Gerdab.IR | گرداب

استاكس‌نت؛ خطرناك‌ترين نرم‌افزار مخرب تاريخ (1)

چگونه ماموريت "استاكس‌نت" ناتمام ماند

تاریخ انتشار : ۰۶ مرداد ۱۳۹۰

"استاكس‌نت" امروزه به عنوان خطرناك‌ترين نرم‌افزار مخرب در تمام طول تاريخ شناخته شده است. چگونه اين پروژه عظيم نتوانست مأموريت خود را در تأسيسات هسته‌اي "نطنز" به اتمام برساند؟

به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكس‌نت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هسته‌اي ايران بررسي كرد. در بخش اول اين مقاله مي‌خوانيم كه "استاكس‌نت" چگونه براي اولين بار مشاهده شد و برخورد شركت‌هاي آنتي ويروس با آن چه بود.

مشكل در اتاق سانتريفيوژهاي نيروگاه
ماه ژانويه سال 2010 بود و بازرسين آژانس بين‌المللي انرژي اتمي، بررسي تأسيسات غني‌سازي اورانيوم "نطنز" را به پايان رسانده بودند. در همين هنگام آنان متوجه شدند كه چيزي در اتاق‌هاي آبشاري كه هزاران سانتريفيوژ در آن مشغول غني‌سازي اورانيوم بودند، از كار افتاده است.

متخصصين نيروگاه "نطنز" با لباس‌ها، دستكش‌ها و كفش‌هاي سفيد خود به سرعت در اتاق‌هاي آبشاري "پاكيزه" اين طرف و آن طرف مي‌رفتند و سانتريفيوژهاي سنگين را يكي يكي در استوانه‌هاي نقره‌اي درخشان بيرون مي‌بردند.

تعويض سانتريفيوژهاي نيروگاه طی يك ماه
هر بار كه كاركنان نيروگاه، سانتريفيوژهاي آسيب‌ديده و يا غير قابل استفاده را از كار مي‌انداختند، بايد پيش از آن كه آن‌ها را از بين ببرند، اين دستگاه‌ها را در مكاني قرار مي‌دادند تا آژانس بررسي كند كه مواد راديواكتيو از آن‌ها به بيرون نشت نكرده باشد. اكنون بيش از يك ماه بود كه متخصصين نيروگاه اين كار را انجام مي‌دادند.

تعويض ساليانه 800 سانتريفيوژ در نيروگاه به طور معمول
ايران به طور معمول ساليانه تا 10 درصد از سانتريفيوژهاي خود را به علت خلل فيزيكي و يا دلايل ديگر جايگزين مي‌كرد. از آن جايي كه در آن زمان حدود 8700 سانتريفيوژ در نيروگاه "نطنز" وجود داشت، به طور عادي بايد در طول سال حدود 800 عدد از آن‌ها جايگزين مي‌شد.

تعويض بين 1000 تا 2000 سانتريفيوژ معيوب در طول چند ماه
بعدها آژانس انرژي اتمي، فيلم دوربين‌هاي نظارت بر برنامه غني‌سازي اورانيوم ايران را كه در خارج از اتاق‌هاي آبشاري نصب شده بود، بازبيني كرد؛ مأمورين آژانس از شمردن تعداد سانتريفيوژها شگفت‌زده شدند. تعداد سانتريفيوژهاي جايگزين شده باور نكردني بود: تخمين‌هاي بعدي نشان داد كه بين 1000 تا 2000 سانتريفيوژ تنها در طول چند ماه جايگزين شده‌اند.

سؤال اين بود: چرا؟

مشخص بود كه مشكلي در زمينه سانتريفيوژها وجود دارد
از ايران خواسته نشد تا دليل جايگزيني سانتريفيوژها را اعلام كند و بازرسين نيز از لحاظ قانوني حق نداشتند اين سؤال را بپرسند. آنان دستور داشتند بر كار ايران با مواد هسته‌اي نظارت كنند و نه اين كه اشكالات موجود در تجهيزات هسته‌اي اين كشور را كنترل کنند. اما مشخص بود كه چيزي به سانتريفيوژها آسيب رسانده بود.

نفوذ يك كرم رايانه‌اي مخرب به سيستم‌هاي نيروگاه
آن چه بازرسين نمي‌دانستند اين بود كه پاسخي كه به دنبال آن بودند در اطراف خودشان مخفي شده است: درون فضاي ديسك‌ها و حافظه كامپيوترهاي نيروگاه. چند ماه پيش در ژوئن 2009، فردي بدون سر و صدا يك كرم رايانه‌اي حرفه‌اي و مخرب را منتشر كرده بود. اين كرم به درون كامپيوترهاي ايران خزيده بود و تنها يك هدف داشت: "برنامه غني‌سازي اورانيوم ايران را خراب كند."

