اولین سلاح سایبری جهان؛ (2)

استاکس‌نت پیچیده‌تر از آن بود که تنها برای جاسوسی باشد

تاریخ انتشار : ۲۷ خرداد ۱۳۹۱

یکی از تفاوت‌های استاکس‌نت با سایر ویروس‌ها، شیوه مخفی کردن عملیات‌هایش است، آنچه این ویروس را منحصر به فرد می‌کند، شیوه‌ای‌ست که ویروس به وسیله آن عملکردهایش را پنهان می‌سازد.

گرداب- سایت "وایرد" در گزارشی مفصل، "استاکس‌نت" را رمزگشایی و اهداف آن را در حمله به تأسیسات هسته‌ای ایران بررسی کرد. بخش دوم این مقاله به بررسی رایانه های آلوده شده به وسیله استاکس‌نت می پردازد.

استاکس‌نت در مقایسه با سایر ویروس‌ها حجم بی نهایت زیادی داشت
چند لایه مانند ماسک، حفره "روز صفر" که این ویروس از آن استفاده می‌کرد را پوشانده بود و رسیدن به ریشه آن را مشکل می‌کرد. این ویروس همچنین بسیار سنگین بود: 500 کیلوبایت که در مقایسه با ویروس‌های دیگری که تنها 10 تا 15 کیلوبایت حجم دارند، بسیار حجیم است. چنین ویروس سنگینی معمولاً شامل یک فایل حجیم ایمیج است، مثلا یک صفحه بانکی آنلاین و دروغین که در کامپیوتر آلوده باز می‌شود و از کاربر تقاضا می‌کند تا اطلاعات حساب بانکی اش را وارد کند. اما هیچ فایل ایمیجی در استاکس‌نت وجود نداشت و اطلاعات زیادی نیز در آن موجود نبود. به نظر می‌رسید کد این ویروس، یک توده فشرده و کارآمد از اطلاعات و فرمان باشد. "او مورچو" به سرعت به این ویروس علاقه‌مند شد.

اولین برخورد با ویروسی مشابه با استاکس‌نت
اولین برخورد اومورچو با این ویروس در سال 1996 بود. در آن زمان یکی از دانشجویان دانشگاه دوبلین ویروسی را ساخت که به شبکه این دانشگاه حمله کرد. در اواسط ماه مارس، صدها اتاق منتهی به آزمایشگاه‌های این دانشگاه به دانشجویان اجازه ورود نمی دادند، مگر این که آنها به 10 سؤالی که در صفحه کناری‌شان پدیدار می‌شد، جواب می‌دادند. اغلب افراد از این مشکل به وجود آمده ناراحت شدند، اما او مورچو جذب کد آن شد و آن را تجزیه کرد تا بببیند چگونه کار می‌کند. گشودن ساختار هر چیزی در خون او بود. وی در کودکی نیز از آن کودکانی بود که به جای بازی با ماشین اسباب‌بازی‌اش، آن را تکه‌تکه می‌کرد تا ببیند چرخ‌دنده‌هایش چگونه کار می‌کنند. همین کنجکاوی بود که او را به حوزه امنیتی کشید.

شروع کار او مورچو به عنوان متخصص امنیتی
او مورچو پس از فارغ‌التحصیلی از دانشگاه، برای مدت کوتاهی به عنوان آزمون‌گر نفوذ در یکی از شرکت‌های سازنده کیوسک‌های اینترنتی در آمریکا مشغول شد. وی تلاش می‌کرد تا سیستم پرداخت کیوسک را هک کند تا به طور مجانی به اینترنت دسترسی پیدا کند. شرکت، وی را تنها برای انجام چند آزمون استخدام کرد، اما سپس او و سایر آزمون‌گرها را سه ماه دیگر نگه داشت، زیرا آنان مدام راه‌هایی را برای هک کردن سیستم کیوسک پیدا می‌کردند. در سال 2002 وی با یک شرکت آنتی‌اسپم همکاری کرد که پس از مدت کمی به شرکت "سیمانتک" پیوست. او مورچو در نهایت به دفتر موفق شرکت در شهر کالور رفت و دوبلین را به مقصد کالیفرنیای جنوبی ترک کرد.

