استاكس‌نت؛ خطرناك‌ترين نرم‌افزار مخرب تاريخ (3)

مهاجمی با هدف تخريب رايانه‌های 5 سازمان‌ ايرانی

تاریخ انتشار : ۰۹ مرداد ۱۳۹۰

ساختار استاكس‌نت به محققان اجازه مي‌داد تا هر آلودگي را از رايانه اوليه كه آلودگي از آن آغاز شده بود دنبال كنند؛ آنان دريافتند كه مهاجم‌ها حملات خود را بر پنج سازمان در ايران متمركز كردند كه قرار بود درهايي به سوي هدف آنان باشند.

به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكس‌نت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هسته‌اي ايران بررسي كرد. در بخش سوم اين مقاله با روش‌هاي عملكرد و انتشار اين ويروس بيشتر آشنا مي‌شويم و به استفاده "استاكس‌نت" از اشكالات موجود در ويندوز پي مي‌بريم.

اخبار اوليه از "روز صفر"هاي بيش‌تر در "استاكس‌نت"
"چين" به "او مورچو"  گفت: «من تنها يك چيز را به تو نشان مي‌دهم؛ اما تا آخر امشب در مورد آن صحبت نمي‌كنيم.» سپس ايميلي را به "او مورچو" نشان داد. محققي در اين ايميل گفته بود كه حفره‌هاي "روز صفر" بيشتري در "استاكس‌نت" مخفي هستند.

تأييد وجود "روز صفر"هاي بيشتر در "استاكس‌نت"
"او مورچو" به "چين" نگاهي انداخت. آنان ماه‌ها بر سر "استاكس‌نت" غصه خورده و نشانه‌هايي را مبني بر وجود حفره‌هاي ديگر ديده بودند، اما هيچ‌گاه اين نظريه آنان اثبات نشده بود. ايميل جزئيات روشني ارائه نداده بود. اما همين كه فرد ديگري نيز، در حد خودش، گفته بود كه "روز صفر"هاي بيشتري در "استاكس‌نت" وجود دارد كافي بود تا روحيه رقابت‌جويي "او مورچو" را برانگيزد.

پيدا شدن سه "روز صفر" جديد در ساختار "استاكس‌نت"
روز بعد، "او مورچو" در دفتر خود مشغول كند و كاو كد "استاكس‌نت" شد و بر بخشي تمركز كرد كه اين ويروس براي گسترش از آن استفاده مي‌كرد. وي سپس يافته‌هاي خود را آزمايش و ثبت كرد. وي در اواسط عصر براي هوا خوري بيرون آمد و يادداشت‌هايش را به "چين" داد؛ وي نيز بعد از ظهر را صرف كار روي كد ويروس كرد. تا آخر هفته اين دو نفر سه "روز صفر" ديگر را پيدا كرده بودند.

استفاده همزمان "استاكس‌نت" از اشكال‌هاي ويندوز و نرم‌افزار "استپ 7"
"استاكس‌نت" علاوه بر اشكال در LNK ويندوز، از اشكالي در برنامه پرينتر رايانه‌هاي داراي ويندوز استفاده مي‌كرد تا در رايانه‌هاي داراي پرينتر مشترك پخش شود. "روز صفر"هاي سوم و چهارم از اشكالات در فايل كيبورد و فايل "برنامه‌ريزي وظايف" ويندوز بهره مي‌برد تا توانايي مهاجم‌ها را در استفاده از رايانه آلوده بالا ببرد و كنترل كامل دستگاه را به آنان بدهد.

 به علاوه، "استاكس‌نت" از يك رمز عبور ثابت استفاده مي‌كرد كه "زيمنس" در برنامه "استپ 7" قرار داده بود. ويروس از اين رمز عبور استفاده مي‌كرد تا كنترل سروري را كه با استفاده از "استپ 7" ميزباني پايگاه داده را به عهده داشت، به دست بگيرد و آن را آلوده كند و به اين ترتيب رايانه‌هاي ديگر متصل به آن سرور را نيز آلوده کند.

"استاكس‌نت" تنها در شبكه‌هاي محلي گسترش مي‌يافت
مهاجم‌ها مصمم بودند تا نرم‌افزار مخرب خود را منتشر كنند؛ اما با روش‌هايي كه به شكل مرموزي محدود بود. بر خلاف اغلب برنامه‌هاي مخرب كه از ايميل و سايت‌هاي مخرب براي به يكباره آلوده كردن تعداد زياد قربانيان استفاده مي‌كنند، هيچ كدام از روش‌هاي "استاكس‌نت" از اينترنت استفاده نمي‌كرد؛ همگي از شبكه‌هاي محلي (LAN) استفاده مي‌كردند.

 تنها يك راه اصلي براي سرايت "استاكس‌نت" از ساختماني به ساختمان ديگر وجود داشت: از طريق يك فلش مموري كوچك كه در جيب فرد به طور غير قانوني وارد ساختمان شده باشد.