"استاكس‌نت" اولين سلاح سايبري واقعي در جهان
اما اين تاريخ تقريباً يك سال پيش از پي بردن بازرسين به وجود اين كرم بود. ده‌ها محقق امنيت رايانه‌اي در سراسر جهان ماه‌ها زمان صرف يافتن پاسخ و رمزگشايي نرم‌افزاري كردند كه پيچيده‌ترين برنامه مخربي است كه تا كنون نوشته شده بود. نرم‌افزاري كه بالاخره به عنوان اولين سلاح سايبري واقعي در جهان، دفتر تاريخ را ورق زد.

آلودگي رايانه يك كاربر ايراني در سال 2010
"سرگي يولاسن" در تاريخ 17 ژوئن 2010 در دفتر كارش در بلاروس مشغول وارسي ايميل‌ها بود كه گزارشي توجهش را جلب كرد. رايانه يكي از كاربران ايراني مدام ري‌استارت مي‌شد: به‌رغم تلاش‌هاي اپراتور براي كنترل رايانه، دستگاه پياپي خاموش و دوباره روشن مي‌شد. به نظر مي‌رسيد كه رايانه اين كاربر ويروسي شده باشد.

تبديل امنيت رايانه‌اي به صنعتي چند ميليارد دلاري
"يولاسن" به بخش آنتي‌ويروس يك شركت كوچك امنيت رايانه‌اي، موسوم به "ويروس بلوك آدا" در شهر "مينسك"، پايتخت بلاروس، مراجعه كرد. امنيت رايانه‌اي كه زماني يك شاخه كوچك و خاص از علوم كامپيوتر بود، در طول چند دهه اخير به صنعتي چندين ميليارد دلاري تبديل شده است و با سيل عظيم پيشرفت حملات هكرها، ويروس‌ها، تروجان‌ها و برنامه‌هاي جاسوسي در حال رقابت است.

مطرح شدن افراد و سازمان‌هاي فعال در زمينه امنيت رايانه‌اي
برترين متخصصين امنيتي مانند "بروس اشنير"، "دن كامينسكي" و "چارلي ميلر" به عنوان ستاره‌هاي راك در ميان ديگر متخصصين امنيتي مطرح هستند و شركت‌هاي برتر مانند "سیمانتك"، "مك‌آفي" و "كاسپرسكي" به نام‌هايي مشهور تبديل شده‌اند كه از همه چيز محافظت مي‌كنند: از لپ‌تاپ‌هاي مادربزرگ گرفته تا شبكه‌هاي حساس نظامي.

با اين حال "ويروس بلوك آدا" نه يك ستاره راك و نه يك نام مشهور بود؛ بلكه شركت ناشناخته‌اي بود كه حتي در صنعت امنيت رايانه‌اي نيز افراد كمي نام آن را شنيده بودند. اما اين وضعيت به زودي تغيير كرد.

استفاده ويروس از "روز صفر"، قدرتمندترين سلاح هكرها
تيم تحقيقي "يولاسن" به دنبال ويروسي رفتند كه رايانه مشتري‌شان را آلوده كرده بود و دريافتند كه اين ويروس از حفره امنيتي "روز صفر" براي گسترش استفاده مي‌كند. حفره‌هاي امنيتي "روز صفر" قدرتمندترين سلاح هكرها هستند: در اين روش از اشكالات موجود در نرم‌افزار كه هنوز از سوی سازنده آن و يا سازنده‌هاي آنتي‌ويروس‌ شناسايي نشده است، استفاده مي‌شود.

همچنين اين اشكالات بي‌نهايت كمياب هستند. يافتن و استفاده از اين اشكالات به مهارت و صرف زمان بسيار زيادي نياز دارد. در ميان بيش از 12 ميليون نرم‌افزار مخرب كه هر سال محققان در زمينه آنتي‌ويروس‌ها كشف مي‌كنند، كمتر از ده نرم‌افزار از حفره‌هاي "روز صفر" استفاده مي‌كنند.

