به گزارش
گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكسنت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هستهاي ايران بررسي كرد. بخش دوم اين گزارش به بررسي رايانه هاي آلوده شده از طریق استاكسنت مي پردازد.
"استاكسنت" حجم بينهايت زيادي داشتچند لايه مانند ماسك، حفره "روز صفر" كه اين ويروس از آن استفاده ميكرد را پوشانده بود و رسيدن به ريشه آن را مشكل ميكرد. اين ويروس همچنين بسيار سنگين بود: 500 كيلوبايت كه در مقايسه با ويروسهاي ديگري كه تنها 10 تا 15 كيلوبايت حجم دارند، بسيار حجيم است.
چنين ويروس سنگيني معمولاً شامل يك فايل حجيم ايميج است، مثلاً يك صفحه بانكي آنلاين و دروغين كه در كامپيوتر آلوده باز ميشود و از كاربر تقاضا ميكند تا اطلاعات حساب بانكي اش را وارد كند. اما هيچ فايل ايميجي در "استاكسنت" وجود نداشت و اطلاعات زيادي نيز در آن موجود نبود. به نظر ميرسيد كد اين ويروس، يك توده فشرده و كارآمد از اطلاعات و فرمان باشد.
اولين برخورد "او مورچو" با ويروسي مشابه با "استاكسنت"اولين برخورد اومورچو با اين ويروس در سال 1996 بود؛ در آن زمان يكي از دانشجويان "دانشگاه دوبلين" ويروسي را ساخت كه به شبكه اين دانشگاه حمله كرد. در اواسط ماه مارس، صدها اتاق منتهي به آزمايشگاههاي اين دانشگاه به دانشجويان اجازه ورود نمي دادند، مگر اين كه آنها به 10 سؤالي كه در صفحه كناريشان پديدار ميشد، جواب ميدادند. اغلب افراد از اين مشكل به وجود آمده ناراحت شدند؛ اما "او مورچو" جذب كد آن شد و آن را تجزيه كرد تا بببيند چگونه كار ميكند.
شروع كار "او مورچو" به عنوان متخصص امنيتيدر سال 2002 وي با يك شركت آنتياسپم همكاري كرد كه پس از مدت كمي به شركت "سيمانتك" پيوست. "او مورچو" در نهايت به دفتر موفق شركت در شهر "كالور" رفت و "دوبلين" را به مقصد "كاليفرنياي جنوبي" ترك كرد.
"استاكسنت" با ساير ويروسها تفاوت داشتاگر شما هم به اندازه "او مورچو" ويروس و كرم ديده باشيد، با يك نگاه به يك نرمافزار مخرب تشخيص ميدهيد كه از چه نوعي است؛ حال مهم نيست كه اين نرمافزار بدون دقت درست شده و يا با دقت و نظم ايجاد شده باشد. استاكس نت شامل اجزاي مختلفي بود كه هر كدام در يك محل خاص قرار داشتند و اين باعث ميشد كه اجراي عملكردها و اصلاح آن در صورت نياز ممكن شود.
شيوه مخفي كردن عملياتها؛ تفاوت عمده "استاكسنت" با ساير ويروسهاآن چه در مورد اين ويروس بيش از هر چيز مشخص بود، شيوهاي است كه ويروس به وسيله آن اين عملكردها را مخفي ميكرد. عملكرهاي ويندوز معمولاً زماني كه لازم باشد از يك فايل DLL ذخيره شده روي هارد ديسك، بارگذاري ميشوند. بنابراين انجام اين كار با استفاده از فايلهاي مخرب، نشانهاي را به دست آنتيويروس ميدهد. "استاكسنت" فايل DLL رمزگشايي شده خود را، به جاي هارد ديسك، تنها در حافظه رم ذخيره و آن را به عنوان يك فايل مجازي با اسمي كه به شكل خاص تعيين شده بود، ايجاد ميکرد.
