استاكس‌نت؛ خطرناك‌ترين نرم‌افزار مخرب تاريخ (2)

"استاكس‌نت" پيچيده‌تر از یک ویروس صرفا جاسوسی است

تاریخ انتشار : ۰۸ مرداد ۱۳۹۰

فردي كه بر نحوه مقابله با استاكس‌نت تحقيق مي‌كرد معتقد است كه كد هاي اين ويروس هم قابليت جاسوسي و هم توانايي تخريب اهداف خود را داشته است.

به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكس‌نت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هسته‌اي ايران بررسي كرد. بخش دوم اين گزارش به بررسي رايانه هاي آلوده شده از طریق استاكس‌نت مي پردازد.

"استاكس‌نت" حجم بي‌نهايت زيادي داشت
چند لايه مانند ماسك، حفره "روز صفر" كه اين ويروس از آن استفاده مي‌كرد را پوشانده بود و رسيدن به ريشه آن را مشكل مي‌كرد. اين ويروس همچنين بسيار سنگين بود: 500 كيلوبايت كه در مقايسه با ويروس‌هاي ديگري كه تنها 10 تا 15 كيلوبايت حجم دارند، بسيار حجيم است.

 چنين ويروس سنگيني معمولاً شامل يك فايل حجيم ايميج است، مثلاً يك صفحه بانكي آنلاين و دروغين كه در كامپيوتر آلوده باز مي‌شود و از كاربر تقاضا مي‌كند تا اطلاعات حساب بانكي اش را وارد كند. اما هيچ فايل ايميجي در "استاكس‌نت" وجود نداشت و اطلاعات زيادي نيز در آن موجود نبود. به نظر مي‌رسيد كد اين ويروس، يك توده فشرده و كارآمد از اطلاعات و فرمان باشد.

اولين برخورد "او مورچو" با ويروسي مشابه با "استاكس‌نت"
اولين برخورد اومورچو با اين ويروس در سال 1996 بود؛ در آن زمان يكي از دانشجويان "دانشگاه دوبلين" ويروسي را ساخت كه به شبكه اين دانشگاه حمله كرد. در اواسط ماه مارس، صدها اتاق منتهي به آزمايشگاه‌هاي اين دانشگاه به دانشجويان اجازه ورود نمي دادند، مگر اين كه آنها به 10 سؤالي كه در صفحه كناري‌شان پديدار مي‌شد، جواب مي‌دادند. اغلب افراد از اين مشكل به وجود آمده ناراحت شدند؛ اما "او مورچو" جذب كد آن شد و آن را تجزيه كرد تا بببيند چگونه كار مي‌كند.

شروع كار "او مورچو" به عنوان متخصص امنيتي
در سال 2002 وي با يك شركت آنتي‌اسپم همكاري كرد كه پس از مدت كمي به شركت "سيمانتك" پيوست. "او مورچو" در نهايت به دفتر موفق شركت در شهر "كالور" رفت و "دوبلين" را به مقصد "كاليفرنياي جنوبي" ترك كرد.

"استاكس‌نت" با ساير ويروس‌ها تفاوت داشت
اگر شما هم به اندازه "او مورچو" ويروس و كرم ديده باشيد، با يك نگاه به يك نرم‌افزار مخرب تشخيص مي‌دهيد كه از چه نوعي است؛ حال مهم نيست كه اين نرم‌افزار بدون دقت درست شده و يا با دقت و نظم ايجاد شده باشد. استاكس نت شامل اجزاي مختلفي بود كه هر كدام در يك محل خاص قرار داشتند و اين باعث مي‌شد كه اجراي عملكردها و اصلاح آن در صورت نياز ممكن شود.

 شيوه مخفي كردن عمليات‌ها؛ تفاوت‌ عمده "استاكس‌نت" با ساير ويروس‌ها
آن چه در مورد اين ويروس بيش از هر چيز مشخص بود، شيوه‌اي است كه ويروس به وسيله آن اين عملكردها را مخفي مي‌كرد. عملكرهاي ويندوز معمولاً زماني كه لازم باشد از يك فايل DLL ذخيره شده روي هارد ديسك، بارگذاري مي‌شوند. بنابراين انجام اين كار با استفاده از فايل‌هاي مخرب، نشانه‌اي را به دست آنتي‌ويروس مي‌دهد. "استاكس‌نت" فايل DLL رمزگشايي شده خود را، به جاي هارد ديسك، تنها در حافظه رم ذخيره و آن را به عنوان يك فايل مجازي با اسمي كه به شكل خاص تعيين شده بود، ايجاد مي‌کرد.