به نظر مي‌رسيد مهاجم‌ها قصد داشته‌اند سيستم‌هايي را هدف قرار دهند كه به اينترنت متصل نيستند و از آن جا كه از چهار "روز صفر" استفاده مي‌كردند؛ اين اهداف بايد از اهميت بالايي برخوردار مي‌بودند.

روش عجيب "استاكس‌نت" در حمله به رايانه‌هاي هدف
روش حمله، روشي بسيار بي‌نظم و غير دقيق بود؛ مانند اين بود كه يكي از همسران "اسامه بن لادن" را به ويروسي نادر آلوده كنيد به اميد اين كه او اين ويروس را به رهبر القاعده انتقال دهد. اين روش افراد ديگر غير از هدف را آلوده مي‌كرد و احتمال افشا شدن توطئه را بالا مي‌برد.

اشتباه "استاكس‌نت" در روش حمله‌اش
اين دقيقاً همان چيزي بود كه براي "استاكس‌نت" اتفاق افتاد. محققان "سيمانتك" متوجه شدند كه تمام نمونه‌هاي اين كرم داراي نام دومين و زمان هر سيستمي بود كه آن را آلوده مي‌كرد. اين به محققان اجازه مي‌داد تا هر آلودگي را تا رايانه اوليه كه آلودگي از آن آغاز شده بود دنبال كنند.

آنان دريافتند كه مهاجم‌ها حملات خود را بر پنج سازمان در ايران متمركز كردند كه قرار بود درهايي به سوي هدف آنان باشند. اين پنج سازمان بارها در آلودگي‌هايي جداگانه در ژوئن و ژوئيه 2009 و بار ديگر در مارس، آوريل و مه 2010 مورد هدف قرار گرفتند. اما به دليل "روز صفر"هايي كه در "استاكس‌نت" از آن‌ها استفاده شده بود، اين ويروس به بيرون از اين سازمان‌ها منتشر شد و پشت سر خود ردي از آلودگي را مانند يك صورت فلكي بر جاي گذاشت.

"سيمانتك" "روز صفر"هاي جديدي را كه در كد ويروس شناسايي كرده بود به اطلاع مايكروسافت و ساير شركت‌هاي آنتي‌ويروس رساند؛ اين شركت‌ها نيز در آرشيو خود جستجو كردند تا در صورت وجود، سابقه استفاده از اين "روز صفر"ها را بيايند.

"روز صفر"هاي "استاكس‌نت" قبلاً در بدافزارهای ديگر استفاده شده بودند
اين شركت‌ها به شكلي غير قابل باور دريافتند كه از يك حفره LNK براي حمله به همين اشكال در "اكسپلورر ويندوز" قبلاً در نوامبر سال 2008 نيز استفاده شده است. از اين حفره براي انتشار نوعي از تروجان "زي‌لاب" (Zlob) استفاده شده بود؛ اين تروجان بر روي رايانه آلوده برنامه‌هاي تبليغاتي (adware) و يا ورود غير مجاز به سيستم (backdoor) را نصب مي‌كرد. اين نوع از "زي‌لاب" به طور اتوماتيك در شركت‌هاي آنتي‌ويروس شناسايي و پردازش شده بود‌؛ اما "روز صفر" آن اصلاح نشده بود. پس از اين مورد، حفره نام برده بار ديگر در "استاكس‌نت" مورد استفاده قرار گرفت.

"مايكروسافت" اشكال در برنامه پرينتر ويندوز را برطرف نكرد
اشكال در برنامه پرينتر ويندوز نيز قبلاً آشكار شده بود. مجله‌اي امنيتي در لهستان، آوريل 2009 مقاله‌اي را شامل جزئيات اين اشكال و حتي كد منبع براي استفاده از راه دور از اين حفره منتشر كرد. "مايكروسافت" هيچ گاه از اين اشكال اطلاع پيدا نكرد و در نتيجه پچي (بسته‌اي) نيز براي رفع آن نساخت.

حتي رمز عبور ثابت پايگاه داده "زيمنس" نيز قبلاً بر ملا شده بود. فردي با نام "سايبر" در آوريل 2008 اين رمز عبور را در يك انجمن آنلاين آلماني و روسي كه به محصولات "زيمنس" اختصاص داشت، نوشته بود.

ادامه پرسش‌ها در مورد منابعي كه "استاكس‌نت" از آن بهره مي‌برد
آيا نويسنده‌هاي "استاكس‌نت" و يا يكي از همكاران آنان حفره LNK را در سال 2008 ديده بودند و از آن استفاده كرده بودند به اميد آن كه "مايكروسافت" هيچ گاه پچي را براي بر طرف كردن اين مشكل نسازد؟ آيا آنان اين حفره را در بازار سياه حفره‌ها (كه "روز صفر"ها در آن به قيمت 50 هزار تا 500 هزار دلار به فروش مي‌رسند) از نويسنده‌هاي "زي‌لاب"، كه گفته مي‌شود دسته‌اي از هكرها در شرق اروپا هستند، خريده بودند؟ آيا نويسندگان "استاكس‌نت" اشكالات ديگر را نيز به همين شكل يافته بودند؟