"استاكسنت" و ایجاد نسل جديدي از روش مخفي كردن فايلهاي آلوده اين ويروس سپس API ويندوز (رابط بين سيستم عامل و برنامههايي كه روي آن نصب ميشوند) را به گونهاي برنامهريزي ميكرد كه هر گاه برنامهاي بخواهد عملكردي را از يك لايبرري با آن نام خاص بارگذاري كند، به جاي هارد ديسك درون حافظه، رم آن را بيابد. "استاكسنت" در اصل، نسل كاملاً جديدي از فايلهاي مخفي را ايجاد كرده بود كه روي هارد ديسك ذخيره نميشدند و به همين دليل نيز يافتن آنها تقريباً غير ممكن بود.
روش "استاكسنت" در مخفي كردن فايلهاي مخربش منحصر به فرد بود"او مورچو" در تمام سالهايي كه نرمافزارهاي مخرب را تحليل كرده بود، تا به حال با اين تكنيك برخورد نكرده بود. وي در يكي از مصاحبههاي اخيرش در دفتر "سيمانتك" اظهار كرد:
«حتي ويروسهاي پيچيدهاي كه ما ميبينيم هيچ كدام اين كار را نميكنند.»"استاكسنت" يك ويروس كاملاً حرفهاي استمدام دلايل جديدي پيدا ميشد كه نشان ميداد "استاكسنت" يك ويروس بسيار حرفهاي است. با اين حال، "او مورچو" از ميان500 كيلوبايت كد ويروس، تنها اولين كيلوبايت آن را بررسي كرده بود. مشخص بود كه براي مقابله با اين ويروس به يك تيم نياز است. سؤال اين بود: آيا آنها "بايد" با اين ويروس مقابله ميكردند؟
وظيفه آنتيويروس: تشخيص، جلوگيري و پاكسازياگر "سيمانتك"، پروژه "استاكسنت" را در همين جا رها كرده و به پروژههاي ديگر ميپرداخت، هيچ كس اين شركت را سرزنش نميكرد. وظيفه اصلي شركتهاي آنتي ويروس، تشخيص است؛ يعني متوقف كردن آلودگيهاي رايانهاي پيش از آن كه وارد رايانهها شوند و پاك كردن سيستمهايي كه پيشتر به آن آلودگي دچار شدهاند. در اين ميان، كاري كه نرمافزار مخرب روي رايانهاي كه به آن آلوده شده است انجام ميدهد، در اولويت دوم است.
كد "استاكسنت" پيچيدهتر از آن بود كه تنها براي جاسوسي ايجاد شده باشداما "سيمانتك" در قبال رفع مشكل آن دسته از كاربرانش كه رايانه آنها به ويروس "استاكسنت" آلوده شده بود، احساس وظيفه ميكرد. مهمتر از آن، به نظر ميرسيد كد اين ويروس بسيار پيچيدهتر و حرفهايتر از آن باشد كه صرفاً براي جاسوسي ايجاد شده باشد. اين ويروس يك پازل بسيار هيجانآور بود.
"او مورچو" گفت: «همه چيز اين ويروس، مو را به تن آدم راست ميكرد، اين ويروس چيزي است كه ما بايد درون آن را نگاه كنيم.»
ادامه تحليل كد "استاكسنت" در كشورهاي مختلف"او مورچو" مراحل ابتدايي ارزيابياش را از كدهاي ويروس به اتمام رساند و يك پك بهروزرساني را براي تيم تحقيقاتي "سيمانتك" در توكيو فرستاد. "سيمانتك" در اروپا، آمريكا و ژاپن آزمايشگاههايي دارد تا به اين ترتيب محققانش در مناطق جغرافيايي مختلف همواره در دسترس باشند و بتوانند به تهديدهاي مهم حمله كنند؛ محققان اين شركت، مانند كشتيگيرهايي كه پرچم تيم خود را به دست كشتيگير بعدي ميدهند، زماني كه طرح خود را در مكاني به پايان مي رسانند و در مكاني ديگر آغاز مي كنند، تهديدهاي جديد را به يكديگر معرفي كنند. تيم توكيو آخر هفته را صرف ترسيم بخشهاي مختلف "استاكسنت" كرد تا چارچوبي كلي از آن چه با آن مقابله ميكند، داشته باشد. "او مورچو" دوشنبه كار تيم توكيو را همراه با "اريك چين"، مدير صنعتي "پاسخ امنيتي سيمانتك" و "نيكولاس فالير"، مهندس ارشد نرمافزار و تحليلگر كد در دفتر "سيمانتك" در پاريس، ادامه داد.
