استاكس‌نت خطرناك‌ترين نرم‌افزار مخرب تاريخ (4)

هدف "استاكس‌نت" نيروگاه "بوشهر" در ايران بود

تاریخ انتشار : ۱۰ مرداد ۱۳۹۰

تأسيسات هدف درون "استاكس‌نت" مشخص نشده بود، اما "لانگنر" در اين مورد هيچ شكي نداشت. وي به "روزن" و "تيم" اظهار کرد: «هدف اين ويروس تخريب نيروگاه "بوشهر" است.»

به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكس‌نت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هسته‌اي ايران بررسي كرد. در بخش چهارم اين گزارش، هدف اين ويروس و قربانيان آن را مي‌شناسيم؛ سپس به ارتباط آن با برنامه "استپ 7" پي مي‌بريم و براي اولين بار مي‌بينيم كه نيروگاه "بوشهر" به عنوان هدف "استاكس‌نت" معرفي مي‌شود.

كاربرد برنامه "استپ 7"
"استپ 7" يك رابط زيبا و مبني بر ويندوز براي برنامه‌ريزي و نظارت بر يك دستگاه دارد كه "كنترل‌گر منطقي برنامه‌پذير" ناميده مي‌شود. اين كنترل‌گرها در اصل رايانه‌هاي كوچكي به اندازه يك توستر هستند كه همه چيز را كنترل مي‌كنند: از موتورهاي خطوط بسته‌بندي تا شيرفلكه‌هاي مهم در خطوط گازي. براي برنامه‌ريزي و ارتباط برقرار كردن با اين كنترل‌گرها، كاركنان تأسيسات دستگاه‌هاي خود را كه داراي ويندوز و برنامه "استپ 7" است به كنترل‌گر متصل مي‌كنند تا به آن دستور بدهند و از آن گزارش‌هاي داده‌اي را دريافت کنند.

اين جا بود كه فايل مخرب DLL "استاكس‌نت" وارد عمل مي‌شد. "فالير" فهميد كه اين ويروس در راه دستورات مانع ايجاد مي‌كند و در عوض دستورات مخرب خود را از "استپ 7" به كنترل‌گر ارسال مي‌كند.

"استاكس‌نت" مانند فيلم‌هاي دزدي "هاليوود" عمل مي‌كند
در همين حال بخش ديگري از "استاكس‌نت" هر گونه زنگ هشدار خودكار را كه ممكن بود در نتيجه دستور مخرب به صدا در بيايد از كار مي‌انداخت. اين ويروس همچنين با دست‌كاري گزارش‌هاي وضعيت ارسالي از كنترل‌گر به "استپ 7"، هر گونه نشان از دستورهاي مخرب را از بين مي‌برد. بنابراين كاركنان ناظر بر كنترل‌گر، تنها دستورهاي درست را مي‌ديدند؛ درست مانند فيلم‌هاي هاليوودي كه دزدان جواهرات يك فيلم تكراري را مقابل دوربين‌هاي نظارت بر مغازه قرار مي‌دهند تا نگهبان‌ها به جاي دزدها تصوير يك حالت معمولي را ببينند.

هدف "استاكس‌نت" جاسوسي نبود؛ بلكه تخريب فيزيكي بود
اين واقعيت كه "استاكس‌نت"، دستوراتي را وارد كنترل‌گر مي‌كرد و اين كار خود را مخفي مي‌کرد، نشان مي‌داد كه اين ويروس، به‌خلاف آن‌چه همه تصور مي‌كردند، براي جاسوسي ايجاد نشده بود؛ بلكه هدف آن تخريب فيزيكي بود.

محققان كاملاً شگفت‌زده شدند. اولين بار بود كه از كدهاي ديجيتال در دنياي مجازي براي نابود كردن فيزيكي چيزي در جهان واقعيت، استفاده مي‌شد.

"چين" اظهار كرد: «ما انتظار جاسوسي را داشتيم، انتظار دزيدن اطلاعات كارت اعتباري را داشتيم؛ اين‌ها مواردي است كه ما هر روز با آن سر و كار داريم؛ اما انتظار اين كار را نداشتيم.»

"سيمانتك"، در تاريخ 6 آگوست در وبلاگ خود مطلبي نوشت و اظهار كرد كه "استاكس‌نت" در حال يك حمله هدف‌مند براي دزديدن كنترل‌گر يك سيستم كنترلي "زيمنس" با وارد كردن دستورهاي مخرب است.

