بر اساس سربرگ (header) فايلهاي مرتبط با Narilam، اين بدافزار با زبان برنامه نويسي Borland C++ Builder ۶ تهيه شده است و اگر تاريخ ذكر شده در اين سربرگ صحيح باشد، زمان ساخت آنها بين سالهاي ۲۰۰۹ و ۲۰۱۰ مي باشد.
فليم، ميني فليم، گاوس، madi، داكو وغيره تنها شماري محدود از بدافزارهايي هستند كه طي ماه‌هاي اخير فضاي سايبري را تهديد كرده‌اند.
به گزارش افتانا(پايگاه خبري امنيت فناوري اطلاعات)، تروريسم سايبري كه اين روزها وارد چهارمين دهه عمر خود شده، اكنون چنان گسترش يافته كه از سال ۲۰۱۲ به عنوان سال جهنمي در اين زمينه نام برده و اينگونه اظهار مي‌شود كه در اين فضا افراد با داشتن يك ميليارد دلار و كمتر از پنجاه نفر نيروي متخصص قادر خواهند بود يك كشور را از كار بيندازند.
اين موضوع برروي كشور ما نيز بي تاثير نبوده و طي اين مدت ايران نيز در فضاي سايبري مورد حملات مختلف قرار گرفته و تلاش‌هايي شده است تا بخش هاي مختلفي مانند نفت، صنعت، بانك و... از كار افتاده و يا دچار اختلال شوند.
شمار حملات ريز و درشتي كه در اين زمينه صورت گرفته چنان وسيع بوده كه وزير ارتباطات زماني شمار آن‌ها را حتي تا ۱۴ هزار حمله ارزيابي كرده بود.
در اين ميان در شرايطي كه هنوز مدت زيادي از حملاتي مانند فليم (شعله آتش) و ميني فليم نمي‌گذرد اين روزها در فضاي رسانه‌يي از حمله بدافزار جديدي به نام ناريلام صحبت مي‌شود. به همين بهانه برخي از مهم ترين حملاتي كه در فاصله‌اي نه چندان دور صورت گرفته را مورد مرور قرار داده‌ايم.

استاكس نت و حمله به بخش صنعتي

اواسط سال ۸۹ بود كه رسانه‌هاي مختلف در سطح دنيا بحث حمله كرم جاسوسي به نام استاكس نت خبر داده و بر اين نكته تاكيد كردند كه اين كرم بخش صنعتي كشورها را مورد حمله قرار داده و برخي رايانه‌هاي ايران را هم تحت تاثير قرار داده است. البته در همان دوره محسن حاتم - معاون وقت وزير صنايع - با اشاره به اين‌كه هجوم كرم جاسوس استاكس نت به رايانه‌هاي ايراني مي‌تواند داراي دلايل اقتصادي يا سياسي باشد، گفت: آلودگي به اين كرم از حدود هشت ماه پيش در ايران آغاز شده و مشخص نيست چرا رسانه‌هاي بيگانه هم‌اكنون اين موضوع را مطرح مي‌كنند.
وي عمده مراكز مورد تهاجم اين كرم صنايع مربوط به بخش نفت و نيرو دانسته و از شناسايي IPهاي آلوده و طراحي آنتي ‌ويروس خبر داده بود.
البته اين بدافزار كشورهاي متعددي مانند هند، اندونزي و پاكستان را هم مورد حمله قرار داده بود.

گاوس و سيستم بانكي

ويروس گاوس را مي توان به عنوان يكي ديگر از حملات سايبري دانست كه هدف اصلي آن كشورهاي خاورميانه بود. اين ويروس كه به عقيده بسياري از كارشناسان جهان توسط همان طراحان استاكس نت طراحي شده بود قابليت حمله به زيرساخت‌هاي اصلي كشورها را داشت.
اين بدافزار در ۱۰ آگوست سال ۲۰۱۲ تحت خانواده تروجان‌ها شناسايي و در اواسط سال ۲۰۱۱ به عنوان تروجان بانكي توسط مهاجمين مورد استفاده قرار گرفته و سيستم‌هاي هدف اين بدافزار، سيستم‌هاي خانواده ويندوز ارزيابي شده بود. در واقع اين تروجان به منظور دستيابي به اطلاعات سيستم‌هاي قرباني و سرقت اطلاعات اعتباري، پست الكترونيكي و شبكه‌هاي اجتماعي ايجاد شده بود و كاركرد آن به اين شكل نبود كه همه نوع اطلاعات قابل جمع‌آوري در آن ذخيره شود بلكه مشخصات سيستم استفاده شده و اطلاعات بانكي و اينترنتي مرورگر مورد علاقه اين بدافزار بود.

