Gerdab.IR | گرداب

اولین سلاح سایبری جهان؛ (1)

ویروس ضدایرانی استاکس‌نت چگونه به وجود آمد؟

تاریخ انتشار : ۲۳ خرداد ۱۳۹۱

زمانی که فلش مموری آلوده به یک رایانه متصل می‌شود، اکسپلورر به طور خودکار آن را اسکن می‌کند. همین کار باعث می‌شود تا کد حفره روز صفر فعال شده و مخفیانه یک فایل بزرگ که بخشی از آن رمزگذاری شده بود را وارد رایانه مقصد کند.

گرداب- پایگاه تحلیلی "وایرد" در گزارشی مفصل، "استاکس‌نت" را رمزگشایی و اهداف آن را در حمله به تأسیسات هسته‌ای ایران بررسی کرد. در این مقاله می‌خوانیم که استاکس‌نت چگونه برای اولین بار مشاهده شد و برخورد شرکت‌های آنتی ویروس با آن چه بود.

مشکل در اتاق سانتریفیوژهای نیروگاه
ماه ژانویه سال 2010 بود و بازرسین آژانس بین‌المللی انرژی اتمی، بررسی تأسیسات غنی‌سازی اورانیوم "نطنز" را به پایان رسانده بودند. در همین هنگام آنان متوجه شدند که چیزی در اتاق‌های آبشاری، که هزاران سانتریفیوژ در آن مشغول غنی‌سازی اورانیوم بودند، از کار افتاده است. متخصصین نیروگاه نطنز با لباس‌ها، دستکش‌ها و کفش‌های سفید خود به سرعت در اتاق‌های آبشاری "پاکیزه" این طرف و آن طرف می‌رفتند و سانتریفیوژهای سنگین را یکی یکی در استوانه‌های نقره‌ای درخشان بیرون می‌بردند.

کارکنان نیروگاه بیش از یک ماه مشغول تعویض سانتریفیوژهای نیروگاه بودند
هر بار که کارکنان نیروگاه، سانتریفیوژهای آسیب‌دیده و یا غیر قابل استفاده را از کار می‌انداختند، باید پیش از آن که آن‌ها را از بین ببرند، این دستگاه‌ها را در مکانی قرار می‌دادند تا آژانس بررسی کند که مواد رادیواکتیو از آن‌ها به بیرون نشت نکرده باشد. اکنون بیش از یک ماه بود که متخصصین نیروگاه این کار را انجام می‌دادند.

تعویض سالیانه 800 سانتریفیوژ در نیروگاه به طور معمول
ایران به طور معمول سالیانه تا 10 درصد از سانتریفیوژهای خود را به علت خلل فیزیکی و یا دلایل دیگر جایگزین می‌کرد. از آن جایی که در آن زمان حدود 8700 سانتریفیوژ در نیروگاه نطنز وجود داشت، به طور عادی باید در طول سال حدود 800 عدد از آن‌ها جایگزین می‌شد.

تعویض بین 1000 تا 2000 سانتریفیوژ معیوب در طول چند ماه
بعدها آژانس انرژی اتمی، فیلم دوربین‌های نظارت بر برنامه غنی‌سازی اورانیوم ایران را که در خارج از اتاق‌های آبشاری نصب شده بود، بازبینی کرد. مأمورین آژانس از شمردن تعداد سانتریفیوژها شگفت‌زده شدند. تعداد سانتریفیوژهای جایگزین شده باور نکردنی بود. تخمین‌های بعدی نشان داد که بین 1000 تا 2000 سانتریفیوژ تنها در طول چند ماه جایگزین شده‌اند. سؤال این بود: چرا؟

مشخص بود که مشکلی در زمینه سانتریفیوژها وجود دارد
از ایران خواسته نشد تا دلیل جایگزینی سانتریفیوژها را اعلام کند و بازرسین نیز از لحاظ قانونی حق نداشتند این سؤال را بپرسند. آنان دستور داشتند بر کار ایران با مواد هسته‌ای نظارت کنند و نه این که اشکالات موجود در تجهیزات هسته‌ای این کشور را کنترل کنند. اما مشخص بود که چیزی به سانتریفیوژها آسیب رسانده بود.