آزمايش‌هاي محققان "سيمانتك" بر روي ويروس‌هاي مختلف
دفتر "سيمانتك" در شهر "كالور" يك ساختمان بزرگ و جادار با يك محوطه باز و سقف بلند است. تيم اطلاعات ويروس‌ها پشت سه درب امنيتي قفل در يك اتاق ساده با اتاقك‌هاي خالي و پنجره‌هاي بزرگي به سمت يك تپه علفي و پر از درخت است. در اين اتاق دسترسي به اينترنت نيز وجود ندارد؛ تنها شبكه "قرمز" جداگانه "سيمانتك": جايي كه محققان ويروس را رها مي‌كنند تا ببينند چه اثر تخريبي دارد. هيچ گونه سخت‌افزار قابل حملي اجازه خروج از اين اتاق را ندارد تا مبادا نرم‌افزار مخربي به شبكه كاري "سيمانتك" و فضاي اينترنت راه پيدا كند.

آزمايشگاه "سيمانتك" يا آزمايشگاه بيولوژيك
زندگي در فضايي سايبري معادل با آزمايشگاه دفاع بيولوژيك، سختي‌هاي بسياري را به همراه دارد. "چين" و "او مورچو" زماني كه بر روي ابعاد آنلاين "استاكس‌نت" كار مي‌كردند مجبور شدند به خارج از دفتر خود بروند تا از لپ‌تاپ‌هاي متصل به اينترنت استفاده كنند.

محققان نمي‌دانستند "استاكس‌نت" به جز انتشار، چه كار ديگري انجام مي‌دهد
در هفته‌هاي اولي كه "استاكس‌نت" كشف شده بود، اين دو توانسته بودند روش‌هاي انتشار آن را بيابند؛ اما هنوز نمي‌دانستند چرا اين ويروس ايجاد شده است و يا به جز انتشار چه كار ديگري انجام مي‌دهد. اين رازها در كدهاي پيچيده آن نهفته بودند. وظيفه مهندسي معكوس اين بخش از كد به عهده "نيكولاس فالير"، مرد 28 ساله فرانسوي، بود.

"فالير" مسئول بخش مهندسي معكوس ويروس‌ها در دفتر "سيمانتك"
"فالير" در زمينه تحليل عميق ويروس‌ها تخصص دارد و مهارت خود را در مهندسي معكوس زماني كه نوجوان بود با حل پازل فايل‌هاي "كرك‌مي" (Crackme) تقويت كرد؛ اين فايل‌ها بازي‌هايي متشكل از كد هستند كه برنامه‌نويس‌ها براي آزمايش توانايي يكديگر در مهندسي معكوس مي‌سازند.

"فالير" متوجه شد كه "استاكس‌نت" داراي سه بخش اصلي و 15 قسمت است كه همگي مانند ظرف‌هاي بزرگ به كوچك درون لايه‌هاي رمزگذاري پيچيده شده‌اند. "استاكس‌نت" بنا به نياز خود بر روي رايانه آلوده اين قسمت‌ها را رمزگشايي و استخراج مي‌كرد.

كنترل كامل نويسنده‌ها بر "استاكس‌نت" با بيش از 400 گزينه مختلف تنظيماتي
به علاوه "استاكس‌نت" يك فايل تنظيمات بسيار گسترده نيز داشت (mdmcpq3.pnf) كه داراي يك منو با بيش از 400 گزينه بود. مهاجم‌ها مي‌توانستند با استفاده از آن‌ها همه ابعاد كد را تنظيم كنند؛ مثلاً ويروس چه مدت بايد انتشار پيدا كند و يا چه مدت بايد از هر حفره استفاده شود. اين جا بود كه محققان به تاريخ پايان كار اين ويروس دست يافتند: 24 ژوئن 2012. هر بار كه "استاكس‌نت " كار خود را روي يك رايانه آغاز مي‌كرد، ساعت دروني آن رايانه را چك مي‌کرد. اگر اين زمان پس از تاريخ موجود در فايل تنظيمات ويروس بود، "استاكس‌نت" از كار مي‌افتاد. احتمالاً تا اين تاريخ، قرار بود "استاكس‌نت" به همه اهداف خود رسيده باشد.

رابطه مرموز "استاكس‌نت" با نرم‌افزار "استپ 7"
البته مهم‌ترين بخش "استاكس‌نت" كدهاي مخرب آن بود. اگر اين ويروس تشخيص مي‌داد كه رايانه آلوده برنامه "استپ 7" را دارد، نرم‌افزار مخرب يك فايل DLL (طيفي از عملكردها) را در رايانه رمزگشايي و بارگذاري مي‌كرد. اين فايل DLL جاي يك فايل DLL درست (s7otbxdx.dl) را مي‌گرفت كه مخزن مشترك عملكردهاي بخش‌هاي مختلف برنامه "استپ7" بود.

منبع: فارس