ویروس بدخیم در تور سایبری ایران

احسان تقدسی: خبر کشف بزرگ‌ترین ویروس کامپیوتری ساخته شده تاکنون، دیروز در صدر اخبار مربوط به ایران قرار گرفت. مرکز «مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای» ایران (ماهر) که در شناسایی و به تور انداختن این ویروس فعال بوده است، با صدور اطلاعیه‌ای به تشریح ابعاد این ویروس پرداخته و گفته است: این حمله توسط بدافزاری که از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می‌گیرد. این نام برگرفته از محتویات رمزگشایی شده فایل‌های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است که قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت های مختلف را داراست. در حال حاضر هیچ‌کدام از اجزای پرشمار تشکیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی‌گیرند.
با این وجود ابزار شناسایی و پاکسازی این بدافزار در مرکز ماهر تهیه شده و از امروز در اختیار سازمان‌ها و شرکتهای متقاضی قرار خواهد گرفت. مرکز ماهر اعلام کرده که پس از انتشار جزئیات ویروس کشف شده بسیاری از سازمانها و کشورهای مختلف از جمله شرکت‌های امنیتی سایمانتک، سوفوس، مک آفی، F-Secure و همچنین آزمایشگاه رمزنگاری دانشگاه فن‌آوری و اقتصاد بوداپست نیز اقدام به انتشار اطلاعاتی در این مورد کرده و به خبر مرکز ماهر ارجاع داده‌اند. اگرچه رسانه‌های‌غربی تلاش کرده‌اند تا اسرائیل و ایران را به‌طور همزمان قربانی این ویروس مخوف اینترنتی نشان دهند اما روزنامه اسرائیلی اورشلیم پست به نقل از معاون نخست‌وزیر رژیم صهیونیستی در سخنانی تلویحا اعلام کرد که ویروس «فلیم» توسط این رژیم تولید و راه‌اندازی شده است.
موشه یعالون دیروز در سخنانی گفت: همه می‌دانند که تهدید ایران برای اسرائیل یک تهدید جدی است و برای مقابله با این تهدید باید اقدامات مختلفی انجام داد که به کارگیری این نوع از ویروس‌ها هم یکی از همین اقدامات است. یعالون که با رادیو ارتش اسرائیل سخن می‌گفت در ادامه به این نکته اشاره کرد که اسرائیل درصدد حمله سایبری انجام شده به رایانه‌های ایران است. آنگونه که رسانه‌های غربی گزارش داده‌اند، این ویروس جدید که «فلیم» نام دارد، بیست برابر بزرگ‌تر از استاکس‌نت است و البته بر خلاف آن، صرفا مقاصد جاسوسی دارد؛ نه تخریبی. محققان گفته‌اند که یک حمله پیچیده سایبری که با جمع آوری اطلاعات از اسرائیل و ایران همراه بود، کشف شده است. اولین شرکتی که توانست این ویروس بزرگ را کشف کند، شرکت روسی «کاسپرسکی لب» در روسیه بود که به گفته محققان این شرکت روس این ویروس از آگوست سال 2010 میلادی تاکنون مشغول به فعالیت بوده است.
این شرکت در گزارش خود از عملکرد این ویروس گفته، کارشناسان امنیت نرم‌افزار این شرکت معتقدند به دلیل وسعت و پیچیدگی‌های خاص رفتاری، این ویروس قطعا از سوی یک دولت خارجی پشتیبانی می‌شده است، اگر چه این شرکت تاکنون نتوانسته دولت تولید‌کننده این ویروس را شناسایی کند. به گفته کارشناسان روس این ویروس پیچیده‌ترین تهدید امنیتی در این حوزه است که تاکنون کشف شده است.
شدت پیچیدگی ویروس
شرکت روسی «کاسپرسکی لب» یکی از بزرگ‌ترین و کارآمدترین شرکت‌های موجود در زمینه امنیت رایانه‌ای محسوب می‌شود و آنتی‌ویروس‌های تولید شده توسط این شرکت روزانه توسط میلیون‌ها کاربر مورد استفاده قرار می‌گیرد اما شدت پیچیدگی عملکرد این ویروس تا آنجا بوده است که روس‌ها برای به نتیجه رساندن این پروژه مجبور به کمک خواستن از اتحادیه ارتباطات بین المللی سازمان ملل شده‌اند. جالب‌تر اینکه آنگونه که روس‌ها اعلام کرده‌اند کشف این ویروس بزرگ، بسیار اتفاقی رخ داده چرا که این شرکت امنیتی روس مشغول تحقیق بر روی بدافزار دیگری به نام «وایپر» بوده‌‌ که داده‌ها را از بسیاری از کامپیوترهای غرب آسیا پاک می‌کرده است.
