گرداب- سایت "وایرد" در گزارشی مفصل، "استاکسنت" را رمزگشایی و اهداف آن را در حمله به تأسیسات هستهای ایران بررسی کرد. بخش دوم این مقاله به بررسی رایانه های آلوده شده به وسیله استاکسنت می پردازد.
استاکسنت در مقایسه با سایر ویروسها حجم بی نهایت زیادی داشتچند لایه مانند ماسک، حفره "روز صفر" که این ویروس از آن استفاده میکرد را پوشانده بود و رسیدن به ریشه آن را مشکل میکرد. این ویروس همچنین بسیار سنگین بود: 500 کیلوبایت که در مقایسه با ویروسهای دیگری که تنها 10 تا 15 کیلوبایت حجم دارند، بسیار حجیم است. چنین ویروس سنگینی معمولاً شامل یک فایل حجیم ایمیج است، مثلا یک صفحه بانکی آنلاین و دروغین که در کامپیوتر آلوده باز میشود و از کاربر تقاضا میکند تا اطلاعات حساب بانکی اش را وارد کند. اما هیچ فایل ایمیجی در استاکسنت وجود نداشت و اطلاعات زیادی نیز در آن موجود نبود. به نظر میرسید کد این ویروس، یک توده فشرده و کارآمد از اطلاعات و فرمان باشد. "او مورچو" به سرعت به این ویروس علاقهمند شد.
اولین برخورد با ویروسی مشابه با استاکسنتاولین برخورد اومورچو با این ویروس در سال 1996 بود. در آن زمان یکی از دانشجویان دانشگاه دوبلین ویروسی را ساخت که به شبکه این دانشگاه حمله کرد. در اواسط ماه مارس، صدها اتاق منتهی به آزمایشگاههای این دانشگاه به دانشجویان اجازه ورود نمی دادند، مگر این که آنها به 10 سؤالی که در صفحه کناریشان پدیدار میشد، جواب میدادند. اغلب افراد از این مشکل به وجود آمده ناراحت شدند، اما او مورچو جذب کد آن شد و آن را تجزیه کرد تا بببیند چگونه کار میکند. گشودن ساختار هر چیزی در خون او بود. وی در کودکی نیز از آن کودکانی بود که به جای بازی با ماشین اسباببازیاش، آن را تکهتکه میکرد تا ببیند چرخدندههایش چگونه کار میکنند. همین کنجکاوی بود که او را به حوزه امنیتی کشید.
شروع کار او مورچو به عنوان متخصص امنیتیاو مورچو پس از فارغالتحصیلی از دانشگاه، برای مدت کوتاهی به عنوان آزمونگر نفوذ در یکی از شرکتهای سازنده کیوسکهای اینترنتی در آمریکا مشغول شد. وی تلاش میکرد تا سیستم پرداخت کیوسک را هک کند تا به طور مجانی به اینترنت دسترسی پیدا کند. شرکت، وی را تنها برای انجام چند آزمون استخدام کرد، اما سپس او و سایر آزمونگرها را سه ماه دیگر نگه داشت، زیرا آنان مدام راههایی را برای هک کردن سیستم کیوسک پیدا میکردند. در سال 2002 وی با یک شرکت آنتیاسپم همکاری کرد که پس از مدت کمی به شرکت "سیمانتک" پیوست. او مورچو در نهایت به دفتر موفق شرکت در شهر کالور رفت و دوبلین را به مقصد کالیفرنیای جنوبی ترک کرد.
او مورچو، در یک نگاه ویروسهای معمولی را شناسایی میکرداما استاکسنت با سایر ویروسها تفاوت داشت اگر شما هم به اندازه او مورچو ویروس و کرم دیده باشید، با یک نگاه به یک نرمافزار مخرب تشخیص میدهید که از چه نوعی است، حال مهم نیست که این نرمافزار بدون دقت درست شده باشد و یا با دقت و نظم ایجاد شده باشد. استاکس نت شامل اجزای مختلفی بود که هر کدام در یک محل خاص قرار داشتند و این باعث میشد که اجرای عملکردها و اصلاح آن در صورت نیاز ممکن شود.