نفوذ یک کرم رایانه‌ای حرفه‌ای و مخرب به درون سیستم‌های نیروگاه نطنز
آن چه بازرسین نمی‌دانستند این بود که پاسخی که به دنبال آن بودند در اطراف خودشان مخفی شده است: درون فضای دیسک‌ها و حافظه کامپیوترهای نیروگاه. در ژوئن 2009، فردی بدون سر و صدا یک کرم رایانه‌ای حرفه‌ای و مخرب را منتشر کرده بود. این کرم به درون کامپیوترهای ایران خزیده بود و تنها یک هدف داشت: برنامه غنی‌سازی اورانیوم ایران را خراب کند.



استاکس‌نت اولین سلاح سایبری واقعی در جهان
اما این تاریخ تقریباً یک سال پیش از پی بردن بازرسین به وجود این کرم بود. ده‌ها محقق امنیت رایانه‌ای در سراسر جهان ماه‌ها زمان صرف یافتن پاسخ و رمزگشایی نرم‌افزاری کردند که پیچیده‌ترین برنامه مخربی است که تا کنون نوشته شده است. نرم‌افزاری که بالاخره به عنوان اولین سلاح سایبری واقعی در جهان، دفتر تاریخ را ورق زد.

آلودگی رایانه یک کاربر ایرانی در سال 2010
"سرگی یولاسن" در تاریخ 17 ژوئن 2010 در دفتر کارش در بلاروس مشغول وارسی ایمیل‌ها بود که گزارشی توجهش را جلب کرد. رایانه یکی از کاربران ایرانی مدام ری‌استارت می‌شد: علی‌رغم تلاش‌های اپراتور برای کنترل رایانه، دستگاه پیاپی خاموش و دوباره روشن می‌شد. به نظر می‌رسید که رایانه این کاربر ویروسی شده باشد.

یولاسن به بخش آنتی‌ویروس یک شرکت کوچک امنیت رایانه‌ای، موسوم به "ویروس بلوک آدا" در شهر مینسک، پایتخت بلاروس، مراجعه کرد. امنیت رایانه‌ای که زمانی یک شاخه کوچک و خاص از علوم کامپیوتر بود، در طول چند دهه اخیر به صنعتی چندین میلیارد دلاری تبدیل شده است که با سیل عظیم پیشرفت حملات هکرها، ویروس‌ها، تروجان‌ها و برنامه‌های جاسوسی در حال رقابت است.

برترین متخصصین امنیتی مانند "بروس اشنیر"، "دن کامینسکی" و "چارلی میلر" به عنوان ستاره‌های راک در میان دیگر متخصصین امنیتی مطرح هستند و شرکت‌های برتر مانند "سیمانتک"، "مک‌آفی" و "کسپراسکی" به نام‌هایی مشهور تبدیل شده‌اند که از همه چیز محافظت می‌کنند: از لپ‌تاپ‌های مادربزرگ گرفته تا شبکه‌های حساس نظامی. با این حال "ویروس بلوک آدا" نه یک ستاره راک و نه یک نام مشهور بود، بلکه شرکت ناشناخته‌ای بود که حتی در صنعت امنیت رایانه‌ای نیز افراد کمی نام آن را شنیده بودند. اما این وضعیت به زودی تغییر کرد.

استفاده ویروس از "روز صفر"، قدرتمندترین سلاح هکرها
تیم تحقیقی یولاسن به دنبال ویروسی رفتند که رایانه مشتری‌شان را آلوده کرده بود و دریافتند که این ویروس از حفره امنیتی "روز صفر" برای گسترش استفاده می‌کند. حفره‌های امنیتی روز صفر قدرتمندترین سلاح هکرها هستند: در این روش از اشکالات موجود در نرم‌افزار که هنوز از سوی سازنده آن و یا سازنده‌های آنتی‌ویروس‌ شناسایی نشده است، استفاده می‌شود. این اشکالات همچنین بی‌نهایت کمیاب هستند. یافتن و استفاده از این اشکالات به مهارت و صرف زمان بسیار زیادی نیاز دارد. در میان بیش از 12 میلیون نرم‌افزار مخرب که هر سال محققان در زمینه آنتی‌ویروس‌ها کشف می‌کنند، کمتر از ده نرم‌افزار از حفره‌های روز صفر استفاده می‌کنند.

