پایگاه تحلیلی وایرد در گزارشی مفصل، استاکسنت را رمزگشایی و اهداف آن را در حمله به تأسیسات هستهای ایران بررسی کرد.
اولین سلاح سایبری جهان
استاکسنت چگونه استاکسنت شد؟
خبرگزاری فارس , 24 خرداد 1391 ساعت 11:17
پایگاه تحلیلی وایرد در گزارشی مفصل، استاکسنت را رمزگشایی و اهداف آن را در حمله به تأسیسات هستهای ایران بررسی کرد.
زمانی که فلش مموری آلوده به یک رایانه متصل میشود، اکسپلورر به طور خودکار آن را اسکن میکند. همین کار باعث میشود تا کد حفره روز صفر فعال شده و مخفیانه یک فایل بزرگ که بخشی از آن رمزگذاری شده بود را وارد رایانه مقصد کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،پایگاه تحلیلی وایرد در گزارشی مفصل، استاکسنت را رمزگشایی و اهداف آن را در حمله به تأسیسات هستهای ایران بررسی کرد. در این مقاله میخوانیم که استاکسنت چگونه برای اولین بار مشاهده شد و برخورد شرکتهای آنتی ویروس با آن چه بود.
مشکل در اتاق سانتریفیوژهای نیروگاه
ماه ژانویه سال ۲۰۱۰ بود و بازرسین آژانس بینالمللی انرژی اتمی، بررسی تأسیسات غنیسازی اورانیوم نطنز را به پایان رسانده بودند. در همین هنگام آنان متوجه شدند که چیزی در اتاقهای آبشاری، که هزاران سانتریفیوژ در آن مشغول غنیسازی اورانیوم بودند، از کار افتاده است. متخصصین نیروگاه نطنز با لباسها، دستکشها و کفشهای سفید خود به سرعت در اتاقهای آبشاری پاکیزه این طرف و آن طرف میرفتند و سانتریفیوژهای سنگین را یکی یکی در استوانههای نقرهای درخشان بیرون میبردند.
کارکنان نیروگاه بیش از یک ماه مشغول تعویض سانتریفیوژهای نیروگاه بودند
هر بار که کارکنان نیروگاه، سانتریفیوژهای آسیبدیده و یا غیر قابل استفاده را از کار میانداختند، باید پیش از آن که آنها را از بین ببرند، این دستگاهها را در مکانی قرار میدادند تا آژانس بررسی کند که مواد رادیواکتیو از آنها به بیرون نشت نکرده باشد. اکنون بیش از یک ماه بود که متخصصین نیروگاه این کار را انجام میدادند.
تعویض سالیانه ۸۰۰ سانتریفیوژ در نیروگاه به طور معمول
ایران به طور معمول سالیانه تا ۱۰ درصد از سانتریفیوژهای خود را به علت خلل فیزیکی و یا دلایل دیگر جایگزین میکرد. از آن جایی که در آن زمان حدود ۸۷۰۰ سانتریفیوژ در نیروگاه نطنز وجود داشت، به طور عادی باید در طول سال حدود ۸۰۰ عدد از آنها جایگزین میشد.
تعویض بین ۱۰۰۰ تا ۲۰۰۰ سانتریفیوژ معیوب در طول چند ماه
بعدها آژانس انرژی اتمی، فیلم دوربینهای نظارت بر برنامه غنیسازی اورانیوم ایران را که در خارج از اتاقهای آبشاری نصب شده بود، بازبینی کرد. مأمورین آژانس از شمردن تعداد سانتریفیوژها شگفتزده شدند. تعداد سانتریفیوژهای جایگزین شده باور نکردنی بود. تخمینهای بعدی نشان داد که بین ۱۰۰۰ تا ۲۰۰۰ سانتریفیوژ تنها در طول چند ماه جایگزین شدهاند. سؤال این بود: چرا؟
مشخص بود که مشکلی در زمینه سانتریفیوژها وجود دارد
از ایران خواسته نشد تا دلیل جایگزینی سانتریفیوژها را اعلام کند و بازرسین نیز از لحاظ قانونی حق نداشتند این سؤال را بپرسند. آنان دستور داشتند بر کار ایران با مواد هستهای نظارت کنند و نه این که اشکالات موجود در تجهیزات هستهای این کشور را کنترل کنند. اما مشخص بود که چیزی به سانتریفیوژها آسیب رسانده بود.