در سه سال اخیر ایران بارها مورد حمله ویروس‌های اینترنتی قرار گرفته است که اگر ویروس آخر را نادیده بگیریم، استاکس‌نت مهم‌ترین ویروسی بود که با هدف خرابکاری در تاسیسات هسته‌ای ایران منتشر شد. ایران پس از کشف این ویروس تلویحا به تاخیر انداختن فعالیت برخی سانتریفیوژهای بوشهر را به دلیل عملکرد این ویروس تایید کرد اما در نهایت این ویروس نتوانست خللی جدی در برنامه هسته‌ای ایران به‌وجود آورد. ویروس دوکو دیگر ویروسی بود که گفته شد مانند استاکس نت خطرناک نیست اما فعالیتش نفوذ به شبکه‌های کامپیوتری برای سرقت اطلاعات است.
«فلیم» چه می‌کند؟
اگرچه تازه چند روزی است که خبر کشف ویروس بزرگ فلیم از سوی منابع روس اعلام شده و اطلاعات بسیار دقیقی درباره آن در اختیار رسانه‌ها قرار نگرفته اما شرکت کاسپرسکی اعلام کرده است که تهدید تازه ظاهرا باعث خسارات فیزیکی نمی شود، اما مقادیر عظیمی از اطلاعات حساس را جمع آوری می کند. به گفته این شرکت امنیتی زمانی که یک سیستم آلوده می شود، بدافزار فلیم مجموعه عملیات پیچیده ای را آغاز می کند که شامل ثبت تردد شبکه، برداشتن عکس از صفحه، ضبط مکالمات صوتی، ثبت رکورد صفحه کلید و غیره است. به گفته کارشناسان این شرکت امنیتی تاکنون حداقل ۶۰۰ هدف مشخص از افراد گرفته تا موسسات آکادمیک و سیستم‌های دولتی هدف گرفته شده‌اند.
به گفته کاسپرسکی حجم و پیشرفتگی «فلیم» حاکی است که نمی تواند کار مجرمان مستقل سایبری باشد و احتمالا با حمایت دولتی آفریده شده است.به گفته کارشناسان امنیتی فلیم برای دزدی پول از حساب های بانکی طراحی نشده و همچنین متفاوت از ابزارهای ساده هک کردن و بدافزارهای مورد استفاده هکتیویست‌ها (هکرهایی که دستور کار سیاسی مشخصی دارند) است؛ بنابراین استنباط این است که حمله احتمالا متعلق به یک دولت است. به گفته این شرکت امنیتی کشورهای ایران، سودان، سوریه، لبنان، عربستان سعودی، مصر و رژیم صهیونیستی، تاکنون از اهداف این ویروس بزرگ بوده‌اند. حجم این بدافزار ۲۰ مگابایت یعنی ۲۰ بار بزرگ‌تر از ویروس استاکس نت است. محققان گفته‌اند که تحلیل آن ممکن است سال‌ها زمان ببرد.
سر کار گذاشتن همه آنتی‌ویروس‌ها
این بدافزار در واقع پلتفرمی است که قابلیت دریافت و نصب ابزارهای گوناگون برای فعالیتهای مختلف را داراست. بر اساس گزارش‌ها، در حال حاضر هیچ کدام از اجزای پرشمار تشکیل دهنده این بدافزار توسط بیش از 43 نرم‌افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی گیرند.
شماری از قابلیتهای مهم این بدافزار شامل انتشار از طریق حافظه های فلش، انتشار در سطح شبکه، پویش شبکه و جمع آوری و ثبت اطلاعات منابع شبکه و رمزعبور سیستمهای مختلف، پویش دیسک کامپیوتر آلوده و جست‌وجو برای فایلهایی با پسوندها و محتوای مشخص، تهیه تصویر از فعالیتهای خاص کاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور کاربر و ذخیره سازی صوت دریافتی از طریق میکروفن سیستم در صورت وجود است.همچنین ارسال اطلاعات ذخیره شده به سرورهای کنترل خارج از کشور، دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C، برقراری ارتباط امن با سرورهای C&C از طریق پروتکل های SSH و HTTPS، شناسایی و ازکار انداختن بیش از 100 نرم‌افزار آنتی ویروس، ضد بدافزار، فایروال و قابلیت آلوده سازی سیستمهای ویندوز XP، ویستا و ویندوز 7 و قابلیت آلوده سازی سیستمهای یک شبکه در مقیاس بالا از دیگر قابلیتهای این نرم‌افزار به شمار می رود.
