پژوهشگران امنیت سایبری علائم تازهای از وجود یک عملیات تجسسی سایبری دیگر در ایران پیدا کرده اند.
محققین دو شرکت کامپیوتری کاسپرسکی و سیمانتک روز دوشنبه، ۲۷ شهریور اعلام کردند به دنبال بررسی ویروس «فلیم»، حداقل سه نرمافزار تجسسی دیگر را که در ایران فعال هستند، پیدا کردهاند.
عملیات تجسسی سایبری در ایران ابتدا در ماه ژوئن ۲۰۱۰، با کشف ویروس استاکس نت در نیروگاههای هستهای این کشور بر ملا شد. سپس یک نرمافزاری تجسسی دیگر به نام «دوکو» در سپتامبر ۲۰۱۱، و به دنبال آن ویروسهای «فلیم» در ماه میسال جاری و «گاوس» در جولای کشف شدند. اما تحقیقات اخیر دو شرکت مذکور نشان دهنده وجود یک عملیات سایبری وسیع در قبال ایران هستند.
طبق تحقیقات به عمل آمده، پژوهشگران متوجه شدهاند که نرمافزار «فلیم» دارای یک سیستم خود تخریبی است که اطلاعات به دست آمده را پس از استخراج به طور اتوماتیک حذف میکند.
اما به گفته محققین یک اشتباه باعث شده بود که یک فایل رمز گذاری شده به همراه مقداری دادههای طبقه بندی شده در دو سرور واقع در اروپا که با ویروس «فلیم» در ارتباط بودند، قابل دسترس شوند.
پژوهشگران با مطالعه این اطلاعات متوجه شدهاند که این دو سرور از طریق ویروس «فلیم» و سه نرمافزار تجسسی دیگر، از کامپیوترهایی که مورد حمله قرار گرفته بودند، اطلاعات استخراج میکردند. طبق این مطالعات اکثر سیستمهای کامپیوتری مورد حمله در ایران قرار دارند.
بنا به گفته محققین این عملیات سایبری یک پروژه تجسسی وسیع است که قادر است بیش از پنج گیگا بایت اطلاعات از بیش از پنج هزار کامپیوتر در هر هفته فقط به یکی از این سرورها استخراج کند.
اوایل تابستان روزنامه آمریکایی نیویورک تایمز گزارش کرد که ویروس «استاکس نت» بخشی از یک پروژه وسیع تر مشترک میان دولتهای آمریکا و اسرائیل به نام «عملیات بازیهای المپیک» است.
مطالعه ویروسهای «دوکو»، «فلیم» و «گاوس» که دیرتر کشف شدند، نشان داد که این سه ویروس به لحاظ نرم افزاری به هم نزدیک هستند، و هر سه نیز با «استاکس نت» مرتبط هستند که این امر نشان دهنده این بود که کلیه این ویروسها در یک مجموعه قرار دارند.
بررسیهای جدید روی ویروس «فلیم» همچنین روشن کردهاند که این ویروس ابتدا در سال ۲۰۰۶ طراحی شده. از آنجایی که طراحی این ویروس هزینه بسیار بالایی به همراه داشته، و سیستمهای کامپیوتری خاص و محدودی را مورد هدف قرار داده، این امر حاکی از آن است که این پروژه توسط یک دولت پشتیبانی میشده است.
کوین هیلی، مدیر بخش امنیتی شرکت سیمانتک در این زمینه گفته است: این ویروس اطلاعات کارتهای بانکی را استخراج نمیکند، پس چه کسی هزینه را بر عهده دارد؟ چه منفعتی در قبال خطرات آن وجود دارد؟ در نتیجه باید گفت که احتمالا توسط یک دولت پشتیبانی میشود.
طبق تحقیقات انجام شده نکته قابل توجه دیگر در مورد اطلاعات استخراج شده این است که تمامی این اطلاعات به شکل کد درج میشوند، و راه شکستن کد این اطلاعات در هیچ کدام از سرورها وجود ندارد. این بدان معناست که افرادی که مسئول استخراج این اطلاعات هستند به هیچ وجه از محتوای آن با خبر نیستند.
اما با این حال جان بومگارنر، مدیر بخش تحقیقاتی یک موسسه غیر دولتی امنیت سایبری در مورد عملیات تجسسی سایبری گفت: با وجود تمامی این اکتشافات، ابزار دیجیتالی تجسسی امکان بالقوهای برای انکار کردن را نیز فراهم میکنند. اکثر علائم یافت شده هنوز به سازمان اطلاعات آمریکا یا آژانس امنیت ملی برنمیگردند. اما رد پاهای یافت شده دست کم این طور نشان میدهند که چنین نهادهایی این عملیات را هدایت میکردند.