نفوذ یک کرم رایانهای حرفهای و مخرب به درون سیستمهای نیروگاه نطنز
آن چه بازرسین نمیدانستند این بود که پاسخی که به دنبال آن بودند در اطراف خودشان مخفی شده است: درون فضای دیسکها و حافظه کامپیوترهای نیروگاه. در ژوئن ۲۰۰۹، فردی بدون سر و صدا یک کرم رایانهای حرفهای و مخرب را منتشر کرده بود. این کرم به درون کامپیوترهای ایران خزیده بود و تنها یک هدف داشت: برنامه غنیسازی اورانیوم ایران را خراب کند.
استاکسنت اولین سلاح سایبری واقعی در جهان
اما این تاریخ تقریباً یک سال پیش از پی بردن بازرسین به وجود این کرم بود. دهها محقق امنیت رایانهای در سراسر جهان ماهها زمان صرف یافتن پاسخ و رمزگشایی نرمافزاری کردند که پیچیدهترین برنامه مخربی است که تا کنون نوشته شده است. نرمافزاری که بالاخره به عنوان اولین سلاح سایبری واقعی در جهان، دفتر تاریخ را ورق زد.
آلودگی رایانه یک کاربر ایرانی در سال ۲۰۱۰
سرگی یولاسن در تاریخ ۱۷ ژوئن ۲۰۱۰ در دفتر کارش در بلاروس مشغول وارسی ایمیلها بود که گزارشی توجهش را جلب کرد. رایانه یکی از کاربران ایرانی مدام ریاستارت میشد: علیرغم تلاشهای اپراتور برای کنترل رایانه، دستگاه پیاپی خاموش و دوباره روشن میشد. به نظر میرسید که رایانه این کاربر ویروسی شده باشد.
یولاسن به بخش آنتیویروس یک شرکت کوچک امنیت رایانهای، موسوم به ویروس بلوک آدا در شهر مینسک، پایتخت بلاروس، مراجعه کرد. امنیت رایانهای که زمانی یک شاخه کوچک و خاص از علوم کامپیوتر بود، در طول چند دهه اخیر به صنعتی چندین میلیارد دلاری تبدیل شده است که با سیل عظیم پیشرفت حملات هکرها، ویروسها، تروجانها و برنامههای جاسوسی در حال رقابت است.
برترین متخصصین امنیتی مانند بروس اشنیر،دن کامینسکن و چارلی میلربه عنوان ستارههای راک در میان دیگر متخصصین امنیتی مطرح هستند و شرکتهای برتر مانند سیمانتک،مکآفی و کسپراسکی به نامهایی مشهور تبدیل شدهاند که از همه چیز محافظت میکنند: از لپتاپهای مادربزرگ گرفته تا شبکههای حساس نظامی. با این حال ویروس بلوک آدا نه یک ستاره راک و نه یک نام مشهور بود، بلکه شرکت ناشناختهای بود که حتی در صنعت امنیت رایانهای نیز افراد کمی نام آن را شنیده بودند. اما این وضعیت به زودی تغییر کرد.
استفاده ویروس از روز صفر، قدرتمندترین سلاح هکرها
تیم تحقیقی یولاسن به دنبال ویروسی رفتند که رایانه مشتریشان را آلوده کرده بود و دریافتند که این ویروس از حفره امنیتی روز صفر برای گسترش استفاده میکند. حفرههای امنیتی روز صفر قدرتمندترین سلاح هکرها هستند: در این روش از اشکالات موجود در نرمافزار که هنوز از سوی سازنده آن و یا سازندههای آنتیویروس شناسایی نشده است، استفاده میشود.
این اشکالات همچنین بینهایت کمیاب هستند. یافتن و استفاده از این اشکالات به مهارت و صرف زمان بسیار زیادی نیاز دارد. در میان بیش از ۱۲ میلیون نرمافزار مخرب که هر سال محققان در زمینه آنتیویروسها کشف میکنند، کمتر از ده نرمافزار از حفرههای روز صفر استفاده میکنند.
