ثلاثة فيروسات مشابهة لـ Flame، وأمريكا في قفص الاتهام
كشف عدد من الباحثون عن أدلة تشير إلى احتمال تورط الولايات المتحدة الأمريكية بابتكار ثلاثة فيروسات كمبيوتر لم تكن معروفة من قبل لاستخدامها في عمليات التجسس او الحرب الالكترونية.
وقد تعزز هذه المعلومات الجديدة الفكرة السائدة بأن الولايات المتحدة الأمريكية تستخدم تقنية الانترنت بشكل اكبر مما كان متوقع لتعزز مصالحها في الشرق الأوسط، حيث ارتبطت الولايات المتحدة الأمريكية بفيروس “ستكسنت” الذي هاجم برنامج إيران النووي في 2010 وفيروس فليم الذي تم الكشف عنه في شهر مايو.
وكشفت كل من شركتي سيمانتيك وكاسبرسكي لاب أدلة على أن مشغلي فيروس فليم ربما قد قاموا بابتكار ثلاثة فيروسات اخرى لم يتم الكشف عنها بعد.
ورفضت الشركتان بعدما أجرت كل واحدة تحليلاتها على حدة التعليق على من يقف وراء فيروس فليم. لكن مسئولين غربيين حاليين وسابقين في مجال الأمن الوطني قالوا لرويترز إن الولايات المتحدة لعبت دورا في ابتكار الفيروس فليم. وذكرت صحيفة واشنطن بوست أن إسرائيل متورطة أيضا.
وقالت مصادر سابقة وحالية في الحكومة الأمريكية أيضا، إن الولايات المتحدة كانت وراء فيروس ستكسنت. وربطت شركتا كاسبرسكي وسيمانتيك فيروس ستكسنت بفيروس فليم في يونيو حزيران وأوضحتا أن جزءا من فيروس فليم متطابق تقريبا مع الشفرة التي كشفت في فيروس ستكسنت في عام 2009.
أما الآن لا تعرف الشركتان سوى القليل جدا عن الفيروسات التي تم الكشف عنها في الآونة الأخيرة باستثناء الفيروس الذي تم نشره حاليا في الشرق الأوسط. ولا تعرف الشركتان لأي غرض طورت هذه البرامج الخبيثة. وقال كوستين رايو مدير الأبحاث وفريق التحليل في شركة كاسبرسكي “قد يكون أي شيء.”
وأصدرت كاسبرسكي وسيمانتيك النتائج التي توصلتا إليها في تقارير تصف تحليل خوادم “القيادة والسيطرة” التي تستخدم للاتصال بأجهزة الكمبيوتر المصابة بفيروس فليم والسيطرة عليها.
وقال باحثون من الشركتين إن عملية تشغيل فيروس فليم كانت تدار باستخدام برنامج يسمى “أخبار لك” طوره فريق يضم أربعة من مطوري البرمجيات ابتداء من عام 2006.
وقالت كاسبرسكي في تقريرها إن البرنامج جرى تصميمه ليبدو وكأنه برنامج عام لإدارة المحتوى على مواقع الإنترنت على الأرجح في محاولة لإخفاء الغرض الحقيقي من استضافة مقدمي الخدمات أو المحققين حتى لا تتعرض العملية للخطر.
وقال فيكرام ثاكور الباحث في سيمانتيك في مقابلة “نحن نعلم أنه من المؤكد هناك. إلا أننا لا نستطيع معرفة كيف نضع أيدينا بالفعل عليه. نحاول فحسب.”
وتشير كاسبرسكي إلى أن نحو 12 جهاز كمبيوتر في إيران ولبنان تعرضت للاصابة باحد البرامج الخبيثة الجديدة التي تحاول التواصل مع خوادم القيادة والسيطرة.
ووجد الباحثون كميات كبيرة من البيانات على احد خوادم القيادة والسيطرة لكن لا يمكنهم تحليلها بسبب تشفيرها باستخدام كلمة مرور قالوا سيكون من المستحيل تقريبا فكها.
ويعتقد الباحثون أن التشفير قوي جدا لأن الأشخاص الذين ينسقون الهجوم لا يرغبون في أن يتمكن العمال الذين يستخدمون برنامج “أخبار لك” من قراءة معلومات قد تكون حساسة.
وقالت سيمانتيك في تقريرها “هذا النهج لتحميل حزم البيانات يناسب عمليات الجيش أو المخابرات.”
و من ناجية اخرى، حذر العديد من الخبراء الدوليون من الدودة الالكترونية “فليمر دبليو 32” التي استهدفت منطقة الشرق الأوسط مؤخراً.
وقال الخبراء أن الدودة الجديدة تعتبر أداة تجسسية خبيثة، كما أنها استخدمت في وقت سابق من هذا العام وتسببت بالكثير من المشاكل لعدد كبير من الكمبيوترات حول العالم.
تم رصد أول تفاعل مع حاسوب مستهدف من الدودة بعد دقائق قليلة من تهيئة الخادم الأول في 25 مارس 2012 كما تم تهيئة الخادم الأخر في 18 مايو 2012، وبعد أسابيع معدودة تمكن الخادمان من التحكم بمئات الكمبيوترات المخترقة حول العالم.
جمع الخادم الذي تمَّت تهيئته في 25 مارس 2012 قرابة 6 جيجابايت من البيانات المخزَّنة في الحواسيب المخترَقة خلال أسبوع واحد لا أكثر. وبالمقارنة، جَمَع الخادم الذي تمت تهيئته في 18 مايو 2012 نحو 75 ميغابايت من البيانات المخزَّنة في الحواسيب المخترَقة، فقد اقتصرت مهمته على توزيع وزرع وحدة تحكُّم في الحواسيب المخترَقة، وبالعودة على الأرقام المذكورة نرى أن الخادم الأول استطاع السيطرة على 90% من تأثير الدودة.
حيث تتم عملية القيادة والتحكُّم من خلال تطبيق ويب يُسمَّى Newsforyou، حيث يقوم التطبيق المذكور بمعالجة تفاعلات الدودة W32.Flamer ليوفر منصة تحكُّم مبسَّطة يتمثل دورها في تمكين المهاجِمين من تحميل حُزم تشفيرية على الحواسيب المخترَقة، ومن ثم تنزيل حُزم بيانات منها. ولا يبدو أن استخدام التطبيق المذكور يقتصر على الدودة W32.Flamer، فهو مصمَّم للتواصل مع الحواسيب التي اخترقتها مُعرِّفات برمجيات خبيثة متعدِّدة باستخدام برتوكولات مختلفة.
