بدافزار شعله

به نظر می‌رسد این بدافزار که اولین بار در سال ۲۰۰۷ توسط هوش مصنوعی آنتی ویروس‌های Prevx شناسایی شد، از سال ۲۰۰۶ شروع به فعالیت کرده باشد.[1] فلیم در می ۲۰۱۲، به وسیلهٔ آزمایشگاه کاسپرسکی، مرکز واکنش سریع به مشکلات رایانه‌ای ایران و آزمایشگاه CrySyS دانشگاه تکنولوژی و اقتصاد بوداپست، تجزیه و تحلیل شد؛ هنگامی که اتحادیه بین‌المللی مخابرات سازمان ملل متحد از آزمایشگاه کاسپرسکی خواسته بود گزارش‌های حاکی از ویروس مؤثر بر رایانه‌های وزارت نفت ایران را بررسی کند. همان‌طور که آزمایشگاه کاسپرسکی بررسی کرده بود، آن‌ها یک ام‌دی۵ هَش و نام فایل که به نظر می‌رسید تنها بر روی ماشین‌های مشتری‌های خاورمیانه‌است را کشف کردند. بعد از کشف قطعات بیشتر محققان به برنامه نام فلیم (شعله) دادند. در ابتدا شرکت کاسپرسکی اعلام کرد که بدافزار فلیم از فوریه ۲۰۱۰ فعال شده‌است و بعداً CrySys گزارش داد که نام فایل کامپوننت اصلی در اوایل دسامبر ۲۰۰۷ مشاهده شده بود. با این حال تاریخ ایجاد آن به‌طور مستقیم مشخص نمی‌شود چون تاریخ ایجاد ماژول‌های مخرب به دروغ به اوایل سال ۱۹۹۴ تنظیم شده‌است. در بررسی‌های بعدی با کشف یک سرور که نرم‌افزار فلیم را کنترل می‌کرد مشخص شد که این بدافزار از سال ۲۰۰۶ فعال بوده‌است.[1]

بدافزار یک برنامه نسبتاً بزرگ در اندازه ۲۰ مگابایت است که تا حدی با زبان برنامه‌نویسی لوا با کدهای سی++ لینک شده نوشته شده‌است و به ماژول‌های دیگر حمله‌کننده اجازه می‌دهد بعد از عفونت اولیه لود شوند. بدافزار از ۵ روش رمزنگاری مختلف استفاده می‌کند و یک پایگاه‌ داده، اس‌کیوال لایت، برای ذخیره اطلاعات ساخت‌یافته‌ استفاده می‌کند. روش مورد استفاده برای آلوده کردن کد در سایر پروسه‌ها به صورت مخفی است و ماژول‌های آلوده در لیست ماژول‌های لوده شده، در یک فرایند دیده نمی‌شوند. همچنین صفحات حافظه مورد استفاده تروجان، در برابر خواندن، نوشتن و اجرا کردن محافظت شده‌اند که در نتیجه به وسیلهٔ برنامه‌های سطح کاربر قابل‌دسترس نیستند.

این پروژه شامل سه بدافزاری است که به گفته متخصصان، یکی از آن‌ها همچنان مشغول به کار است.[1]

مانند سلاح سایبری که قبلاً شناخته شده بود، یعنی استاکس‌نت و دوکو، این بدافزار به صورت هدفمند ساخته شده و می‌تواند از طریق قابلیت روت‌کیتها، از نرم‌افزارهای امنیتی فعلی فرار کند. هنگامی که یک سیستم آلوده می‌شود، بدافزار فلیم می‌تواند بروی شبکه محلی یا از طریق فلش دیسک به سیستم‌های دیگر پخش شود و می‌تواند صدا، نماگرفت یا فعالیت‌های کی‌برد و ترافیک شبکه را ضبط کند. برنامه همچنین مکالمات اسکایپ را ضبط می‌کند و می‌تواند سیستم آلوده را به Bluetooth beacons تبدیل کند که تلاش می‌کند اطلاعات تماس را از بلوتوث اطراف جمع‌آوری کند. این داده‌ها همراه به اسناد محلی به سرور فرماندهی و کنترل ارسال می‌شود.
برخلاف استاکس‌نت که برای آسیب رساندن به یک فرایند صنعتی طراحی شده بود، فلیم به نظر می‌رسد که صرفاً برای مقاصد جاسوسی نوشته شده‌است. به نظر نمی‌رسد که برای یک صنعت خاص را هدف قرار داده باشد، بلکه یک ابزار حمله کامل است که برای اهداف سایبری و جاسوسی عمومی طراحی شده‌است.
فلیم هیچ تاریخ پایان عمر را به صورت توکار ندارد تا آن را غیرفعال کند، اما اپراتورها می‌توانند یک ماژول kill ارسال کنند که همه رده‌پاهای فایل‌ها فلیم را از سیستم پاک کند.

روزنامه واشینگتن پست در گزارشی از همکاری آمریکا و اسرائیل در تولید بدافزار موسوم به فلیم (Flame) با هدف خرابکاری در برنامه اتمی ایران خبر داده‌است. این روزنامه به نقل از منابع مطلع ناشناس نوشت: "هدف از تولید این بدافزار، جاسوسی از شبکه‌های کامپیوتری در ایران و کسب اطلاعات لازم برای ایجاد اخلال در پیشرفت برنامه هسته‌ای این کشور بوده‌است."[4]

سازندگان بدافزار «فلیم» (Flame)، با فرستادن دستور «خودکشی»، آن را از برخی کامپیوترهای آلوده، پاک کرده‌اند. شرکت سیمانتک اعلام کرده‌است که در بعضی از کامپیوترهایی که به «فلیم» آلوده شده بودند، رد فرمانی فوری از طرف سازندگانش را پیدا کرده‌اند که برای پاک کردن کامل بدافزار فلیم از روی کامپیوترها طراحی شده بود.[5]

• استارس
• استاکس‌نت
• نبرد مجازی
• جنگ الکترونیک

• ویکی‌پدیا انگلیسی