شعله آتش در تجهيزات نفتي

اما در اين مدت يكي از جدي ترين حملات سايبري حمله‌اي بود كه نسبت به تجهيزات نفتي كشورهاي خاورميانه صورت گرفت. اين بدافزار كه با نام فليم (شعله آتش) به كشورهاي مختلفي ارسال شده بود، پيچيدگي‌هاي متعددي داشت و علاوه بر جاسوسي، يك ويروس مخرب به شمار مي رفت.
در این زمینه پیش از گزارش شرکت سیمانتک تصور می‌شد که ویروس "فلیم" تنها یک ابزار جاسوسی و سرقت اطلاعات بوده است اما ویکرام تاکور، سخنگوی شرکت سیمانتک گفت که این شرکت یکی از بخش‌های ویروس "فلیم" را شناسایی کرده که می‌تواند فایل‌ها را از کامپیوترها پاک کند و این بدان معنی است که ویروس "فلیم" می‌تواند به برخی از برنامه‌های مهم سیب وارد کرده و اجرای آن‌ها را مختل کند و حتی می‌تواند به طور کلی سیستم عامل را از کار بیندازد.
نخست فليم يا گاوس براي آلوده ساختن حداكثر تعداد ممكن قربانيان و جمع‌آوري حجم زيادي از اطلاعات مورد استفاده قرار مي‌گيرند. پس از اينكه داده‌ها جمع‌آوري و بازبيني شدند، يك قرباني جالب توجه انتخاب شده و شناسايي مي‌شود. سپس ميني فليم برروي سيستم قرباني منتخب نصب مي‌شود تا به نظارت عميق‌تر و جاسوسي دقيق‌تر ادامه دهد.
چند روز پس از انتشار اخبار مربوط به اين بدافزار،مركز ماهر مدعي شد كه براي نخستين بار در دنيا، ابزار پاك‌سازي بدافزار Flame را توليد و به زودي از طريق سايت مركز ماهر در اختيار كاربران قرار خواهد داد. شعله آتش از جمله بدافزارهاي پيچيده‌اي محسوب مي‌شد كه از طريق ۴۳ آنتي ويروس مختلف، امكان شناسايي اين بدافزار وجود نداشت.
علاوه بر ايران در اين حوزه، فلسطين،‌ مجارستان، ‌لبنان، استراليا، ‌سوريه، ‌روسيه،‌ هنگ كنگ و امارات از جمله كشورهايي بودند كه مورد هدف اين بدافزار قرار گرفتند.

Madi

اواخر تيرماه امسال بود كه يك ويروس كه بيش از هشت ماه از شروع فعاليت آن مي‌گذشت، شناسايي شد و اينگونه اعلام شد كه حدود ۸۰۰ رايانه توسط اين بدافزار آلوده شده است.
خبر انتشار اين ويروس اولين بار توسط كسپرسكي اعلام شد كه ادعا مي‌كرد كه اين تروجان بيش از ۸۰۰ كامپيوتر را آلوده كرده و بيش از هشت ماه از شروع فعاليت آن مي‌گذرد و مشخص نيست چرا يك بدافزار ساده كه از مدتها قبل توسط شركتهاي معتبر آنتي ويروس شناسايي شده بود، در يك مقطع زماني به طور گسترده تحت پوشش خبري قرار گرفته است.
ثبت اطلاعات صفحه كليد، عكس گرفتن از صفحه مانيتور در فواصل مشخص، عكس گرفتن در صورت استفاده از قبيل facebook، skype و يا Gmail،‌ و ايجاد درهاي پشتي جهت نفوذ و دسترسي مهاجم، ضبط، ذخيره و ارسال فايلهاي صوتي از جمله كاركردهاي اين ويروس بود.
وزير ارتباطات و فناوري اطلاعات درباره اين بدافزارخطاب به كاربران گفته بود كه از باز كردن اي‌ميل‌ها و فايل‌هايي كه از طريق كاربران ناشناخته براي آن‌ها ارسال مي‌شود خودداري كنند.
بررسي‌هاي به عمل آمده بر روي نمونه‌هاي madi گوياي آن بود كه يك بدافزار ساده و كم هزينه بوده و در آن از هيچ آسيب‌پذيري خاصي جهت انتشار و آسيب رساني به سيستم ها استفاده نشده است. لذا بر خلاف ادعا هاي صورت گرفته مبني بر مقايسه اين بدافزار با تهديداتي نظير flame و در نظر گرفتن آن به عنوان يك تهديد هدفمند سايبري دور از ذهن بنظر مي رسد.