اشکال در ویندوز اکسپلورر عامل کارآمدی استاکسنت
در این مورد، استفاده از حفره امنیتی باعث شد تا ویروس به خوبی از طریق فلش مموری از رایانهای به رایانه دیگر منتقل شود. اشکال در فایل LNK ویندوز اکسپلورر بود: یکی از بخشهای اساسی مایکروسافت ویندوز. زمانی که فلش مموری آلوده به یک رایانه متصل میشد، اکسپلورر به طور خودکار آن را اسکن میکرد. همین کار باعث میشد تا کد حفره روز صفر فعال شده و مخفیانه یک فایل بزرگ که بخشی از آن رمزگذاری شده بود را وارد رایانه مقصد کند، همانند یک هواپیمای نفربر نظامی که سربازهای استتار شده را در منطقه هدف پیاده کند. با نگاهی به گذشته، این حفره بسیار واضح به نظر میآمد، زیرا به چنین عملکرد فراگیری حمله میکرد. همچنین محققین به زودی فهمیدند که پیشتر نیز از این حفره استفاده شده است.
هجوم شرکتهای آنتیویروس برای گرفتن نمونه استاکسنت
شرکت ویروس بلوک آدا با مایکروسافت تماس گرفت تا وجود این حفره را به اطلاع این شرکت برساند. غول نرمافزاری جهان در حال آمادهسازی یک پچ بود که در تاریخ ۱۲ ژوئیه، ویروس بلوک آدا کشف خود را با معرفی آن در یک انجمن امنیتی به اطلاع عموم رساند. سه روز بعد، یکی از وبلاگنویسان امنیت رایانهای به نام برایان کربس، داستان این ویروس را منتشر کرد و شرکتهای آنتیویروس از سراسر جهان صف کشیدند تا نمونه این ویروس را دریافت کنند.
مایکروسافت با استفاده از ترکیب نام فایلهای موجود در کد این ویروس (.stub و MrxNet.sys)، نام آن را استاکسنت گذاشت. با شروع به کار صنعت امنیت رایانهای و رمزگشایی و گشایش ساختار این ویروس، ارزیابیهای بیشتری نیز به وجود آمد.
استاکسنت برای قانونی جلوه کردن در ویندوز، تأییدیههایی را از شرکتهای دیگر دزدیده است
مشخص شد که این کد، یک سال پیش در ژوئن ۲۰۰۹ تولید شده است و سازنده مرموز آن در طول این مدت، این کد را بهروزرسانی و اصلاح و سه نسخه از آن را منتشر کرده است. یکی از فایلهای راهاندازی این ویروس از یکی از تأییدیههای امضا شده و معتبر استفاده میکرد که از شرکت ریلتک (RealTek)، از شرکتهای تولید سختافزار در تایوان، دزدیده شده بود. به این ترتیب ویروس باعث میشد رایانه مقصد فریب بخورد و تصور کند که این نرمافزار مخرب یک برنامه مورد اعتماد ساخته شرکت ریلتک است. مقامات اینترنتی ریلتک به سرعت این تأییدیه را باطل کردند، اما استاکسنت این بار از تأییدیه دیگری استفاده کرد که مربوط به شرکت جیمیکرون تکنولوژی بود.
شرکت تولید مدارهای الکترونیکی که دفتر اصلی آن (چه به طور تصادفی و چه غیر تصادفی) در همان شهرک تجاری واقع است که دفتر ریلتک در آن قرار دارد. آیا مهاجمها به طور فیزیکی به درون دو شرکت راه پیدا کرده بودند و تأییدیهها را دزدیده بودند؟ آیا از راه دور این دو شرکت را هک کرده و کلیدهای امضای تأییدیههای دیجیتال آنها را دزدیده بودند؟ هیچ کس نمیدانست. شرکت امنیتی ایست که یکی از تأییدیهها را پیدا کرده بود، در وبلاگ خود نوشت: چنین عملیاتهای حرفهای به ندرت دیده میشود. این نشان میدهد که [مهاجمها] به منابعی بسیار بزرگ دسترسی داشتهاند.