مقايسه "استاكس‌نت" با حمله ديجيتالی "سي‌آي‌اي" به خط لوله گاز "سيبري"
محققان براي نشان دادن قدرت تخريب "استاكس‌نت" به ماجراي حمله ديجيتال "سي‌آي‌اي" در سال 1982 به خطوط لوله "سيبري" اشاره كردند كه انفجاري به بزرگي يك‌پنجم بمب اتمي منفجر شده در "هيروشيما" ايجاد کرد. در اين ماجرا كه هيچ‌گاه ثابت نشد، آمريكا متوجه شد كه روسيه در حال سرقت اطلاعات مربوط به فناوري‌هاي اين كشور است. بنابراين، "سي‌آي‌اي" نقشه كشيد تا يك بمب نرم‌افزاري را در برنامه‌اي قرار دهد كه آمريكا مي‌دانست قرار است روسيه از يك شركت كانادايي خريداري كند تا از آن براي راه‌اندازي پمپ‌ها و شيرفلكه‌هاي خطوط گاز طبيعي خود استفاده کنند.

 اين برنامه در ابتدا به درستي كار مي‌كرد؛ اما بنا بر زماني از پيش تعيين شده، باعث شد تا شيرفلكه‌ها به درستي كار نكنند و موجب افزايش فشار شوند و شعله آتش بزرگی را به وجود آورند. به حدي كه ماهواره‌هاي درون مدار زمين توانستند آن را ثبت كنند.

"استاكس‌نت" عملكرد كنترل‌گرها را مختل مي‌كرد
به دست آوردن مدركي مبني بر اين‌كه "استاكس‌نت" موجب تخريب كنترل‌گرها مي‌شد، پيشرفت بسيار بزرگي بود. اما يك مشكل وجود داشت: هيچ‌كدام از محققين "سيمانتك" به حد كافي از كنترل‌گرها اطلاع نداشت تا بفهمد اين ويروس با آن‌ها چه مي‌كند. كنترل‌گرها از يك زبان برنامه‌نويسي خاص (STL) استفاده مي‌كنند كه براي محققين آنتي‌ويروس كه در برنامه‌هاي ويندوز و زبان رايانه‌ها خبره بودند، مانند زبان لاتين مي‌ماند.

 آنان در وبلاگ خود تقاضا كردند تا اگر فردي با كنترل‌گرها و زبان STL آشنايي دارد، با آنان تماس بگيرد؛ اما هيچ جوابي نگرفتند.

قطع گزارش‌ها از ايران به گودال اطلاعاتي شركت "سيمانتك"
دو هفته پس از آن كه "سيمانتك" درخواست خود را در وبلاگش قرار داد، ارسال گزارش‌ها از رايانه‌هاي آلوده در ايران به گودال اين شركت قطع شد. ايران اتصال خروجي رايانه‌هاي آلوده را قطع كرده بود. كسي در ايران بود كه نمي‌خواست كسي بداند كدام رايانه‌ها در ايران آلوده شده بودند.

رقابت شركت‌هاي آنتي‌ويروس براي انتشار اطلاعات جديد در مورد ويروس‌ها
"چين" انتظار داشت زماني كه آنان مطلب را در وبلاگ خود ثبت مي‌كنند، ديگر محققين نيز اين كار را انجام دهند و اطلاعات بيشتري به دست آورند. عموماً زماني كه آنان يك نرم‌افزار مخرب جديد را تحليل مي‌كردند، رقباي آنان نيز به طور همزمان اين كار را انجام مي‌دادند و همگي رقابت مي‌كردند تا يافته‌هاي خود را زودتر منتشر كنند. كارهاي مشابه به عنوان روشي غيررسمي بود كه از طريق تحليل همكاران صحت يافته‌هاي يك شركت را نشان مي‌داد. اما اين بار هيچ نشانه‌اي وجود نداشت كه نشان دهد محققين ديگر نيز مشغول تحليل كد ويروس باشند.

"چين" كه هنوز هم از عدم علاقه محققان ديگر به اين ويروس شگفت‌زده شده بود، اخيراً گفت: «بحث، بحث منفجر كردن چيزي است.» وي اين سكوت محققان را "سكوتي مانند جيرجيرك" ناميد.

