Digital Clock and Date

الجمعة، سبتمبر 27، 2013

تقرير شركة كاسبرسكاى عن فيرس flame

نشرت شركة كاسبرسكي لاب نتائج البحث الجديد المتعلق بالكشف عن حملة التجسس الالكتروني لFlame ( فلام ) الممولة من قبل دولة ما (لم تعلن الشركة عن اسم الدولة) وقد تم خلال البحث الذي أجرته كاسبرسكي لاب مع منظمةIMPACT - الجناح التنفيذي التابع للاتحاد الدولي للاتصالات، المكلف بشؤون الأمن الالكتروني، تحليل عدد من خوادم الأوامر والمراقبة التي استخدمت من قبل Flame بالتفصيل. وقد عثر على آثار 3 برمجيات خبيثة لم تكتشف بعد، كما تبين أن عملية تطوير منصة Flame تعود إلى عام 2006. واكتشفت حملة Flame التجسسية لأول مرة في مايو 2012 من قبل كاسبرسكي لاب خلال تحريات بادر بها الاتحاد الدولي للاتصالات، عقب هذا الاكتشاف، عملت منظمة IMPACT على إصدار إنذار فوري للدول ال144 الأعضاء فيها، وأرفقته بإجراءات المعالجة والإزالة. وقد كان تعقيد الشيفرة والروابط المؤدية إلى مطوري Stuxnet تشير إلى أن Flame هو نموذج آخر لعملية الكترونية معقدة ممولة من قبل دولة ما. ودلت التقديرات الأولية على أن Flame بدأ عملياته في 2010 إلا أن التحليل الأول لبنية C&C التحتية له (شملت ما لا يقل عن 80 اسم نطاق معروف). وتبنى المهاجمون أساليب تشفير معقدة ليستأثروا وحدهم على البيانات المحملة من الآلات المصابة. وقد كشف تحليل النصوص التي استخدمت في التحكم بعملية نقل البيانات إلى الضحايا عن 4 بروتوكولات اتصال، واحد منها كان متوائما مع Flame. وهذا يعني أن هناك 3 أنواع على الأقل من البرمجيات الخبيثة استغلت خوادم C&C هذه. وهذا دليل كاف لإثبات أن برنامجا خبيثا واحدا على الأقل تابع لFlame لا يزال يمارس نشاطه. ولم يكتشف هذا البرنامج الخبيث بعد. اكتشاف هام آخر للبحث يشير إلى أن تطوير خوادم C&C التابعة لFlame بدأ في ديسمبر 2006. وهناك ما يدل على أن المنصة لا تزال في مرحلة التطوير كون أن بروتوكولا جديدا لم يستخدم بعد "Red Protocol" قد وجد في الخوادم. وأجرى آخر تحديثاً لشيفرة الخوادم في 18 مايو 2012 من قبل أحد المبرمجين.
وقال الكسندر جوستيف، كبير خبراء الأمن في كاسبرسكي لاب، في تعليق على هذا الموضوع: "لم يكن من السهل علينا تقدير كمية البيانات المسروقة من قبل Flame، حتى بعد تحليل خوادم الأوامر والمراقبة. مطورو Flame بارعون في إخفاء آثارهم. غير أنهم ارتكبوا خطأ ساعدنا على اكتشاف بيانات أكثر مما يستطيع خادم واحد تخزينه. وانطلاقا من ذلك يمكنكم أن تروا أن هناك أكثر من 5 جيجابايت من البيانات قد نزلت على هذا الخادم في أسبوع من نحو أكثر من 5 آلاف آلة. وضرب هذا الفيروس بعض الدول منها السعودية وايران وفلسطين ومصر وسوريا ولبنان والسودان، وفيروس (Flame) يعد من أخطر فيروسات التجسس الالكتروني والتصنت وجمع البيانات في سرية غير مكتشفة، وهو معقد لدرجة أثبتت أنه نتاج دولة وليس منظمة صغيرة أو شخص ما، وهو يقوم بتسجيل المحادثات الصوتية و تسجيل ضغطات لوحة المفاتيح فيقوم بارسال هده المعلومات الى جهة مجهولة من أجل التجسس. اثار الاكتشاف الاخير لفيروس المعلوماتية "فليم" (الشعلة) الذي يعمل منذ عدة سنوات بقدرة تدميرية قد لا يكون لها مثيل، مخاوف الخبراء من ان يشهد العالم مرحلة جديدة من حرب المعلوماتية. ويقول ديفيد ماركوس مدير الابحاث حول الامن في ماكافي لابز "نشهد ظهور برامج معلوماتية مؤذية وهجمات اكثر تحديدا" مؤكدا ان خصوصية هذا الفيروس الجديد هي ان "المهاجم يعرف ضحيته ويصمم برنامجه المسيء عملا بالبيئة التي سيطلقها فيها". واعلنت "كاسبيرسكي لاب" الروسية لانتاج البرامج المضادة للفيروسات المعلوماتية والتي تعد من اكبر شركات انتاج البرامج المضادة للفيروسات في العالم، في بيان الاثنين ان خبراءها اكتشفوا الفيروس المعروف باسم فليم او فليمر خلال تحقيق اجراه الاتحاد الدولي للاتصالات، ويمكن استخدامه "سلاحا الكترونيا" ضد عدة دول. واكدت ان هذا البرنامج "كان موجودا منذ اكثر من سنتين". واكد ماركوس ان جمع معلومات حول الاهداف للتمكن لاحقا من تصميم فيروسات تهاجم شبكات محددة واشخاصا يستخدمونها هو بالتأكيد ممارسة "رائجة" وتشكل اسلوب هجمات اعلن عنه مع اكتشاف الفيروس ستاكسنت. واضافت كاسبيرسكي ان الفيروس فليم اقوى بمعدل "عشرين مرة من ستاكسنت" ويستخدم لغايات "التجسس الالكتروني" اي انه يمكن ان يسرق معلومات مهمة محفوظة في الحواسيب الى جانب معلومات في انظمة مستهدفة ووثائق محفوظة والمتصلين بالمستخدمين وحتى تسجيلات صوتية ومحادثات ثم يرسلها الى خوادم في كافة انحاء العالم.