اشكال در " ويندوز اكسپلورر" عامل كارآمدي "استاكس‌نت"
در اين مورد، استفاده از حفره امنيتي باعث شد تا ويروس به خوبي از طريق فلش مموري از رايانه‌اي به رايانه ديگر منتقل شود. اشكال در فايل "LNK" "ويندوز اكسپلورر" بود: يكي از بخش‌هاي اساسي "مايكروسافت ويندوز". زماني كه فلش مموري آلوده به يك رايانه متصل مي‌شد، "اكسپلورر" به طور خودكار آن را اسكن مي‌كرد. همين كار باعث مي‌شد تا كد حفره "روز صفر" فعال شده و مخفيانه يك فايل بزرگ كه بخشي از آن رمزگذاري شده بود را وارد رايانه مقصد كند. همانند يك هواپيماي نفربر نظامي كه سربازهاي استتار شده را در منطقه هدف پياده كند.

با نگاهي به گذشته، اين حفره بسيار واضح به نظر مي‌آمد؛ زيرا به چنين عملكرد فراگيري حمله مي‌كرد. همچنين محققين به زودي فهميدند كه پيش‌تر نيز از اين حفره استفاده شده است.

هجوم شركت‌هاي آنتي‌ويروس براي گرفتن نمونه "استاكس‌نت"
شركت "ويروس بلوك آدا " با "مايكروسافت" تماس گرفت تا وجود اين حفره را به اطلاع اين شركت برساند. غول نرم‌افزاري جهان در حال آماده‌سازي يك پچ بود كه در تاريخ 12 ژوئيه، "ويروس بلوك آدا" كشف خود را با معرفي آن در يك انجمن امنيتي به اطلاع عموم رساند.

 سه روز بعد، يكي از وبلاگ‌نويسان امنيت رايانه‌اي به نام "برايان كربس"، داستان اين ويروس را منتشر كرد و شركت‌هاي آنتي‌ويروس از سراسر جهان صف كشيدند تا نمونه اين ويروس را دريافت كنند؛ "مايكروسافت" با استفاده از تركيب نام فايل‌هاي موجود در كد اين ويروس (.stub و MrxNet.sys)، نام آن را "استاكس‌نت" گذاشت.

با شروع به كار صنعت امنيت رايانه‌اي و رمز‌گشايي و گشايش ساختار اين ويروس، ارزيابي‌هاي بيشتري نيز به وجود آمد.

دزدي تأييديه‌ها از شركت‌هاي ديگر براي قانوني جلوه كردن "استاكس‌نت" در ويندوز
مشخص شد كه اين كد، يك سال پيش در ژوئن 2009 توليد شده است و سازنده مرموز آن در طول اين مدت، اين كد را به‌روزرساني و اصلاح و سه نسخه از آن را منتشر كرده است.

يكي  فايل‌ راه‌اندازي اين ويروس از يكي از تأييديه‌هاي امضا شده و معتبر استفاده مي‌كرد كه از شركت "ريل‌تك" (RealTek)، از شركت‌هاي توليد سخت‌افزار در "تايوان"، دزديده شده بود. به اين ترتيب ويروس باعث مي‌شد رايانه مقصد فريب بخورد و تصور كند كه اين نرم‌افزار مخرب يك برنامه مورد اعتماد ساخته شركت "ريل‌تك" است.

 مقامات اينترنتي "ريل‌تك" به سرعت اين تأييديه را باطل كردند؛ اما "استاكس‌نت" اين بار از تأييديه ديگري استفاده كرد كه مربوط به شركت "جي‌ميكرون تكنولوژي" بود. شركت توليد مدارهاي الكترونيكي كه دفتر اصلي آن (چه به طور تصادفي و چه غير تصادفي) در همان شهرك تجاري واقع است كه دفتر "ريل‌تك" در آن قرار دارد. آيا مهاجم‌ها به طور فيزيكي به درون دو شركت راه پيدا كرده بودند و تأييديه‌ها را دزديده بودند؟ آيا از راه دور اين دو شركت را هك كرده و كليدهاي امضاي تأييديه‌هاي ديجيتال آن‌ها را دزديده بودند؟ هيچ كس نمي‌دانست.

شركت امنيتي "اي‌ست" كه يكي از تأييديه‌ها را پيدا كرده بود در وبلاگ خود نوشت: چنين عمليات‌هاي حرفه‌اي به ندرت ديده مي‌شود. اين نشان مي‌دهد كه [مهاجم‌ها] به منابعي بسيار بزرگ دست‌رسي داشته‌اند.

