التعرف الى هوية الفيروس اللاهب “فلايم”
بدأ خبراء امنيون يدرسون آلافا من خطوط التشفير التي يتألف منها فيروس اللهب “فلايم” أو “فلايمر” الذي صُمم لسرقة معلومات من بلدان في عموم الشرق الأوسط. ولكن المفاتيح الرقمية التي عثروا عليها حتى الآن تشير الى مصمميه وقدراتهم.
ويعتقد الباحثون في مختبرات كاسبرسكي الروسية، الذين كانوا السباقين الى الى الابلاغ عن الفيروس ان “فلايم” صممه فريق من المبرمجين يختلف عن فريق المبرمجين الذين صمموا فيروسات أخرى استهدفوا بها كومبيوترات في الشرق الأوسط لا سيما في ايران. ولكن “فلايم” يبدو جزءاً من حملة تدعمها دولة تجسست على برنامج ايران النووي وفي النهاية عطلته عام 2010 عندما دمر هجوم الكتروني نحو 20 في المئة من اجهزة الطرد الايرانية.
ونقلت صحيفة “نيويورك تايمز” عن رويل شوفينبرغ الباحث الأمني في مختبرات كاسبرسكي “ان الذين كتبوا فلايم فريق مختلف من المبرمجين ولكن بتكليف من الكيان الأكبر نفسه”. ورفض شوفينبرغ ان يذكر الحكومات التي يعنيها بكلامه.
ويقول هؤلاء الباحثون ان فيروس اللهب “فلايم” يشترك بسمات لافتة مع برنامجين واسعين آخرين استهدفا ايران في السنوات الأخيرة، الأول “دوكو” الذي كان اداة تجسسية استُخدمت لنسخ تصاميم البرنامج النووي الايراني والثاني “ستاكسنت” الذي صُمم لاستهداف منظومات سيطرة وبالتحديد تخريب اجهزة الطرد الايرانية.
ولأن ستاكسنت ودوكو يستخدمان منصة واحدة ويشتركان ببصمات عديدة في شفرة المصدرن فان الباحثين يعتقدون ان مجموعة واحدة من المبرمجين صممت الفيروسين. ولم تُكشف هوية هؤلاء المبرمجين قط ولكن الباحثين تحدثوا عن خيوط من الأدلة الرقمية تشير الى مشروع اميريكي ـ اسرائيلي مشترك لاجهاض محاولات ايران التي يُشتبه بأنها تهدف الى انتاج قنبلة نووية.
وعلى سبيل المثالن ان الباحثين في مختبرات كاسبرسكي رصدوا ساعات عمل المسؤولين عن تشغيل الفيروس “دوكو” فوجدوا انها تتطابق مع التوقيت المحلي لمدينة القدس. كما لاحظوا ان مبرمجي دوكو لا يعملون بين غروب الشمس ايام الجمعة وغروبها ايام السبت، أي العطلة التي يتوقف فيها اليهود المتدينون عن القيام بأي عمل دنيوي.
وقال خبراء استخباراتيون وعسكريون ان فيروس ستاكسنت اختُبر اولا في مجمع ديمونة المعروف بأنه يضم برنامج اسرائيل النووي في صحراء النقب.
ونقلت صحيفة “نيويورك تايمز” عن باحثين في مختبرات كاسبرسكي في موسكو ان الفيروس “فلايم” ربما سبق نظيريه “دوكو” و”ستاكسنت” او صُمم في وقت واحد معهما. وكانت شركة ويبروت المختصة بمكافحة الفيروسات وقعت اول مرة على عينة من فيروس “فلايم” في كانون الأول/ ديسمبر 2007. ويعتقد الباحثون ان “دوكو” ربما صُمم في آب/ اغسطس 2007. وكانت اول نسخة من ستاكسنت ظهرت في حزيران/ يونيو 2009.
ويشترك الفيروس “فليم” مع “دوكو” في كونه اداة تجسسية يستطيع ان يخطف الصور من شاشة الكومبيوتر ويسجل المراسلات الالكترونية والدردشات والرسائل الآنية ويفتح سماعات عن بعد ويراقب الضربات على لوحة المفاتيح وحركة الشبكة عموما. وحتى إذا لم يكن الكومبيوتر المصاب بهذا الفيروس مرتبطا بالانترنت فان “فلايم” قادر على الانتشار الى كومبيوترات أخرى للبحث عن أجهزة تعمل بتقنية بلوتوث أو مرتبطة بالانترنت في شبكة محلية.
كما يشترك “فلايم” بسمة غربية أخرى مع الفيروس “دوكو” هي تعلقه بالشخصيات السينمائية الاميركية.
وسيحتاج الباحثون المختصون بأمن الكومبيوتر في انحاء العالم الى مزيد من الوقت لاكتشاف المزيد عن هذا الفيروس. فان شفرات “فلايم” تزيد 20 مرة على شفرات ستاكسنت وهو أوسع انتشارا من دوكو. وقال الباحثون في مختبرات كاسبرسكي انهم اكتشفوا الفيروس “فلايم” في مئات الكومبيوترات ويتوقعون ان يزيد عدد الكومبيوترات المصابة على الف كومبيوتر.
وكانت ايران اكدت يوم الثلاثاء ان الفيروس “فلايم” اخترق كومبيوترات تعود الى مسؤولين كبار.
وما زال الباحثون يحاولون ان يعرفوا إن كانت للفيروس “فلايم” القدرات التخريبية نفسها التي يتمتع بها الفيروس ستاكسنت. وهناك ادلة تشير الى ان “فلايم” قادر على محو السواق الصلب للكومبيوتر. وقال باحثون في شركة سيمانتيك الاميركية لأمن الانترنت ان “فلايم” يستخدم ملفا محددا ارتبط سابقا بفيروس آخر اسمه “وايبر”، قال مسؤولون ايرانيون انه أزال معلومات محفوظة على سواقات صلبة في منشآت نفطية الشهر الماضي. ويحاول الباحثون ان يعرفوا إن كان “وايبر” فيروسا منفصلا أم وحدة تابعة للفيروس “فلايم” تنفذ اوامره.
وقال الباحث فيكرام ثاكور من شركة سيمانتيك ان “فلايم” هو ثالث فيروس من هذا النوع يظهر في السنوات الثلاثة الماضية. واضاف انه الأكبر والسؤال الذي يتعين طرحه الآن هو “كم من هذه الحملات تجري الآن دون ان نعلم بها”.