ميني فليم

اوايل مهر ماه امسال و در شرايطي كه تنها چند ماه از انتشار بدافزارهايي مانند فليم و گاوس مي گذشت اين بار بدافزاري با نام ميني فليم جاسوسي خود را آغاز كرد.
در ارتباط با اين بدافزار اينگونه اعلام شده بود كه ميني فليم در واقع شكلي جديد از بدافزار فليم است كه توسط حكومت‌ها پشتيباني مي‌شود و به‌طور خاص براي جاسوسي طراحي شده و جايي كه كار فليم تمام مي شود اين بدافزار آغاز به كار مي كند.
در توضيحات كسپرسكي درباره ميني فليم آمده بود:نخست فليم يا گاوس براي آلوده ساختن حداكثر تعداد ممكن قربانيان و جمع‌آوري حجم زيادي از اطلاعات مورد استفاده قرار مي‌گيرند. پس از اينكه داده‌ها جمع‌آوري و بازبيني شدند، يك قرباني جالب توجه انتخاب شده و شناسايي مي‌شود. سپس ميني فليم برروي سيستم قرباني منتخب نصب مي‌شود تا به نظارت عميق‌تر و جاسوسي دقيق‌تر ادامه دهد.
بنا بر اعلام مركز ماهر، احتمالا توسعه دهندگان MiniFlame كار خود را در سال ۲۰۰۷ آغاز كرده‌اند.
نكته ديگر آن كه گفته مي شد نرخ آلودگي اين بدافزار به خصوص در مقايسه با گاوس و فليم پايين بوده و تنها ۵۰ تا ۶۰ كامپيوتر در سراسر جهان توسط اين بدافزار آلوده شده‌اند. اما در اين نوع حملات تمركز برروي تعداد قربانيان نيست، بلكه بيشتر اهداف خاص مد نظر است.

و اما ناريلام

اما در آخرين خبرها، از ورود بدافزاري تازه با نام ناريلام صحبت مي‌شود كه البته مركز ماهر در اين باره بر اين نكته تاكيد دارد كه اين بدافزار در سال ۸۹ توسط مراكز و شركت‌هاي فعال در حوزه امنيت فناوري اطلاعات كشور شناسايي و گزارش شده است.
در اطلاعيه مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه‌يي آمده است: بررسي‌هاي اوليه تا اين لحظه نشان مي‌دهد بدافزار فوق الذكر بر خلاف اخبار منتشر شده تهديد جدي سايبري نبوده بلكه يك بدافزار محلي است كه احتمالا به منظور آسيب زدن به كاربران محصولات نرم افزاري شركت خاص ايجاد شده است.
طراحي و پياده‌سازي اين بدافزار اثري از پيچيدگي‌هاي يك حمله سايبري يا حتي بدافزارهاي قدرتمند گروه‌هاي خرابكار سايبري را ندارد و بيشتر شبيه يك بدافزار آماتوري است. دامنه فعاليت اين بدافزار و انتشار آن بسيار محدود بوده و تنها كاربران محصولات نرم‌افزاري سيستم‌هاي مالي و حسابداري مي‌توانند نسبت به اسكن سيستم توسط آنتي ويروس بروز شده اقدام كنند.
البته با اين وجود برخي از فعالان فضاي مجازي در اين زمينه بر اين نكته اذعان داشتند كه فارغ از اينكه آيا مي توان گونه جديد ويروس ناريلام را يك بدافزار "ضد ايراني" با اهداف سياسي در نظر گرفت كه با هدف حمله به زيرساخت‌هاي اطلاعاتي كشور توليد و منتشر شده و يا برعكس بزرگنمايي اين ويروس در رسانه‌ها را يك ترفند تجاري، تبليغاتي يا رسانه‌يي تلقي كرد، مديران شبكه‌هاي سازماني كشور بايد حداكثر توجه و هشياري را در رعايت جوانب حفاظتي و امنيتي در شبكه به خرج دهند تا احتمال نفوذ اين بدافزار و يا آلودگي‌هاي ويروسي مشابه را به حداقل برسانند.