی در شبکه به خرج دهند تا احتمال نفوذ این بدافزار و یا آلودگیهای ویروسی مشابه را به حداقل برسانند.