"استاكسنت" پس از آلوده كردن سيستم به "خانه" گزارش می دادآنان تشخيص دادند كه هر گاه "استاكسنت" رايانهاي را آلوده ميكند، "به خانه زنگ ميزند" تا اطلاعاتي را در مورد رايانه آلوده شده گزارش دهد. اين اطلاعات شامل آدرسهاي داخلي و خارجي آيپي، نام رايانه، سيستم عامل و نسخه آن بود و همچنين اين كه آيا نرمافزار "زيمنس سيماتيك وينسيسي استپ 7" يا به شكل خلاصه "استپ 7"، بر روي اين رايانه نصب است يا خير. سرورهاي كنترل و فرماندهي به مهاجمها اجازه ميدادند تا "استاكسنت" را روي رايانههاي آلوده بهروزرساني كنند و عملكردهاي جديد و يا حتي فايلهاي مخرب بيشتري را در رايانه آلوده به اين ويروس اضافه كنند.
گودال اطلاعاتي بر سر راه گزارشهاي "استاكسنت" به "خانه" ارائه دهندگان خدمات DNS، پيشتر ترافيك ورودي را براي جلوگيري از استفاده مهاجمها قطع كرده بودند. "سيمانتك" فكر بهتري داشت. اين شركت با ارائه دهندگان خدمات به "استاكسنت" تماس گرفت و آنان را راضي كرد تا مسير هر گونه ترافيك اين ويروس را به يك گودال (در اين مورد كامپيوتري كه مخصوص دريافت ترافيك مخرب بود) كه "سيمانتك" آن را كنترل ميكرد، هدايت كند. "سيمانتك" گزارشهايي از رايانههايي دريافت ميكرد كه به "استاكسنت" آلوده شده بودند. اين شركت، اطلاعات مربوط را در اختيار ساير شركتهاي امنيتي نيز قرار داد.
عليرغم انتشار الگوهاي پيشگيرنده،"استاكسنت" بيش از 100 هزار رايانه را آلوده كرددر عرض يك هفته پس از ايجاد اين گودال، حدود 38 هزار رايانه در دهها كشور به "سيمانتك" گزارش دادند. در مدتي نه چندان زياد، اين تعداد از مرز صد هزار رايانه گذشت. "استاكسنت" با وجود الگوهايي كه شركتهاي آنتيويروس براي مقابله با آن منتشر كرده بودند، به سرعت در حال گسترش بود.