او مورچو، در یک نگاه ویروس‌های معمولی را شناسایی می‌کرد
اما استاکس‌نت با سایر ویروس‌ها تفاوت داشت اگر شما هم به اندازه او مورچو ویروس و کرم دیده باشید، با یک نگاه به یک نرم‌افزار مخرب تشخیص می‌دهید که از چه نوعی است، حال مهم نیست که این نرم‌افزار بدون دقت درست شده باشد و یا با دقت و نظم ایجاد شده باشد. استاکس نت شامل اجزای مختلفی بود که هر کدام در یک محل خاص قرار داشتند و این باعث می‌شد که اجرای عملکردها و اصلاح آن در صورت نیاز ممکن شود.

تفاوت استاکس‌نت با سایر ویروس ها
یکی از تفاوت‌های عمده استاکس‌نت با سایر ویروس‌ها، شیوه مخفی کردن عملیات‌هایش بود آن چه در مورد این ویروس بیش از هر چیز مشخص بود، شیوه‌ای بود که ویروس به وسیله آن این عملکردها را مخفی می‌کرد. عملکرهای ویندوز معمولاً زمانی که لازم باشد، از یک فایل DLL که روی هارد دیسک ذخیره شده است، بارگذاری می‌شوند. بنابراین انجام این کار با استفاده از فایل‌های مخرب، نشانه‌ای را به دست آنتی‌ویروس می‌دهد. استاکس‌نت فایل DLL رمزگشایی شده خود را، به جای هارد دیسک، تنها در حافظه رم ذخیره و آن را به عنوان یک فایل مجازی با اسمی که به شکل خاص تعیین شده بود، ایجاد می‌کرد.

استاکس‌نت نسل جدیدی از روش مخفی کردن فایل‌های آلوده را به وجود آورد
این ویروس سپس API ویندوز (رابط بین سیستم عامل و برنامه‌هایی که روی آن نصب می‌شوند) را به گونه‌ای برنامه‌ریزی می‌کرد که هر گاه برنامه‌ای بخواهد عملکردی را از یک لایبرری با آن نام خاص بارگذاری کند، به جای هارد دیسک درون حافظه، رم آن را بیابد. استاکس‌نت در اصل، نسل کاملاً جدیدی از فایل‌های مخفی را ایجاد کرده بود که روی هارد دیسک ذخیره نمی‌شدند و به همین دلیل نیز یافتن آن‌ها تقریباً غیر ممکن بود.

روش استاکس‌نت در مخفی کردن فایل‌های مخربش منحصر به فرد بود
او مورچو در تمام سال‌هایی که نرم‌افزارهای مخرب را تحلیل کرده بود، تا به حال با این تکنیک برخورد نکرده بود. وی در یکی از مصاحبه‌های اخیرش در دفتر سیمانتک اظهار کرد: «حتی ویروس‌های پیچیده‌ای که ما می‌بینیم هیچ کدام این کار را نمی‌کنند.»

دلایل جدید نشان می‌داد که استاکس‌نت یک ویروس کاملاً حرفه‌ای است
مدام دلایل جدیدی پیدا می‌شد که نشان می‌داد استاکس‌نت یک ویروس بسیار حرفه‌ای است. با این حال، او مورچو از میان 500 کیلوبایت کد ویروس، تنها اولین کیلوبایت آن را بررسی کرده بود. مشخص بود که برای مقابله با این ویروس به یک تیم نیاز است. سؤال این بود: آیا آنها "باید" با این ویروس مقابله می‌کردند؟

وظیفه آنتی‌ویروس، تنها تشخیص و جلوگیری از ویروس و پاک‌سازی سیستم‌های آلوده شده است
اگر سیمانتک، پروژه استاکس‌نت را در همین جا رها کرده و به پروژه‌های دیگر می‌پرداخت، هیچ کس این شرکت را سرزنش نمی‌کرد. وظیفه اصلی شرکت‌های آنتی ویروس، تشخیص است: یعنی متوقف کردن آلودگی‌های رایانه‌ای پیش از آن که وارد رایانه‌ها شوند و پاک کردن سیستم‌هایی که پیشتر به آن آلودگی دچار شده‌اند. در این میان، [بررسی] کاری که نرم‌افزار مخرب روی رایانه‌ای که به آن آلوده شده‌ است انجام می‌دهد، در اولویت دوم است.