تفاوت استاکسنت با سایر ویروس هایکی از تفاوتهای عمده استاکسنت با سایر ویروسها،
شیوه مخفی کردن عملیاتهایش بود آن چه در مورد این ویروس بیش از هر چیز مشخص بود، شیوهای بود که ویروس به وسیله آن این عملکردها را مخفی میکرد. عملکرهای ویندوز معمولاً زمانی که لازم باشد، از یک فایل DLL که روی هارد دیسک ذخیره شده است، بارگذاری میشوند. بنابراین انجام این کار با استفاده از فایلهای مخرب، نشانهای را به دست آنتیویروس میدهد. استاکسنت فایل DLL رمزگشایی شده خود را، به جای هارد دیسک، تنها در حافظه رم ذخیره و آن را به عنوان یک فایل مجازی با اسمی که به شکل خاص تعیین شده بود، ایجاد میکرد.
استاکسنت نسل جدیدی از روش مخفی کردن فایلهای آلوده را به وجود آورداین ویروس سپس API ویندوز (رابط بین سیستم عامل و برنامههایی که روی آن نصب میشوند) را به گونهای برنامهریزی میکرد که هر گاه برنامهای بخواهد عملکردی را از یک لایبرری با آن نام خاص بارگذاری کند، به جای هارد دیسک درون حافظه، رم آن را بیابد. استاکسنت در اصل، نسل کاملاً جدیدی از فایلهای مخفی را ایجاد کرده بود که روی هارد دیسک ذخیره نمیشدند و به همین دلیل نیز یافتن آنها تقریباً غیر ممکن بود.
روش استاکسنت در مخفی کردن فایلهای مخربش منحصر به فرد بوداو مورچو در تمام سالهایی که نرمافزارهای مخرب را تحلیل کرده بود، تا به حال با این تکنیک برخورد نکرده بود. وی در یکی از مصاحبههای اخیرش در دفتر سیمانتک اظهار کرد:
«حتی ویروسهای پیچیدهای که ما میبینیم هیچ کدام این کار را نمیکنند.»دلایل جدید نشان میداد که استاکسنت یک ویروس کاملاً حرفهای استمدام دلایل جدیدی پیدا میشد که نشان میداد استاکسنت یک ویروس بسیار حرفهای است. با این حال، او مورچو از میان 500 کیلوبایت کد ویروس، تنها اولین کیلوبایت آن را بررسی کرده بود. مشخص بود که برای مقابله با این ویروس به یک تیم نیاز است. سؤال این بود: آیا آنها "باید" با این ویروس مقابله میکردند؟
وظیفه آنتیویروس، تنها تشخیص و جلوگیری از ویروس و پاکسازی سیستمهای آلوده شده استاگر سیمانتک، پروژه استاکسنت را در همین جا رها کرده و به پروژههای دیگر میپرداخت، هیچ کس این شرکت را سرزنش نمیکرد. وظیفه اصلی شرکتهای آنتی ویروس، تشخیص است: یعنی متوقف کردن آلودگیهای رایانهای پیش از آن که وارد رایانهها شوند و پاک کردن سیستمهایی که پیشتر به آن آلودگی دچار شدهاند. در این میان، [بررسی] کاری که نرمافزار مخرب روی رایانهای که به آن آلوده شده است انجام میدهد، در اولویت دوم است.
کد استاکسنت پیچیدهتر از آن بود که تنها برای جاسوسی ایجاد شده باشدبه نظر میرسید کد این ویروس بسیار پیچیدهتر و حرفهایتر از آن باشد که صرفاً برای جاسوسی ایجاد شده باشد. این ویروس یک پازل بسیار هیجانآور بود و او موچو میخواست آن را حل کند. وی گفت: «همه چیز این ویروس مو را به تن آدم راست میکرد، این ویروس چیزی است که ما باید درون آن را نگاه کنیم.»
