كاسبرسكي لاب تكتشف البرنامج الخبيث الجديد miniFlame المصمم لعمليات التجسس الإلكترونية ذات الأهداف الحساسة

أعلنت شركة كاسبرسكي لاب اليوم إكتشاف البرنامج الخبيث الصغير وعالي المرونة miniFlame المصمم لسرقة البيانات والتحكم بالنظم المصابة خلال عمليات التجسس الإلكتروني الموجهة نحو أهداف معينة.

وقد عثر الخبراء في شركة كاسبيرسكي لاب على برنامج miniFlame، المعروف أيضاً باسم SPE، في يوليو 2012، وتم تحديده باعتباره وحدة لفيروس Flame. ومع ذلك، أجرى فريق الأبحاث في كاسبرسكي لاب في سبتمبر 2012 تحليلاً متعمقاً لخوادم القيادة والتحكم الخاصة بفيروس Flame وأظهرت النتائج أن وحدة miniFlame هي في الواقع أداة قابلة للتشغيل المتبادل التي يمكن استخدامها كبرنامج خبيث مستقل، أو في نفس الوقت كبرنامج مساعد لبرنامجي Flame وGauss الخبيثين.

وبيّن تحليل وحدة miniFlame أن هناك عدة إصدارات لها وقد تم إنشاؤها بين عامي 2010 و2011، مع بعض المتغيرات التي لا تزال نشطة على الشبكة. التحليل كما كشف التحليل أدلة جديدة عن التعاون بين مبتكري برنامجي Flame وGauss، إذ أن كليهما قادر على استخدام miniFlame كـ"برنامج مساعد" لعملياتهما.

يرتكز برنامج miniFlame، المعروف أيضاً باسم SPE، على نفس المنصة الهندسية الخاصة ببرنامج Flame. يمكنه أن يعمل كبرنامج مستقل للتجسس الإلكتروني أو كمكون داخل برنامجي Flame وGauss.

تعمل أداة التجسس الإلكتروني كباب خلفي مصمم لسرقة البيانات والوصول المباشر إلى النظم المصابة.

قد يعود تاريخ بدء عملية تطوير miniFlame إلى عام 2007 وقد استمرت حتى نهاية عام 2011. ويفترض أنه تم إنشاء العديد من المتغيرات لهذا البرنامج. وحتى الآن، تمكنت كاسبرسكي لاب من كشف ستة من هذه المتغيرات، التي تغطي جيلين رئيسيين وهما: 4.x و5.x.

على عكس برنامجي Flame أو Gauss، اللذين نجحا باستهداف عدد كبير من الأجهزة، إن عدد الأجهزة التي نجح miniFlame بإصابتها أقل من ذلك بكثير، حيث تراوح بين 10 و20 جهاز وفقاً لبيانات كاسبرسكي لاب، في حين يقدر العدد الإجمالي للأجهزة المصابة حول العالم بين 50 و60 جهاز.

بالإضافة إلى مزايا سرقة معلومات والتصميم المرن لبرنامج miniFlame، يشير عدد الإصابات إلى أنه كان يستخدم لإنجاز عمليات التجسس الإلكتروني ذات الأهداف الحساسة، وتم نشره على الأرجح داخل الأجهزة التي تمت إصابتها بالفعل بفيروسي Flame أو Gauss.

الإكتشاف

تم اكتشاف miniFlame خلال التحليل المتعمق الذي أجري على البرنامجين الخبيثين Flame وGauss. ففي يوليو 2012 حدد الخبراء في كاسبرسكي لاب وحدة إضافية من برنامج Gauss، التي أطلق عليها اسم "جون" ووجدوا المراجع المرتبطة بالوحدة نفسها في ملفات التكوين الخاصة ببرنامج Flame. وساهم التحليل اللاحق لخوادم القيادة والتحكم لبرنامج Flame، الذي أجري في سبتمبر 2012، في تبيان أن الوحدة المكتشفة حديثاً هي في الواقع برنامج خبيث يعمل بشكل منفصل، على الرغم من أن هناك إمكانية لاستخدامه كـ"برنامج مساعد" لبرنامجي Gauss وFlame. وقد أطلق على miniFlame اسم SPE في قانون خوادم القيادة والتحكم الأصلية الخاصة ببرنامج Flame.

كما اكتشفت كاسبرسكي لاب 6 إصدارات مختلفة من برنامج miniFlame، يعود تاريخ إنشائها جميعاً إلى  عامي 2010 و2011. وفي نفس الوقت، يشير تحليل برنامج miniFlame الخبيث إلى أن تطويره بدأ في عام 2007 كحد أقصى. إن قدرة miniFlame على استخدامها كبرنامج مساعد لبرنامجي Flame أو Gauss يربط بوضوح التعاون بين فريقي التطوير لهذين البرنامجين. وبما أن العلاقة بين برنامج Flame وStuxnet/Duqu قد تم كشفها مسبقاً، يمكن القول بأن جميع التهديدات المتقدمة تأتي من مصدر "الهجمات الإلكترونية" نفسه.

الوظائف

إن الناقل الأصلي لبرنامج miniFlame لم يتم تحديده بعد. ونظراً للعلاقة المؤكدة بين miniFlame وFlame وGauss، فإن miniFlame قابل للتثبيت على الأجهزة المصابة بالفعل من قبل برنامجي Flame أو Gauss. وبعد تثبيته، يعمل miniFlame كباب خلفي ويمكن مشغلي البرامج الخبيثة من الحصول على أي ملف من الجهاز المصاب. وتتضمن القدرات الإضافية لسرقة المعلومات تصوير لقطات لشاشة جهاز كمبيوتر المصاب أثناء تشغيله لبرنامج أو تطبيق معين مثل متصفح الإنترنت، أو برنامج Microsoft Office أو برنامج Adobe Reader أو خدمة الرسائل الفورية، أو نظام لنقل الملفات. يقوم miniFlame بتحميل البيانات المسروقة من خلال الإتصال بخادم القيادة والتحكم الذي قد يكون مستقلاً أو مشتركاً مع خوادم القيادة والتحكم الخاصة ببرنامج Flame. وبشكل منفصل، بناء على أمر من مشغل خادم القيادة والتحكم الخاص ببرنامج miniFlame، يمكن إرسال وحدة إضافية لسرقة البيانات على نظام مصاب، حيث يستهدف محركات USB ويستخدمها لتخزين البيانات التي تم جمعها من الأجهزة المصابة دون الاتصال بشبكة الإنترنت.

تعليقاً على هذا الاكتشاف، قال ألكسندر غوستيف، رئيس خبراء الأمن في كاسبرسكي لاب: "إن miniFlame هو أداة استهداف عالية الدقة. وهي على الأرجح سلاح إلكتروني اموجه ومستخدم في ما يمكن تعريفه بالموجة الثانية للهجوم الإلكتروني. أولاً، يتم استخدام برنامجي Flame أو Gauss لإصابة أكبر عدد ممكن من الأهداف لجمع كميات كبيرة من المعلومات. وبعد جمع البيانات ومراجعتها، يتم تعريف وتحديد الجهاز المصاب ذات المحتوى المغري، ويتم تثبيت miniFlame من أجل إجراء مزيد من عمليات المراقبة والتجسس الإلكتروني المتعمقة. كذلك، إن اكتشاف miniFlame يوفر لنا أدلة إضافية عن التعاون القائم بين مبتكري أبرز البرامج الخبيثة المستخدمة في الهجمات الإلكترونية وهي: Stuxnet، وDuqu، وFlame وGauss".