حمله "استاكس‌نت" به سيستم كنترل صنعتي "استپ 7" ساخت شركت "زيمنس"
البته "استاكس‌نت" از لحاظ هاي ديگر، بسيار معمولي و در اهداف خود قانع به نظر مي‌رسيد. متخصصين تشخيص دادند كه قرار بوده است اين ويروس، نرم‌افزار "سيمانتك وين‌سي‌سي استپ 7" را مورد هدف قرار دهد؛ يك سيستم كنترل صنعتي كه از سوی شركت "زيمنس" آلمان ساخته شده است و از آن براي كنترل موتورها، شير فلكه‌ها و سوئيچ‌ها در كارخانه‌هاي توليد مواد غذايي و خطوط مونتاژ اتومبيل تا لوله‌هاي گاز و تأسيسات پاك‌سازي آب استفاده مي‌شود.

به نظر مي‌رسيد "استاكس‌نت" تنها اهداف جاسوسي داشته باشد
هر چند اين ويروس در نوع خود جديد بود (سيستم‌هاي كنترلي به طور معمول هدف حمله هكرها قرار نمي‌گيرند؛ زيرا هيچ سود واضح اقتصادي در هك كردن اين سيستم‌ها وجود ندارد)؛ اما آن چه "استاكس‌نت" با سيستم‌هاي "سيمانتك" انجام داد، جديد نبود. به نظر مي‌رسيد كه اين ويروس تنها تنظيمات و اطلاعات طراحي را از اين سيستم‌ها مي دزدد تا به اين ترتيب يكي از رقباي اين شركت بتواند از طراحي محصولات آن كپي‌برداري كند. "استاكس‌نت" مانند يكي ديگر از موارد جاسوسي صنعتي بود.

شركت‌هاي آنتي‌ويروس الگوي نسخه‌هاي مختلف اين ويروس را به ديتابيس شناسايي خود اضافه كردند و اغلب آنان به ويروس‌هاي ديگر پرداختند.

داستان "استاكس‌نت" مي‌توانست همين جا به پايان برسد؛ اما تعداد كمي از محققان هنوز مايل نبودند تا جريان اين ويروس را رها كنند.

بررسي شركت "سيمانتك" در مورد نمونه "استاكس‌نت"
محققان در دفترهاي شركت "سيمانتك" در اروپا و آمريكا در ميان افرادي بودندكه در ماه ژوئيه كد ويروس را گرفتند و الگوهايي را براي مشتركان طراحي كردند. اما پس از اين كار، ويروس به دست "ليام او مورچو" از كاركنان دفتر اين شركت در شهر "كالور" ايالت "كاليفرنيا"، رسيد.

"استاكس‌نت" بايد مورد بررسي عميق‌تري قرار گيرد
"او مورچو"، مرد 33 ساله ايرلندي و اسنوبردبازي است. او مدير عمليات‌هاي "پاسخ امنيتي سيمانتك" است و وظيفه دارد تا تهديدهاي مهم امنيتي را بررسي و معين كند كه آيا نياز به تحليل عمقي دارند يا خير.

"سيمانتك" با ويروس‌هايي  سر و كار دارد كه مقابله با آن‌ها دشوار نيست
در بين بيش از 1 ميليون فايل ويروس كه "سيمانتك" و ديگر شركت‌هاي آنتي‌ويروس به طور ماهيانه دريافت مي‌كنند، اكثر آن‌ها نسخه‌هاي ديگر ويروس‌ها و كرم‌هايي هستند كه قبلاً شناسايي شده‌اند. اين فايل‌ها به طور خودكار و بدون دخالت انسان پردازش مي‌شوند. الگوريتم‌هاي اين شركت‌ها در فايل‌هاي آلوده به دنبال رشته‌هاي داده مي‌گردند كه ماهيت ويروس را معين مي‌كنند، سپس الگوهايي را توليد و به برنامه‌هاي اسكن‌كننده در رايانه‌هاي مشتركين خود ارسال مي‌كنند.

استفاده "استاكس‌نت" از حفره "روز صفر"
با اين حال، ويروس‌هايي كه از حفره‌هاي "روز صفر" استفاده مي‌كنند، خاص هستند و به وسيله انسان بررسي مي‌شوند. "او مورچو" ويروس "استاكس‌نت" را به يكي از مهندسيني داد كه در زمينه "روز صفر" هيچ تجربه‌اي نداشت؛ وي تصور مي‌كرد كه "استاكس‌نت" براي آموزش دادن به اين مهندس فرصت خوبي است. اما زماني كه خود او نيز به طور همزمان به بررسي كد اين ويروس پرداخت، متوجه شد كه اين كد از آن چه او فكر مي‌كرد بسيار پيچيده‌تر است.

منبع: فارس