کد استاکس‌نت پیچیده‌تر از آن بود که تنها برای جاسوسی ایجاد شده باشد
به نظر می‌رسید کد این ویروس بسیار پیچیده‌تر و حرفه‌ای‌تر از آن باشد که صرفاً برای جاسوسی ایجاد شده باشد. این ویروس یک پازل بسیار هیجان‌آور بود و او موچو می‌خواست آن را حل کند. وی گفت: «همه چیز این ویروس مو را به تن آدم راست می‌کرد، این ویروس چیزی است که ما باید درون آن را نگاه کنیم.»

ادامه تحلیل کد استاکس‌نت به وسیله محققان سیمانتک
در کشورهای مختلف او مورچو مراحل ابتدایی ارزیابی‌اش را از کدهای ویروس به اتمام رساند و یک پک به‌روزرسانی را برای تیم تحقیقاتی سیمانتک در توکیو فرستاد. سیمانتک در اروپا، آمریکا و ژاپن آزمایشگاه‌هایی دارد تا به این ترتیب محققانش در مناطق جغرافیایی مختلف همواره در دسترس باشند و بتوانند به تهدیدهای مهم حمله کنند. محققان این شرکت، مانند کشتی‌گیرهایی که پرچم تیم خود را به دست کشتی‌گیر بعدی می‌دهند، زمانی که طرح خود را در مکانی به پایان می رسانند و در مکانی دیگر آغاز می کنند، تهدیدهای جدید را به یکدیگر معرفی کنند. تیم توکیو آخر هفته را صرف ترسیم بخش‌های مختلف استاکس‌نت کرد تا چارچوبی کلی از آن چه با آن مقابله می‌کند، داشته باشد. او مورچو دوشنبه کار تیم توکیو را همراه با "اریک چین"، مدیر صنعتی پاسخ امنیتی سیمانتک، و "نیکولاس فالیر"، مهندس ارشد نرم‌افزار و تحلیل‌گر کد در دفتر سیمانتک در پاریس، ادامه داد.

استاکس‌نت پس از آلوده کردن سیستم ها به آشیانه خبر می‌داد
استاکس‌نت پس از آلوده کردن سیستم گزارش‌هایی را به "خانه" می‌فرستاد آنان تشخیص دادند که هر گاه استاکس‌نت رایانه‌ای را آلوده می‌کند، به خانه زنگ می‌زند تا اطلاعاتی را در مورد رایانه آلوده شده گزارش دهد. این اطلاعات شامل آدرس‌های داخلی و خارجی آی‌پی، نام رایانه، سیستم عامل و نسخه آن بود و همچنین این که آیا نرم‌افزار "زیمنس سیماتیک وین‌سی‌سی استپ 7" یا به شکل خلاصه "استپ 7"، بر روی این رایانه نصب است یا خیر. سرورهای کنترل و فرماندهی به مهاجم‌ها اجازه می‌دادند تا استاکس‌نت را روی رایانه‌های آلوده به‌روزرسانی کنند و عملکردهای جدید و یا حتی فایل‌های مخرب بیشتری را در رایانه آلوده به این ویروس اضافه کنند.

سیمانتک یک گودال اطلاعاتی را سر راه گزارش‌های استاکس‌نت به خانه گذاشت. ارائه‌دهندگان خدمات DNS، پیشتر ترافیک ورودی را برای جلوگیری از استفاده مهاجم‌ها قطع کرده بودند. سیمانتک فکر بهتری داشت. این شرکت با ارائه دهندگان خدمات به استاکس‌نت تماس گرفت و آنان را راضی کرد تا مسیر هرگونه ترافیک این ویروس را به یک گودال (در این مورد کامپیوتری که مخصوص دریافت ترافیک مخرب بود) که سیمانتک آن را کنترل می‌کرد، هدایت کند. از صبح روز سه‌شنبه، سیمانتک گزارش‌هایی از رایانه‌هایی دریافت می‌کرد که به استاکس‌نت آلوده شده بودند. این شرکت، اطلاعات مربوط را در اختیار سایر شرکت‌های امنیتی نیز قرار داد.

استاکس‌نت توانست در زمانی کوتاه بیش از 100 هزار رایانه را آلوده کند
علی‌رغم انتشار الگوهای پیش‌گیرنده از سوی سیمانتک، استاکس‌نت در مدتی کوتاه بیش از 100 هزار رایانه را آلوده کرد در عرض یک هفته پس از ایجاد این گودال، حدود 38 هزار رایانه در ده‌ها کشور به سیمانتک گزارش دادند. در مدتی نه چندان زیاد، این تعداد از مرز صد هزار رایانه گذشت. استاکس‌نت با وجود الگوهایی که شرکت‌های آنتی‌ویروس برای مقابله با آن منتشر کرده بودند، به سرعت در حال گسترش بود.