از ميان 38 هزار مورد اوليه آلودگي، 22 هزار مورد گزارش به ايران مربوط مي شدپس از آن كه "اريك چين" و "او مورچو" نقشه مكانهاي جغرافيايي آلودگيها را ترسيم كردند، الگوي عجيبي به دست آمد. از ميان 38 هزار مورد آلودگي اوليه،22 هزار مورد در ايران اتفاق افتاده بود. اندونزي با فاصله زيادي (تقريباً 6700 مورد) دوم بود و هند نيز با تقريباً 3700 مورد آلودگي در جاي سوم قرار داشت. آمريكا كمتر از 400 مورد آلودگي داشت. تنها تعداد كمي از رايانههاي آلوده شده، نرمافزار "زيمنس استپ 7 " را داشتند:
تنها 217 رايانه در ايران و 16 عدد در آمريكا.واضح بود كه "استاكسنت" بر ايران تمركز داشتپراكندگي آلودگيها تفاوت چشمگيري با الگوهاي پيشين موارد آلودگي در سطح جهان (مثلاً در مورد كرم قدرتمند "كانفيكر"،Confikor) داشت. در الگوهاي پيشين آلودگي، ايران ـ اگر اصلاً موردي از آلودگي در آن اتفاق ميافتاد ـ در رتبههاي بالا قرار نميگرفت. در اين آلودگيها كره جنوبي و آمريكا همواره در بالاي ليست بودند كه با توجه به بيشترين تعداد كاربران اينترنتي در اين دو كشور، جاي تعجب نداشت؛ اما حتي در آلودگيهايي كه مركز آنها خاورميانه بود، باز هم ايران آمار آلودگي بالايي نداشت. این بار واضح بود كه جمهوري اسلامي در مركز آلودگي "استاكسنت" قرار داشت.
حرفهاي بودن كد، به علاوه تأييديههاي دزدي و اكنون نيز قرار داشتن ايران در مركز حمله اين آلودگي، حاكي از آن بود كه "استاكسنت" ممكن است كار ارتش سايبري يك دولت باشد؛ حتي شايد ارتش سايبري آمريكا.ممكن بود کار تحقیقاتی "سيمانتك" دخالت در عملياتهاي سري دولت آمريكا باشداين موضوع باعث شد كه ايجاد گودال از سوی شركت "سيمانتك" به يك اقدام شجاعتآميز تبديل شود. محققان با ايجاد مانع بر سر راه دادههايي كه مهاجمها انتظار دريافتش را داشتند، ممكن بود در حال دخالت در يك عمليات مخفي دولت آمريكا باشند. وقتي از "اريك چين" سؤال شد كه آيا در اين مورد نگران است يا خير، وي جواب داد: «براي ما آدم خوب و آدم بد وجود ندارد.»
سپس كمي فكر كرد و ادامه داد: «راستش، آدمهاي بد كساني هستند كه كدهاي مخرب مينويسند و باعث ميشوند رايانهها آلوده شوند و در نتيجه عواقب ناخواسته يا عواقب خواستهاي به وجود آيد.»
"سيمانتك" اعتقاد نداشت كه بايد از ويروس حمايت كندآن "آدم بد"، خواه آمريكا و خواه يكي از متحدانش بود، باعث ميشد حمله مورد نظر به هزاران سيستم صدمات ثانويه وارد كند و "سيمانتك" هيچ گونه وظيفه ميهنپرستانهاي احساس نميكرد تا از فعاليت اين ويروس حمايت كند. "چين" تصريح كرد: «ما به هيچ كشوري وابسته نيستيم؛ بلكه يك شركت چند مليتي و خصوصي هستيم كه از مشتركان خود حفاظت ميكنيم.»
زمان به سرعت ميگذشت. تمام آن چه محققان ميدانستند اين بود كه "استاكسنت" بيش از 100 هزار رايانه را آلوده كرده است؛ اما هيچ اطلاعي از اينكه اين ويروس با آن رايانهها چه كار ميكند، نداشتند.
تصور ميشد دليل شيوع آلودگي در ايران، بهروز نبودن نرمافزارهاي امنيتي باشد"چين" اخيراً اظهار كرد: «ما تقريباً تمام مدت به اين فكر ميكرديم كه شايد اين ويروس تنها به اين دليل در ايران گسترش يافته است كه ايرانيان نرمافزارهاي امنيتي بهروزي ندارند و اگر هم اين ويروس به آمريكا حمله كند، ممكن است يكي از تأسيسات پاكسازي آب و يا سيستم كنترل قطارها و يا چيزي مانند اينها را آلوده كند. بنابراين ما در حقيقت، با تمام قوا، تلاش ميكرديم تا بفهميم اين ويروس چه نوع سيستمهايي را آلوده ميكند.»
منبع:
فارس