سازندگان بدافزارهای فلیم و استاکس­‎نت با هم همکاری داشتند

شواهد تازه­‎ای که کسپرسکی­لب از آن­ها پرده برداشته است نشان می­‎دهد که فلیم و نسخه‎ی اولیه‎ی استاکس‎­نت کد مشترکی داشته­‎اند.

به گزارش سیتنا، به گفته‎ی محققان، وجود این کد مشترک حاکی از این است که سازندگان این دو بدافزار در ابتدا با هم همکاری داشتند و سپس در سال 2010 به راه خود رفتند.

محققان کسپرسکی­لب معتقدند آنچه یافته­‎اند پیوند میان فلیم و استاکس­نت است که هدف آن سانتریفوژهای اورانیوم در مراکز هسته­‎ای ایران بود.

بنا به اعلام کسپرسکی، جزء اصلی فلیم حاوی کدی است که به آنچه در نسخه‎ی اولیه‎ی استاکس­نت وجود داشت شبیه است. این کشف مهم است زیرا خیلی­‎ها این سؤال را مطرح کرده­‎اند که آیا پیوندی بین استاکس­نت، دوکو- که آن نیز با استاکسنت مرتبط می‎شود- و فلیم وجود دارد یا خیر؟

این نکته آشکار شده است که نسخه‎ی اولیه‎ی استاکس­نت، که کسپرسکی آن را استاکس­نت A  می­‎نامد، در سال 2009 ظاهر شد و با نسخه­‎های بعدی آن تفاوت بسیاری داشت. برای مثال، نسخه‎ی سال 2009 برای پخش شدن از نقطه ضعف فایل MS10-046 LNK  استفاده نمی­‎‏کرد اما با استفاده از اتوران ترفند خاصی را به کار می­‎برد.

اما مهم­ترین تغییر آن به چیزی موسوم به "resource 207" مرتبط است؛ یک فایل 520, 192- bit DLL که در سال 2010 وقتی کد آن با اجزاء دیگری ادغام شد به کل کنار گذاشته شد.

الکساندر گاستف، رییس گروه تحلیل و تحقیق جهانی در کسپرسکی­لب چنین توضیح داد: "کارکرد اصلی resource 207 تضمین این نکته بود که استاکس­نت از طریق autoraun.inf  به درایوهای قابل جابه­‎جایی یواس­بی راه می­‎یابد، و علاوه بر این، از نقطه ضعفی در win32k.sys استفاده می‎کرد که در آن زمان ناشناخته بود و به کمک آن در مرحله‎ی آلوده شدن از طریق درایو یواس­بی امکان استفاده از سیستم را افزایش می­‎داد."

گاستف خاطرنشان کرد: "گسترش از طریق autorun.inf ترفند دیگری است که هم نسخه‎ی سال 2009 استاکس­نت و هم نسخه­‎های فعلی فلیم از آن استفاده می­‎کنند."

روئل شوئنبرگ، تحلیلگر ارشد ویروس در کسپرسکی  می­‎گوید کد مشترک مذکور ثابت می­‎کند که بین این بدافزارها پیوند مستقیمی وجود دارد و مابین سازندگان آن­ها از ابتدا همکاری وجود داشته است.

او می­‎گوید: "فکر می­‎کنم وقتی موضوع کد مرجع مطرح باشد، احتمال آن بسیار کم است که کسی کد مرجع خود را بدون دلیل با کسی شریک شود. این کد را با هر کسی نمی­‎توان شریک شد."

به گزارش سیتنا (CITNA.IR)، اخیراً گزارشی در نیویورک تایمز منتشر شد که در آن منابع مختلفی اعلام کرده بودند که اوباما دستور استفاده از حملات سایبری علیه ایران را صادر کرده است. این تلاش­‎ها که مبتنی بر طرح‎های تهیه شده در دوران ریاست جمهوری جرج دبلیو بوش بود با هدف جلوگیری از برنامه‎ی هسته­‎ای ایران صورت گرفت.

به گفته‎ی فرانسیس سیانفروکا، مسئول ارشد اجرایی در بیشورنتورکس (Bayshore Networks) "اشاره­‎های ضمنی به جنگ به دو دلیل جالب توجه­‎اند. نخست، باید فرض را بر این گذاشت که عاملان متعددی – که احتمالاً شامل نیروهای حاکم نیز می­‎شود- در این زمینه تلاش می­‎کنند؛ و دوم، همان طور که در این مورد دیدیم، فناوری قابل انتقال است. این بدان معنی است که وقتی حملات شناخته­ شده و عمومی می­‎شوند، تکنیک­‎های به کار رفته در آن­ها به آسانی برای سایرین قابل بهره­برداری خواهد شد. به بیان دقیق­تر، استفاده از سلاح سایبری موجب ارتقاء این نوع سلاح می­‎شود. فکر کردن به مسابقه‎ی تسلیحاتی در دنیای پنهان سایبری کاملاً موجه است."

طی تحلیل دوکو که نخستین بار در سال 2011 ردگیری شد، محققان مشابهت­‎هایی با استاکس­ نت در آن یافتند و سرانجام نیز متوجه شدند که این دو با استفاده از پلتفرم واحدی ساخته شده‎اند که به تیلدد معروف است. اما، به رغم حقایق تازه کشف­ شده، محققان مطمئن بودند که فلیم و تیلدد پلتفرم­‎هایی کاملاً جدا از هم­‎اند، و نیز گروه­های استاکس­نت و فلیم از سال 2010 به بعد به طور مستقل به کار خود ادامه دادند.

به گفته آقای گاستف، " هرکدام از این دو معماری­‎های متفاوتی دارند و برای آلوده کردن سیستم­‎ها و انجام کارهای اصلی خود از ترفندهای خاص خود بهره می­‎برند. پروژه­‎ها به واقع جدا و مستقل از هم بودند. اما یافته­‎های جدید – این که گروه­‎های مذکور لااقل در مراحل اولیه از کد مرجعی واحد در یکی از اجزای خود استفاده کرده­‎اند ثابت می­‎کند که گروه­‎های مذکور لااقل یک بار با هم همکاری کردند. آنچه ما یافته­‎ایم شاهدی بسیار قدرتمند بر این نکته است که سلاح­های سایبری استاکس نت/ دوکو و فلیم با هم پیوند دارند."

منبع خبر: ئی ویک، ترجمه: سازمان فناوری اطلاعات ایران