"استاكس‌نت" و ایجاد نسل جديدي از روش مخفي كردن فايل‌هاي آلوده
اين ويروس سپس API ويندوز (رابط بين سيستم عامل و برنامه‌هايي كه روي آن نصب مي‌شوند) را به گونه‌اي برنامه‌ريزي مي‌كرد كه هر گاه برنامه‌اي بخواهد عملكردي را از يك لايبرري با آن نام خاص بارگذاري كند، به جاي هارد ديسك درون حافظه، رم آن را بيابد. "استاكس‌نت" در اصل، نسل كاملاً جديدي از فايل‌هاي مخفي را ايجاد كرده بود كه روي هارد ديسك ذخيره نمي‌شدند و به همين دليل نيز يافتن آن‌ها تقريباً غير ممكن بود.

روش "استاكس‌نت" در مخفي كردن فايل‌هاي مخربش منحصر به فرد بود
"او مورچو" در تمام سال‌هايي كه نرم‌افزارهاي مخرب را تحليل كرده بود، تا به حال با اين تكنيك برخورد نكرده بود. وي در يكي از مصاحبه‌هاي اخيرش در دفتر "سيمانتك" اظهار كرد: «حتي ويروس‌هاي پيچيده‌اي كه ما مي‌بينيم هيچ كدام اين كار را نمي‌كنند.»

"استاكس‌نت" يك ويروس كاملاً حرفه‌اي است
مدام دلايل جديدي پيدا مي‌شد كه نشان مي‌داد "استاكس‌نت" يك ويروس بسيار حرفه‌اي است. با اين حال، "او مورچو" از ميان500 كيلوبايت كد ويروس، تنها اولين كيلوبايت آن را بررسي كرده بود. مشخص بود كه براي مقابله با اين ويروس به يك تيم نياز است. سؤال اين بود: آيا آنها "بايد" با اين ويروس مقابله مي‌كردند؟

وظيفه آنتي‌ويروس: تشخيص، جلوگيري  و پاك‌سازي
اگر "سيمانتك"، پروژه "استاكس‌نت" را در همين جا رها كرده و به پروژه‌هاي ديگر مي‌پرداخت، هيچ كس اين شركت را سرزنش نمي‌كرد. وظيفه اصلي شركت‌هاي آنتي ويروس، تشخيص است؛ يعني متوقف كردن آلودگي‌هاي رايانه‌اي پيش از آن كه وارد رايانه‌ها شوند و پاك كردن سيستم‌هايي كه پيش‌تر به آن آلودگي دچار شده‌اند. در اين ميان، كاري كه نرم‌افزار مخرب روي رايانه‌اي كه به آن آلوده شده‌ است انجام مي‌دهد، در اولويت دوم است.

كد "استاكس‌نت" پيچيده‌تر از آن بود كه تنها براي جاسوسي ايجاد شده باشد
اما "سيمانتك" در قبال رفع مشكل آن دسته از كاربرانش كه رايانه آنها به ويروس "استاكس‌نت" آلوده شده بود، احساس وظيفه مي‌كرد. مهم‌تر از آن، به نظر مي‌رسيد كد اين ويروس بسيار پيچيده‌تر و حرفه‌اي‌تر از آن باشد كه صرفاً براي جاسوسي ايجاد شده باشد. اين ويروس يك پازل بسيار هيجان‌آور بود.

"او مورچو"  گفت: «همه چيز اين ويروس، مو را به تن آدم راست مي‌كرد، اين ويروس چيزي است كه ما بايد درون آن را نگاه كنيم.»