حمله استاکسنت به سیستم کنترل صنعتی استپ ۷ساخت شرکت زیمنس
البته استاکسنت از لحاظ های دیگر، بسیار معمولی و در اهداف خود قانع به نظر میرسید. متخصصین تشخیص دادند که قرار بوده است این ویروس، نرمافزار سیماتیک وینسیسی استپ ۷ را مورد هدف قرار دهد، یک سیستم کنترل صنعتی که به وسیله شرکت زیمنس آلمان ساخته شده است و از آن برای کنترل موتورها، شیرفلکهها و سوئیچها در کارخانههای تولید مواد غذایی و خطوط مونتاژ اتومبیل تا لولههای گاز و تأسیسات پاکسازی آب استفاده میشود.
به نظر میرسید استاکسنت تنها اهداف جاسوسی داشته باشد
هر چند این ویروس در نوع خود جدید بود (سیستمهای کنترلی به طور معمول هدف حمله هکرها قرار نمیگیرند، زیرا هیچ سود واضح اقتصادی در هک کردن این سیستمها وجود ندارد) اما آن چه استاکسنت با سیستمهای سیماتیک انجام داد، جدید نبود. به نظر میرسید که این ویروس تنها تنظیمات و اطلاعات طراحی را از این سیستمها می دزدد تا به این ترتیب یکی از رقبای این شرکت بتواند از طراحی محصولات آن کپیبرداری کند.
استاکسنت مانند یکی دیگر از موارد جاسوسی صنعتی بود. شرکتهای آنتیویروس الگوی نسخههای مختلف این ویروس را به دیتابیس شناسایی خود اضافه کردند و اغلب آنان به ویروسهای دیگر پرداختند. داستان استاکسنت میتوانست همین جا به پایان برسد، اما تعداد کمی از محققان هنوز مایل نبودند تا جریان این ویروس را رها کنند.
محققان در دفترهای شرکت سیمانتک در اروپا و آمریکا در میان افرادی بودندکه در ماه ژوئیه کد ویروس را گرفتند و الگوهایی را برای مشترکان طراحی کردند. اما پس از این کار، ویروس به دست لیام او مورچو از کارکنان دفتر این شرکت در شهر کالور ایالت کالیفرنیا، رسید.
مدیر پاسخهای امنیتی سیمانتک تشخیص داد که استاکسنت باید مورد بررسی عمیقتری قرار گیرد
او مورچو مرد ۳۳ ساله ایرلندی و اسنوبردبازی است که لهجهای آهنگین دارد و موهای قهوهای جلوی صورتش مانند لبههای زمین اسکیت به شکل عمودی ایستاده است. او که مدیر عملیاتهای اسخ امنیتی سیمانتک است وظیفه دارد تا تهدیدهای مهم امنیتی را بررسی و معین کند که آیا نیاز به تحلیل عمقی دارند یا خیر.
اغلب ویروسهایی که شرکت سیمانتک با آنها سر و کار دارد، گونههایی از ویروسهای قبلی هستند که مقابله با آنها دشوار نیست در بین بیش از ۱ میلیون فایل ویروس که سیمانتک و دیگر شرکتهای آنتیویروس به طور ماهیانه دریافت میکنند، اکثر آنها نسخههای دیگر ویروسها و کرمهایی هستند که قبلاً شناسایی شدهاند. این فایلها به طور خودکار و بدون دخالت انسان پردازش میشوند. الگوریتمهای این شرکتها در فایلهای آلوده به دنبال رشتههای داده میگردند که ماهیت ویروس را معین میکنند، سپس الگوهایی را تولید و به برنامههای اسکنکننده در رایانههای مشترکین خود ارسال میکنند.
ویروس های که از حفره صفر استفاده می کنند باید به وسیله انسان بررسی شوند
ویروسهایی که از حفرههای روز صفر استفاده میکنند، خاص هستند و به وسیله انسان بررسی میشوند. او مورچو ویروس استاکسنت را به یکی از مهندسینی داد که در زمینه روز صفر هیچ تجربهای نداشت، وی تصور میکرد که استاکسنت برای آموزش دادن به این مهندس فرصت خوبی است. اما زمانی که خود او نیز به طور همزمان به بررسی کد این ویروس پرداخت، متوجه شد که این کد از آن چه او فکر میکرد بسیار پیچیدهتر است.
کد مطلب: 1604