اشکال در "ویندوز اکسپلورر" عامل کارآمدی استاکس‌نت
در این مورد، استفاده از حفره امنیتی باعث شد تا ویروس به خوبی از طریق فلش مموری از رایانه‌ای به رایانه دیگر منتقل شود. اشکال در فایل "LNK" ویندوز اکسپلورر بود: یکی از بخش‌های اساسی مایکروسافت ویندوز. زمانی که فلش مموری آلوده به یک رایانه متصل می‌شد، اکسپلورر به طور خودکار آن را اسکن می‌کرد. همین کار باعث می‌شد تا کد حفره روز صفر فعال شده و مخفیانه یک فایل بزرگ که بخشی از آن رمزگذاری شده بود را وارد رایانه مقصد کند، همانند یک هواپیمای نفربر نظامی که سربازهای استتار شده را در منطقه هدف پیاده کند. با نگاهی به گذشته، این حفره بسیار واضح به نظر می‌آمد، زیرا به چنین عملکرد فراگیری حمله می‌کرد. همچنین محققین به زودی فهمیدند که پیشتر نیز از این حفره استفاده شده است.

هجوم شرکت‌های آنتی‌ویروس برای گرفتن نمونه استاکس‌نت

شرکت ویروس بلوک آدا با مایکروسافت تماس گرفت تا وجود این حفره را به اطلاع این شرکت برساند. غول نرم‌افزاری جهان در حال آماده‌سازی یک پچ بود که در تاریخ 12 ژوئیه، ویروس بلوک آدا کشف خود را با معرفی آن در یک انجمن امنیتی به اطلاع عموم رساند. سه روز بعد، یکی از وبلاگ‌نویسان امنیت رایانه‌ای به نام "برایان کربس"، داستان این ویروس را منتشر کرد و شرکت‌های آنتی‌ویروس از سراسر جهان صف کشیدند تا نمونه این ویروس را دریافت کنند. مایکروسافت با استفاده از ترکیب نام فایل‌های موجود در کد این ویروس (.stub و MrxNet.sys)، نام آن را استاکس‌نت گذاشت. با شروع به کار صنعت امنیت رایانه‌ای و رمز‌گشایی و گشایش ساختار این ویروس، ارزیابی‌های بیشتری نیز به وجود آمد.

استاکس‌نت برای قانونی جلوه کردن در ویندوز، تأییدیه‌هایی را از شرکت‌های دیگر دزدیده است
مشخص شد که این کد، یک سال پیش در ژوئن 2009 تولید شده است و سازنده مرموز آن در طول این مدت، این کد را به‌روزرسانی و اصلاح و سه نسخه از آن را منتشر کرده است. یکی از فایل‌های راه‌اندازی این ویروس از یکی از تأییدیه‌های امضا شده و معتبر استفاده می‌کرد که از شرکت "ریل‌تک" (RealTek)، از شرکت‌های تولید سخت‌افزار در تایوان، دزدیده شده بود. به این ترتیب ویروس باعث می‌شد رایانه مقصد فریب بخورد و تصور کند که این نرم‌افزار مخرب یک برنامه مورد اعتماد ساخته شرکت ریل‌تک است. مقامات اینترنتی ریل‌تک به سرعت این تأییدیه را باطل کردند، اما استاکس‌نت این بار از تأییدیه دیگری استفاده کرد که مربوط به شرکت "جی‌میکرون تکنولوژی" بود. شرکت تولید مدارهای الکترونیکی که دفتر اصلی آن (چه به طور تصادفی و چه غیر تصادفی) در همان شهرک تجاری واقع است که دفتر ریل‌تک در آن قرار دارد. آیا مهاجم‌ها به طور فیزیکی به درون دو شرکت راه پیدا کرده بودند و تأییدیه‌ها را دزدیده بودند؟ آیا از راه دور این دو شرکت را هک کرده و کلیدهای امضای تأییدیه‌های دیجیتال آن‌ها را دزدیده بودند؟ هیچ کس نمی‌دانست. شرکت امنیتی "ای‌ست" که یکی از تأییدیه‌ها را پیدا کرده بود، در وبلاگ خود نوشت: چنین عملیات‌های حرفه‌ای به ندرت دیده می‌شود. این نشان می‌دهد که [مهاجم‌ها] به منابعی بسیار بزرگ دسترسی داشته‌اند.