توان دفاعی ایران چقدر است؟
اگر چه ویروس‌های کامپیوتری از قدرت تخریبی فوق‌العاده‌ای در حمله به اهداف از پیش تعیین شده خود برخوردارند اما توان دفاعی و تهاجمی ایران در این زمینه هم کم نیست. توان دفاعی و تهاجمی ایران در بحث سایبر را باید در میان سخنان کارشناسان و رهبران غربی جست‌وجو کرد.
گزارش‌های متعددی در یک‌سال گذشته از توان سایبری ایران منتشر شده است. جالب‌ترین اظهارنظر در این باره از سوی رئیس شرکت بزرگ «گوگل» بود که چندی پیش اعلام کرد ایرانیان در عرصه سایبر دارای توانایی‌های خارق العاده‌ای هستند. یووال دیسکین، فردی که در سال‌های اخیر ریاست شاباک، تشکیلات امنیت داخلی اسرائیل (سازمان موسوم به شین بت) را به عهده داشت و جایگاه خود را پانزدهم می‌به یورام کهن ایرانی تبار داد هم در آخرین سخنرانی خود به حملات سایبری به تاسیسات کلیدی در سرزمین‌های اشغالی اعتراف کرد. این اولین باری بود که یک مقام رسمی صهیونیست از هدف قرار گرفتن تاسیسات این رژیم آن هم با حملات سایبری سخن گفت. این در حالی است که ژنرال عاموس یادلین، هنگامی که ریاست سازمان اطلاعات نظامی ارتش اسرائیل را بر عهده داشت، گفته بود که رژیم اسرائیل به یک «ابرقدرت‌» در نبرد سایبری تبدیل شده است.
حال یکی دیگر از مقامات این رژیم از حملات گسترده به تاسیسات کلیدی سخن می‌گوید. اگرچه هیچ گاه نام کشور حمله کننده به تاسیسات کلیدی اسرائیل معلوم نشد اما اکثر رسانه‌های صهیونیست در همان برهه اینگونه تحلیل کردند که ایران به دنبال انتقام استاکس نت است و بیشترین انگیزه را در این زمینه دارد. یک ماه پیش هم «ایلان برمن» معاون رئیس مرکز تحقیقات شورای سیاست خارجی آمریکا گفت: «در سه سال اخیر ایران سرمایه گذاری کلانی برای تقویت توانایی های تهاجمی و همچنین دفاعی خود در شبکه اینترنتی و دنیای مجازی آن انجام داده است. آنها بیش از پیش از جنگ سایبری به عنوان راهکاری بالقوه برای حمله به آمریکا یاد می کنند.»
آخرین تحلیلی که درباره توان سایبری ایران در رسانه‌های غربی منتشر شد، گزارش پایگاه خبری ـ تحلیلی «ورلد نت دیلی» بود که به نقل از کارشناسان امنیتی نوشت ایران قابلیت‌های جنگ سایبری خود را افزایش داده و اکنون می‌تواند در برابر هر گونه حمله سایبری به تأسیسات هسته‌ای این کشور سیستم‌های زیرساختی آمریکا را مورد هدف قرار دهد. این پایگاه خبری نوشته است غیر از ایران کشورهای چین و روسیه نیز توانایی حمله به سیستم‌های کنترل صنعتی آمریکا ـ که هم از پیچیدگی خاصی برخوردارند و هم امنیت خاصی در برابر حملات سایبری دارند ـ را دارند. بر اساس این گزارش، یک شرکت آزاد اطلاعاتی، موسوم به «لیگنت» (شرکتی متشکل از افسران سابق سازمان سیا و مقامات امنیتی آمریکا برای انجام تحلیل‌ها و پیش‌بینی‌های اطلاعاتی) اعلام کرد توان سایبری ایران بعد از حمله سایبری آمریکا با ویروس استاکس‌نت به زیرساخت‌های تأسیسات هسته‌ای این کشور از سطح دفاعی به سطح هجومی افزایش یافته است.
این گزارش در ادامه نوشت: بعضی‌ها معتقدند ایران ممکن است با مهندسی معکوس ویروس استاکس‌نت موفق به تولید سلاح‌های سایبری خاص خود شده باشد. این پایگاه خبری به نقل از یک منبع امنیتی افزود ایران در حال حاضر جدی‌ترین خطری است که سیستم شبکه قدرت آمریکا را تهدید می‌کند. گزارش برآورد جدید اطلاعاتی آمریکا از توان سایبری ایران دو وجه دارد. یکی همان اعتراف به توان سایبری تهران در مقابله با حملات و دیگری اهمیت این جنگ برای طرف دیگر است. جنگی که در آن خونی از بینی کسی نمی‌چکد اما ده‌ها برابر جنگ‌های متعارف کشته دارد.