فلیم، پیچیدہ ترین مال ویئر

218

flame-malware-codeفلیم مال ویئر جب سے منظر عام پر آیا ہے، سکیوریٹی ماہرین میں اس ہی کا چرچا ہے۔ اقوام متحدہ کی انٹرنیشنل ٹیلی کمیونی کیشن یونین کے علم میں یہ بات آئی تھی کہ مشرق وسطیٰ کے ممالک اور خاص طور پر ایران میں چل رہے کمپیوٹر میں موجود حساس نوعیت کی معلومات کوئی وائرس ڈیلیٹ کررہا ہے۔ اس وائرس کو تلاش کرنے کی ذمہ داری روسی انفارمیشن ٹیکنالوجی کمپنی ’’ کیسپر اسکائی‘‘ کے سپرد کی گئی جنہوں نے اپنی تحقیق کے دوران فلیم ( Flame) کو دریافت کیا۔ فلیم سے پہلے اسے Wiper کے کوڈ نیم سے پکارا جاتا تھا۔ اب تک یہ مال ویئر مشرق وسطیٰ کے عرب ممالک، ایران اور اسرائیل میں موجود کمپیوٹرز میں دریافت ہوچکا ہے جس سے ظاہر ہوتا ہے کہ اس کا اصل ہدف یہی ممالک تھے۔

فلیم کے تجزیئے سے پتا چلتا ہے کہ یہ مال ویئر کرپٹوگرافی اور اعلیٰ ڈیزائن کا شہ کار ہے۔ یہ اتنا پیچیدہ ہے کہ اس کے بارے میں ابھی تک حتمی طور پر یہ نہیں کہا جاسکا کہ یہ پھیلاتا کیسے ہے اور اس کے کام کرنے کا طریقہ کار کیا ہے۔ اب تک دستیاب معلومات کے مطابق یہ مال ویئر کمپیوٹر سے ہر طرح کا ڈیٹا چُرا سکتا ہے۔ چاہے وہ کوئی فائل ہو یا مسینجر پر کئی جانے والی چیٹ، حتیٰ کہ اسکائپ پر کی جانے والی کالز بھی یہ مال ویئر ریکارڈ کرلیتا ہے۔اسکرین شاٹس اور ٹائپ کیا جانے والا ہر حرف بھی یہ محفوظ کرلیتا ہے۔ اس کے علاوہ یہ کمپیوٹر کا مائیکروفون آن کرکے گفتگو بھی ریکارڈ کرسکتا ہے۔

فلیم کو بنانے والا اسے چند کمانڈ اینڈ کنٹرول سرورز کے ذریعے کنٹرول کرتا ہے۔ فلیم بھی کسی کمپیوٹر کو متاثر کرنے کے بعد اس کا ڈیٹا انہیں کمانڈ اینڈ کنٹرول سرورز کو ارسال کرتا ہے۔ ایک بار یہ کسی کمپیوٹر کو Infected کردے، اس کے بعد یہ کمانڈ اینڈ کنٹرول سرورز کی ہدایت پر نہ صرف خود کو نیٹ ورک پر موجود کمپیوٹرز میں پھیلا سکتا ہے بلکہ Removeable Media جیسے یو ایس بی فلیش ڈرائیوز کوبھی متاثر کرکے ان کے ذریعے بھی پھیل سکتا ہے۔ ساتھ ہی اگر فلیم کا موجد اگر چاہے تو کمانڈ اینڈ کنٹرول سرورز کے ذریعے اس کے مزید Modules یا پلگ انز بھی اپ لوڈ کرسکتا ہے جو اس کو مزید خطرناک اور طاقتور بنا سکتے ہیں۔ اب تک اس کے 20 موڈیولز کا پتا لگایا جاچکا ہے جن کا تجزیئے کیا جارہا ہے تاکہ معلوم ہوسکے کہ ان کا مقصد کیا ہے۔