ادامه تحلیل کد استاکسنت به وسیله محققان سیمانتکدر کشورهای مختلف او مورچو مراحل ابتدایی ارزیابیاش را از کدهای ویروس به اتمام رساند و یک پک بهروزرسانی را برای تیم تحقیقاتی سیمانتک در توکیو فرستاد. سیمانتک در اروپا، آمریکا و ژاپن آزمایشگاههایی دارد تا به این ترتیب محققانش در مناطق جغرافیایی مختلف همواره در دسترس باشند و بتوانند به تهدیدهای مهم حمله کنند. محققان این شرکت، مانند کشتیگیرهایی که پرچم تیم خود را به دست کشتیگیر بعدی میدهند، زمانی که طرح خود را در مکانی به پایان می رسانند و در مکانی دیگر آغاز می کنند، تهدیدهای جدید را به یکدیگر معرفی کنند. تیم توکیو آخر هفته را صرف ترسیم بخشهای مختلف استاکسنت کرد تا چارچوبی کلی از آن چه با آن مقابله میکند، داشته باشد. او مورچو دوشنبه کار تیم توکیو را همراه با "اریک چین"، مدیر صنعتی پاسخ امنیتی سیمانتک، و "نیکولاس فالیر"، مهندس ارشد نرمافزار و تحلیلگر کد در دفتر سیمانتک در پاریس، ادامه داد.
استاکسنت پس از آلوده کردن سیستم ها به آشیانه خبر میداداستاکسنت پس از آلوده کردن سیستم گزارشهایی را به "خانه" میفرستاد آنان تشخیص دادند که هر گاه استاکسنت رایانهای را آلوده میکند، به خانه زنگ میزند تا اطلاعاتی را در مورد رایانه آلوده شده گزارش دهد. این اطلاعات شامل آدرسهای داخلی و خارجی آیپی، نام رایانه، سیستم عامل و نسخه آن بود و همچنین این که آیا نرمافزار "زیمنس سیماتیک وینسیسی استپ 7" یا به شکل خلاصه "استپ 7"، بر روی این رایانه نصب است یا خیر. سرورهای کنترل و فرماندهی به مهاجمها اجازه میدادند تا استاکسنت را روی رایانههای آلوده بهروزرسانی کنند و عملکردهای جدید و یا حتی فایلهای مخرب بیشتری را در رایانه آلوده به این ویروس اضافه کنند.
سیمانتک یک گودال اطلاعاتی را سر راه گزارشهای استاکسنت به خانه گذاشت. ارائهدهندگان خدمات DNS، پیشتر ترافیک ورودی را برای جلوگیری از استفاده مهاجمها قطع کرده بودند. سیمانتک فکر بهتری داشت. این شرکت با ارائه دهندگان خدمات به استاکسنت تماس گرفت و آنان را راضی کرد تا مسیر هرگونه ترافیک این ویروس را به یک گودال (در این مورد کامپیوتری که مخصوص دریافت ترافیک مخرب بود) که سیمانتک آن را کنترل میکرد، هدایت کند. از صبح روز سهشنبه، سیمانتک گزارشهایی از رایانههایی دریافت میکرد که به استاکسنت آلوده شده بودند. این شرکت، اطلاعات مربوط را در اختیار سایر شرکتهای امنیتی نیز قرار داد.
استاکسنت توانست در زمانی کوتاه بیش از 100 هزار رایانه را آلوده کندعلیرغم انتشار الگوهای پیشگیرنده از سوی سیمانتک، استاکسنت در مدتی کوتاه بیش از 100 هزار رایانه را آلوده کرد در عرض یک هفته پس از ایجاد این گودال، حدود 38 هزار رایانه در دهها کشور به سیمانتک گزارش دادند. در مدتی نه چندان زیاد، این تعداد از مرز صد هزار رایانه گذشت. استاکسنت با وجود الگوهایی که شرکتهای آنتیویروس برای مقابله با آن منتشر کرده بودند، به سرعت در حال گسترش بود.