حمله استاکس‌نت به سیستم کنترل صنعتی "استپ 7" ساخت شرکت "زیمنس"
البته استاکس‌نت از لحاظ های دیگر، بسیار معمولی و در اهداف خود قانع به نظر می‌رسید. متخصصین تشخیص دادند که قرار بوده است این ویروس، نرم‌افزار "سیماتیک وین‌سی‌سی استپ 7" را مورد هدف قرار دهد، یک سیستم کنترل صنعتی که به وسیله شرکت زیمنس آلمان ساخته شده است و از آن برای کنترل موتورها، شیرفلکه‌ها و سوئیچ‌ها در کارخانه‌های تولید مواد غذایی و خطوط مونتاژ اتومبیل تا لوله‌های گاز و تأسیسات پاک‌سازی آب استفاده می‌شود.

به نظر می‌رسید استاکس‌نت تنها اهداف جاسوسی داشته باشد
هر چند این ویروس در نوع خود جدید بود (سیستم‌های کنترلی به طور معمول هدف حمله هکرها قرار نمی‌گیرند، زیرا هیچ سود واضح اقتصادی در هک کردن این سیستم‌ها وجود ندارد) اما آن چه استاکس‌نت با سیستم‌های سیماتیک انجام داد، جدید نبود. به نظر می‌رسید که این ویروس تنها تنظیمات و اطلاعات طراحی را از این سیستم‌ها می دزدد تا به این ترتیب یکی از رقبای این شرکت بتواند از طراحی محصولات آن کپی‌برداری کند. استاکس‌نت مانند یکی دیگر از موارد جاسوسی صنعتی بود. شرکت‌های آنتی‌ویروس الگوی نسخه‌های مختلف این ویروس را به دیتابیس شناسایی خود اضافه کردند و اغلب آنان به ویروس‌های دیگر پرداختند. داستان استاکس‌نت می‌توانست همین جا به پایان برسد، اما تعداد کمی از محققان هنوز مایل نبودند تا جریان این ویروس را رها کنند.

محققان در دفترهای شرکت سیمانتک در اروپا و آمریکا در میان افرادی بودندکه در ماه ژوئیه کد ویروس را گرفتند و الگوهایی را برای مشترکان طراحی کردند. اما پس از این کار، ویروس به دست "لیام او مورچو" از کارکنان دفتر این شرکت در شهر کالور ایالت کالیفرنیا، رسید.

مدیر پاسخ‌های امنیتی سیمانتک تشخیص داد که استاکس‌نت باید مورد بررسی عمیق‌تری قرار گیرد
او مورچو مرد 33 ساله ایرلندی و اسنوبردبازی است که لهجه‌ای آهنگین دارد و موهای قهوه‌ای جلوی صورتش مانند لبه‌های زمین اسکیت به شکل عمودی ایستاده است. او که مدیر عملیات‌های "اسخ امنیتی سیمانتک است وظیفه دارد تا تهدیدهای مهم امنیتی را بررسی و معین کند که آیا نیاز به تحلیل عمقی دارند یا خیر.

اغلب ویروس‌هایی که شرکت سیمانتک با آن‌ها سر و کار دارد، گونه‌هایی از ویروس‌های قبلی هستند که مقابله با آن‌ها دشوار نیست در بین بیش از 1 میلیون فایل ویروس که سیمانتک و دیگر شرکت‌های آنتی‌ویروس به طور ماهیانه دریافت می‌کنند، اکثر آن‌ها نسخه‌های دیگر ویروس‌ها و کرم‌هایی هستند که قبلاً شناسایی شده‌اند. این فایل‌ها به طور خودکار و بدون دخالت انسان پردازش می‌شوند. الگوریتم‌های این شرکت‌ها در فایل‌های آلوده به دنبال رشته‌های داده می‌گردند که ماهیت ویروس را معین می‌کنند، سپس الگوهایی را تولید و به برنامه‌های اسکن‌کننده در رایانه‌های مشترکین خود ارسال می‌کنند.

 ویروس های که از حفره صفر استفاده می کنند باید به وسیله انسان بررسی شوند
ویروس‌هایی که از حفره‌های روز صفر استفاده می‌کنند، خاص هستند و به وسیله انسان بررسی می‌شوند. او مورچو ویروس استاکس‌نت را به یکی از مهندسینی داد که در زمینه روز صفر هیچ تجربه‌ای نداشت، وی تصور می‌کرد که استاکس‌نت برای آموزش دادن به این مهندس فرصت خوبی است. اما زمانی که خود او نیز به طور همزمان به بررسی کد این ویروس پرداخت، متوجه شد که این کد از آن چه او فکر می‌کرد بسیار پیچیده‌تر است.

منبع: فارس