عام طور پر کمپیوٹر وائرس کا سائز کم سے کم رکھا جاتا ہے تاکہ اسے کمپیوٹر میں چھپانے اور مزید پھیلانے میں آسانی ہو لیکن فلیم کا جحم کافی بڑا یعنی 20میگا بائٹس ہے۔ اس کے اتنے حجم کی وجہ نہ صرف اس کی پیچیدگی ہے بلکہ مختلف طرح کی کمپریشن لائبریریز اور sqlite3 ڈیٹا بیس کا شامل ہونا بھی ہے۔ اسے بنیادی طور پر Luaنامی اسکرپٹنگ لینگویج میں لکھا گیا ہے لیکن ساتھ ہی C++ کی کمپائلڈ لائبریریز بھی اس کا حصہ ہیں۔ Lua کا انتخاب بھی انتہائی سوچ سمجھ کر کیا گیا کہ کیونکہ اس لینگویج میں اس سے پہلے شاید ہی کوئی مال ویئر لکھا گیا ہو۔ انکرپشن کا بھی انتہائی اعلیٰ استعمال اس میں دیکھنے کو ملتا ہے جو اسے اب تک دریافت شدہ مال ویئرز میں سب سے پیچیدہ اور خطرناک بناتا ہے۔ فلیم بنایا کب گیا، یہ بات حتمی طور پر نہیں کہی جاسکتی۔ تاہم خیال ہے کہ اسے 2010میں تیار کیا گیا لیکن اس میں بہتری اور تبدیلی کا کام اب تک کیا جارہا ہے۔
تازہ ترین تجزیئے کے مطابق یہ مال ویئر کسی حد تک Stuxnet  اورDuqu نامی مال ویئر سے ملتا جلتا ہے۔اس سے پہلے کہا جارہا تھا کہ فلیم کا ان دونوں مال ویئرز سے کوئی خاص تعلق نہیں دریافت کیا جاسکا۔ Stuxnet مال ویئر پچھلے سال ایرانی کی جوہری تنصیبات میں نصب کمپیوٹرز کو متاثر کرتے ہوئے پایا گیا تھا۔ اس مال ویئر کے بارے میں قوی امکان ہے کہ اسے امریکی اور اسرائیلی ملی بھگت سے بنایا گیا تھا۔ فلیم کی پیچیدگی کو دیکھتے ہوئے کیسپر اسکائی کا کہنا ہے کہ فلیم کی تیاری میں بھی ضرور کسی حکومت کا ہاتھ ہے۔ لیکن کس حکومت کا، یہ پتا لگانا بے حد مشکل ہے۔ تازہ شواہد بتاتے ہیں کہ شاید Stuxnet کی طرح اس کے پیچھے بھی امریکہ ہی ہے کیونکہ جن ممالک کو اس مال ویئر نے متاثر کیا ہے اور جو ڈیٹا وہ چُرا رہا ہے، اس سے صرف امریکہ ہی کا مفاد وابستہ ہوسکتا ہے۔

جن کمانڈ اینڈ کنٹرول سرورز کے ذریعے فلیم کو کنٹرول کیا جاتا ہے، ان میں سے اکثر کو شناخت کرکے ان کا کنٹرول حاصل کرلیا گیا ہے۔ تاہم اب بھی بہت سے کمانڈ اینڈ کنٹرول سرورز شناخت ہونا باقی ہیں۔ جن ڈومین نیم کو فلیم استعمال کرتا ہے، وہ بھی جعلی ناموں کے ساتھ رجسٹرڈ کرائے گئے ہیں۔ سکیوریٹی ماہرین کے مطابق حالیہ دونوں میں انہوں نے نوٹ کیا ہے کہ فلیم سے متاثر کمپیوٹرز کی تعداد کم ہورہی ہے۔ جس کی وجہ فلیم کے موجود کی جانب سے کمانڈ اینڈ کنٹرول سرورز کے ذریعے، فلیم کو ’’خودکشی‘‘ کا پیغام بھیجنا ہے۔ یہ پیغام موصول ہونے پر فلیم خود کو ڈیلیٹ کرکے کمپیوٹر پر موجود اپنا ہر نشان مٹا دیتا ہے۔ تاہم اس میں خود بخود ختم ہونے کے لئے کوئی مخصوص تاریخ یا وقت مقرر نہیں کیا گیا۔ یہ صرف اسی صورت میں خود کو ختم کرتا ہے جب اسے ایسا کرنے کی کمانڈ موصول ہوتی ہے۔

اینٹی وائرس بنانے والی کمپنیوں کیلئے بھی یہ انتہائی شرمندگی کا باعث ہے کہ وہ اس مال ویئر کو پچھلے دو سال میں دریافت نہ کرسکے۔ ساتھ ہی موجود اینٹی وائرس سسٹمز کی قابلیت پر بھی سوال اٹھنے لگے ہیں جو کہ مخصوص نوعیت کے وائرسز کے علاوہ کچھ اور Detect نہیں کرسکتا۔ نیز اس مال ویئر نے سائبر جنگ کو بھی ایک نئی جہت دی ہے۔ ایران اور امریکہ میں جاری کشیدگی اس مال ویئر کی وجہ سے مزید بڑھے گی اور دونوں جانب سے اپنی برتری ثابت کرنے کے لئے سائبر حملوں میں اضافے کا امکان ہے۔