از میان 38 هزار مورد اولیه آلودگی، 22 هزار مورد گزارش آلودگی به ایران مربوط می‌ شد
پس از آن که اریک چین و او مورچو نقشه مکان‌های جغرافیایی آلودگی‌ها را ترسیم کردند، الگوی عجیبی به دست آمد. از میان 38 هزار مورد آلودگی اولیه، 22 هزار مورد در ایران اتفاق افتاده بود. اندونزی با فاصله زیادی (تقریباً 6700 مورد) دوم بود و هند نیز با تقریباً 3700 مورد آلودگی در جای سوم قرار داشت. آمریکا کمتر از 400 مورد آلودگی داشت. تنها تعداد کمی از رایانه‌های آلوده شده، نرم‌افزار "زیمنس استپ 7" را داشتند: تنها 217 رایانه در ایران و 16 عدد در آمریکا.

واضح بود که استاکس‌نت بر ایران تمرکز داشت
پراکندگی آلودگی‌ها تفاوت چشمگیری با الگوهای پیشین موارد آلودگی در سطح جهان (مثلاً در مورد کرم قدرتمند "کانفیکر" (Confikor) داشت. در الگوهای پیشین آلودگی، ایران ـاگر اصلاً موردی از آلودگی در آن اتفاق می‌افتادـ در رتبه‌های بالا قرار نمی‌گرفت. در این آلودگی‌ها کره جنوبی و آمریکا همواره در بالای لیست بودند که البته با توجه به بیشترین تعداد کاربران اینترنتی در این دو کشور، جای تعجب نداشت، اما حتی در آلودگی‌هایی که مرکز آن‌ها خاورمیانه بود، باز هم ایران آمار آلودگی بالایی نداشت. واضح بود که جمهوری اسلامی در مرکز آلودگی استاکس‌نت قرار داشت. حرفه‌ای بودن کد، به علاوه تأییدیه‌های دزدی و اکنون نیز قرار داشتن ایران در مرکز حمله این آلودگی، حاکی از آن بود که استاکس‌نت ممکن است کار ارتش سایبری یک دولت باشد، حتی شاید ارتش سایبری آمریکا.

سیمانتک خود را وارد یک عملیات سری کرده بود
ممکن بود محققان سیمانتک با ایجاد گودال بر سر راه گزارش‌های استاکس‌نت، در یکی از عملیات‌های سری دولت آمریکا دخالت کنند این موضوع باعث شد که ایجاد گودال به وسیله شرکت سیمانتک به یک اقدام شجاعت‌آمیز تبدیل شود. محققان با ایجاد مانع بر سر راه داده‌هایی که مهاجم‌ها انتظار دریافتش را داشتند، ممکن بود در حال دخالت در یک عملیات مخفی دولت آمریکا باشند. وقتی از اریک چین سؤال شد که آیا در این مورد نگران است یا خیر، وی جواب داد: «برای ما آدم خوب و آدم بد وجود ندارد.» سپس کمی فکر کرد و ادامه داد: «راستش، آدم‌های بد کسانی هستند که کدهای مخرب می‌نویسند و باعث می‌شوند رایانه‌ها آلوده شوند و در نتیجه عواقب ناخواسته یا عواقب خواسته‌ای به وجود آید.»

ابتدا تصور می‌شد دلیل شیوع آلودگی در ایران، به‌روز نبودن نرم‌افزارهای امنیتی در این کشور باشد
چین اخیراً اظهار کرد: «ما تقریباً تمام مدت به این فکر می‌کردیم که شاید این ویروس تنها به این دلیل در ایران گسترش یافته است که ایرانیان نرم‌افزارهای امنیتی به‌روزی ندارند و اگر هم این ویروس به آمریکا حمله کند، ممکن است یکی از تأسیسات پاک‌سازی آب و یا سیستم کنترل قطارها و یا چیزی مانند این‌ها را آلوده کند. بنابراین ما در حقیقت، با تمام قوا، تلاش می‌کردیم تا بفهمیم این ویروس چه نوع سیستم‌هایی را آلوده می‌کند.»

منبع: فارس