ادامه تحليل كد "استاكس‌نت" در كشورهاي مختلف
"او مورچو" مراحل ابتدايي ارزيابي‌اش را از كدهاي ويروس به اتمام رساند و يك پك به‌روزرساني را براي تيم تحقيقاتي "سيمانتك" در توكيو فرستاد. "سيمانتك" در اروپا، آمريكا و ژاپن آزمايشگاه‌هايي دارد تا به اين ترتيب محققانش در مناطق جغرافيايي مختلف همواره در دسترس باشند و بتوانند به تهديدهاي مهم حمله كنند؛ محققان اين شركت، مانند كشتي‌گيرهايي كه پرچم تيم خود را به دست كشتي‌گير بعدي مي‌دهند، زماني كه طرح خود را در مكاني به پايان مي رسانند و در مكاني ديگر آغاز مي كنند، تهديدهاي جديد را به يكديگر معرفي كنند. تيم توكيو آخر هفته را صرف ترسيم بخش‌هاي مختلف "استاكس‌نت" كرد تا چارچوبي كلي از آن چه با آن مقابله مي‌كند، داشته باشد. "او مورچو" دوشنبه كار تيم توكيو را همراه با "اريك چين"، مدير صنعتي "پاسخ امنيتي سيمانتك" و "نيكولاس فالير"، مهندس ارشد نرم‌افزار و تحليل‌گر كد در دفتر "سيمانتك" در پاريس، ادامه داد.

"استاكس‌نت" پس از آلوده كردن سيستم  به "خانه" گزارش می داد
آنان تشخيص دادند كه هر گاه "استاكس‌نت" رايانه‌اي را آلوده مي‌كند، "به خانه زنگ مي‌زند" تا اطلاعاتي را در مورد رايانه آلوده شده گزارش دهد. اين اطلاعات شامل آدرس‌هاي داخلي و خارجي آي‌پي، نام رايانه، سيستم عامل و نسخه آن بود و همچنين اين كه آيا نرم‌افزار "زيمنس سيماتيك وين‌سي‌سي استپ 7" يا به شكل خلاصه "استپ 7"، بر روي اين رايانه نصب است يا خير. سرورهاي كنترل و فرماندهي به مهاجم‌ها اجازه مي‌دادند تا "استاكس‌نت" را روي رايانه‌هاي آلوده به‌روزرساني كنند و عملكردهاي جديد و يا حتي فايل‌هاي مخرب بيشتري را در رايانه آلوده به اين ويروس اضافه كنند.

گودال اطلاعاتي بر سر راه گزارش‌هاي "استاكس‌نت" به "خانه"
ارائه دهندگان خدمات DNS، پيشتر ترافيك ورودي را براي جلوگيري از استفاده مهاجم‌ها قطع كرده بودند. "سيمانتك" فكر بهتري داشت. اين شركت با ارائه دهندگان خدمات به "استاكس‌نت" تماس گرفت و آنان را راضي كرد تا مسير هر گونه ترافيك اين ويروس را به يك گودال (در اين مورد كامپيوتري كه مخصوص دريافت ترافيك مخرب بود) كه "سيمانتك" آن را كنترل مي‌كرد، هدايت كند. "سيمانتك" گزارش‌هايي از رايانه‌هايي دريافت مي‌كرد كه به "استاكس‌نت" آلوده شده بودند. اين شركت، اطلاعات مربوط را در اختيار ساير شركت‌هاي امنيتي نيز قرار داد.

علي‌رغم انتشار الگوهاي پيش‌گيرنده،"استاكس‌نت" بيش از 100 هزار رايانه را آلوده كرد
در عرض يك هفته پس از ايجاد اين گودال، حدود 38 هزار رايانه در ده‌ها كشور به "سيمانتك" گزارش دادند. در مدتي نه چندان زياد، اين تعداد از مرز صد هزار رايانه گذشت. "استاكس‌نت" با وجود الگوهايي كه شركت‌هاي آنتي‌ويروس براي مقابله با آن منتشر كرده بودند، به سرعت در حال گسترش بود.

از ميان 38 هزار مورد اوليه آلودگي، 22 هزار مورد گزارش به ايران مربوط مي‌ شد
پس از آن كه "اريك چين" و "او مورچو" نقشه مكان‌هاي جغرافيايي آلودگي‌ها را ترسيم كردند، الگوي عجيبي به دست آمد. از ميان 38 هزار مورد آلودگي اوليه،22 هزار مورد در ايران اتفاق افتاده بود. اندونزي با فاصله زيادي (تقريباً 6700 مورد) دوم بود و هند نيز با تقريباً 3700 مورد آلودگي در جاي سوم قرار داشت. آمريكا كمتر از 400 مورد آلودگي داشت. تنها تعداد كمي از رايانه‌هاي آلوده شده، نرم‌افزار "زيمنس استپ 7 " را داشتند: تنها 217 رايانه در ايران و 16 عدد در آمريكا.