از میان 38 هزار مورد اولیه آلودگی، 22 هزار مورد گزارش آلودگی به ایران مربوط می شدپس از آن که اریک چین و او مورچو نقشه مکانهای جغرافیایی آلودگیها را ترسیم کردند، الگوی عجیبی به دست آمد. از میان 38 هزار مورد آلودگی اولیه، 22 هزار مورد در ایران اتفاق افتاده بود. اندونزی با فاصله زیادی (تقریباً 6700 مورد) دوم بود و هند نیز با تقریباً 3700 مورد آلودگی در جای سوم قرار داشت. آمریکا کمتر از 400 مورد آلودگی داشت. تنها تعداد کمی از رایانههای آلوده شده، نرمافزار "زیمنس استپ 7" را داشتند: تنها 217 رایانه در ایران و 16 عدد در آمریکا.
واضح بود که استاکسنت بر ایران تمرکز داشتپراکندگی آلودگیها تفاوت چشمگیری با الگوهای پیشین موارد آلودگی در سطح جهان (مثلاً در مورد کرم قدرتمند "کانفیکر" (Confikor) داشت. در الگوهای پیشین آلودگی، ایران ـاگر اصلاً موردی از آلودگی در آن اتفاق میافتادـ در رتبههای بالا قرار نمیگرفت. در این آلودگیها کره جنوبی و آمریکا همواره در بالای لیست بودند که البته با توجه به بیشترین تعداد کاربران اینترنتی در این دو کشور، جای تعجب نداشت، اما حتی در آلودگیهایی که مرکز آنها خاورمیانه بود، باز هم ایران آمار آلودگی بالایی نداشت. واضح بود که جمهوری اسلامی در مرکز آلودگی استاکسنت قرار داشت.
حرفهای بودن کد، به علاوه تأییدیههای دزدی و اکنون نیز قرار داشتن ایران در مرکز حمله این آلودگی، حاکی از آن بود که استاکسنت ممکن است کار ارتش سایبری یک دولت باشد، حتی شاید ارتش سایبری آمریکا.سیمانتک خود را وارد یک عملیات سری کرده بودممکن بود محققان سیمانتک با ایجاد گودال بر سر راه گزارشهای استاکسنت، در یکی از عملیاتهای سری دولت آمریکا دخالت کنند این موضوع باعث شد که ایجاد گودال به وسیله شرکت سیمانتک به یک اقدام شجاعتآمیز تبدیل شود. محققان با ایجاد مانع بر سر راه دادههایی که مهاجمها انتظار دریافتش را داشتند، ممکن بود در حال دخالت در یک عملیات مخفی دولت آمریکا باشند. وقتی از اریک چین سؤال شد که آیا در این مورد نگران است یا خیر، وی جواب داد: «برای ما آدم خوب و آدم بد وجود ندارد.» سپس کمی فکر کرد و ادامه داد: «راستش، آدمهای بد کسانی هستند که کدهای مخرب مینویسند و باعث میشوند رایانهها آلوده شوند و در نتیجه عواقب ناخواسته یا عواقب خواستهای به وجود آید.»
ابتدا تصور میشد دلیل شیوع آلودگی در ایران، بهروز نبودن نرمافزارهای امنیتی در این کشور باشدچین اخیراً اظهار کرد: «ما تقریباً تمام مدت به این فکر میکردیم که شاید این ویروس تنها به این دلیل در ایران گسترش یافته است که ایرانیان نرمافزارهای امنیتی بهروزی ندارند و اگر هم این ویروس به آمریکا حمله کند، ممکن است یکی از تأسیسات پاکسازی آب و یا سیستم کنترل قطارها و یا چیزی مانند اینها را آلوده کند. بنابراین ما در حقیقت، با تمام قوا، تلاش میکردیم تا بفهمیم این ویروس چه نوع سیستمهایی را آلوده میکند.»
منبع:
فارس