واضح بود كه "استاكس‌نت" بر ايران تمركز داشت
پراكندگي آلودگي‌ها تفاوت چشمگيري با الگوهاي پيشين موارد آلودگي در سطح جهان (مثلاً در مورد كرم قدرتمند "كانفيكر"،Confikor) داشت. در الگوهاي پيشين آلودگي، ايران ـ اگر اصلاً موردي از آلودگي در آن اتفاق مي‌افتاد ـ در رتبه‌هاي بالا قرار نمي‌گرفت. در اين آلودگي‌ها كره جنوبي و آمريكا همواره در بالاي ليست بودند كه با توجه به بيشترين تعداد كاربران اينترنتي در اين دو كشور، جاي تعجب نداشت؛ اما حتي در آلودگي‌هايي كه مركز آن‌ها خاورميانه بود، باز هم ايران آمار آلودگي بالايي نداشت. این بار واضح بود كه جمهوري اسلامي در مركز آلودگي "استاكس‌نت" قرار داشت.

حرفه‌اي بودن كد، به علاوه تأييديه‌هاي دزدي و اكنون نيز قرار داشتن ايران در مركز حمله اين آلودگي، حاكي از آن بود كه "استاكس‌نت" ممكن است كار ارتش سايبري يك دولت باشد؛ حتي شايد ارتش سايبري آمريكا.

ممكن بود کار تحقیقاتی "سيمانتك" دخالت در عمليات‌هاي سري دولت آمريكا باشد
اين موضوع باعث شد كه ايجاد گودال از سوی شركت "سيمانتك" به يك اقدام شجاعت‌آميز تبديل شود. محققان با ايجاد مانع بر سر راه داده‌هايي كه مهاجم‌ها انتظار دريافتش را داشتند، ممكن بود در حال دخالت در يك عمليات مخفي دولت آمريكا باشند. وقتي از "اريك چين" سؤال شد كه آيا در اين مورد نگران است يا خير، وي جواب داد: «براي ما آدم خوب و آدم بد وجود ندارد.»

سپس كمي فكر كرد و ادامه داد: «راستش، آدم‌هاي بد كساني هستند كه كدهاي مخرب مي‌نويسند و باعث مي‌شوند رايانه‌ها آلوده شوند و در نتيجه عواقب ناخواسته يا عواقب خواسته‌اي به وجود آيد.»

"سيمانتك" اعتقاد نداشت كه بايد از ويروس حمايت كند
آن "آدم بد"، خواه آمريكا و خواه يكي از متحدانش بود، باعث مي‌شد حمله مورد نظر به هزاران سيستم صدمات ثانويه وارد كند و "سيمانتك" هيچ گونه وظيفه ميهن‌پرستانه‌اي احساس نمي‌كرد تا از فعاليت اين ويروس حمايت كند. "چين" تصريح كرد: «ما به هيچ كشوري وابسته نيستيم؛ بلكه يك شركت چند مليتي و خصوصي هستيم كه از مشتركان خود حفاظت مي‌كنيم.»

زمان به سرعت مي‌گذشت. تمام آن چه محققان مي‌دانستند اين بود كه "استاكس‌نت" بيش از 100 هزار رايانه را آلوده كرده است؛ اما هيچ اطلاعي از اينكه اين ويروس با آن رايانه‌ها چه كار مي‌كند، نداشتند.

تصور مي‌شد دليل شيوع آلودگي در ايران، به‌روز نبودن نرم‌افزارهاي امنيتي باشد
"چين" اخيراً اظهار كرد: «ما تقريباً تمام مدت به اين فكر مي‌كرديم كه شايد اين ويروس تنها به اين دليل در ايران گسترش يافته است كه ايرانيان نرم‌افزارهاي امنيتي به‌روزي ندارند و اگر هم اين ويروس به آمريكا حمله كند، ممكن است يكي از تأسيسات پاك‌سازي آب و يا سيستم كنترل قطارها و يا چيزي مانند اين‌ها را آلوده كند. بنابراين ما در حقيقت، با تمام قوا، تلاش مي‌كرديم تا بفهميم اين ويروس چه نوع سيستم‌هايي را آلوده مي‌كند.»

منبع: فارس