ورود یک متخصص امنيت سيستم‌هاي كنترل صنعتي، به روند تحليل "استاكس‌نت"
در سوي ديگر كره زمين، يك فرد 52 ساله آلماني به نام "رالف لانگنر" با علاقه نوشته‌هاي "سيمانتك" را دنبال مي‌كرد. "لانگنر" به سيستم‌هاي داراي ويندوز و همچنين ويروس‌هاي اينترنتي علاقه كمي داشت؛ وي حتي در خانه خود اينترنت نيز ندارد. اما او در علم ناشناخته امنيت سيستم‌هاي كنترل صنعتي، تخصص دارد. اين تنها كاري است كه شركت سه نفره او انجام مي‌دهد. بنابراين وي زماني كه "سيمانتك" نوشت:"استاكس‌نت" به كنترل‌گرها حمله مي‌كند، بسيار به اين موضوع علاقه‌مند شد.

"لانگنر" اظهار كرد: «اين جا بود كه "استاكس‌نت" توجه ما را جلب كرد. ما با خود گفتيم: خوب حالا موضوع جالب شد.»

سكوت "زيمنس"، با وجود حمله "استاكس‌نت" به برنامه"استپ 7"
"لانگنر" مي‌دانست كه هزاران مشتري "زيمنس" روي سيستم‌هاي خود يك قاتل ساكت اما بالقوه دارند و منتظر هستند تا "سيمانتك" يا "زيمنس" به آنان بگويند كه "استاكس‌نت" با كنترل‌گرهاي صنعتي آنان چه مي‌كند. اما "زيمنس" به طرز غير قابل باوري در اين مورد ساكت بود. اين شركت، با وجود آن كه در ماه ژوئيه اعلام كرد كه يك تيم از متخصصين براي بررسي اين نرم‌افزار مخرب تشكيل داده است، اغلب در مورد اين ويروس ساكت بود.

"استاكس‌نت" در سايت‌هاي نرم‌افزارهاي مخرب آماده دانلود بود
"لانگنر" تصريح كرد: «بالاخره، اگر اين كنترل‌گرها [ي مورد حمله]، مربوط به "زيمنس" است، وظيفه آنان است كه اين ويروس را تحليل كنند.»"استاكس‌نت" در همين زمان نيز در سايت‌هاي مربوط به نرم‌افزارهاي مخرب، موجود و آماده دانلود و تنظيم بود. اين برنامه مي‌توانست در دست افراد نادرست بيشتري منتشر شود و به حمله‌اي خطرناك‌تر به انواع ديگر كنترل‌گرها در آمريكا و كشورهاي ديگر منجر شود.
"لانگنر" تصميم گرفت او و تيمش، شخصا با "استاكس‌نت" مقابله كنند.

آموزش "لانگنر" به كاركنان شركت "زيمنس" در مورد برنامه خودشان
"لانگنر" دانشش در زمينه رايانه را خود كسب كرده بود؛ اما اطلاعاتش در زمينه محصولات "زيمنس" آن‌چنان گسترده بود كه او و همكاران مهندسش، "رالف روزن" و "آندرياس تيم" گاهي به كاركنان "زيمنس" نيز در زمينه نرم‌افزار خود اين كاركنان آموزش مي‌دادند. "لانگنر" مي‌گويد: «شايد تعداد كاركنان "زيمنس" كه اطلاعاتي بيشتر از ما دارند تنها به تعداد انگشتان دست برسد.»

بررسي ارتباط "استاكس‌نت" با برنامه "استپ 7"
سه نفر جلوي صفحه‌هاي مانيتور در دفتر كوچك خود دور هم جمع شدند و در مورد نظراتشان با يكديگر بحث كرده و فرضيه‌هاي خود را در مورد آنچه احتمالاً اين كد انجام مي‌داد آزمايش كردند. آنان همچنين تنظيماتي را كه "استاكس‌نت" از آن استفاده مي‌كرد به دقت مطالعه كردند: كد با كدام دستگاه ارتباط برقرار مي‌كند و آيا بيش از يك دستگاه وجود دارد يا خير؟ آيا اين دستگاه‌ها در گروه‌هاي خاصي قرار داشتند؟

سه هفته طول كشيد تا آنان به نتيجه‌اي حيرت‌آور دست يابند: "استاكس‌نت" تنها به منظور حمله به يك نوع خاص از كنترل‌گرهاي "زيمنس" ساخته نشده بود؛ بلكه يك سلاح دقتي بود كه براي تخريب يك تأسيسات خاص طراحي شده بود.

"استاكس‌نت" ساخته يك دولت داراي منابع فراوان بود
درون كدهاي "استاكس‌نت"، پرونده‌اي وجود داشت كه تنظيمات خاص صنعتي تأسيساتي را كه هدف قرار مي‌داد، در خود جاي داده بود. هر سيستمي كه دقيقاً اين تنظيمات را نداشت، از آسيب اين ويروس در امان بود: "استاكس‌نت" فعاليت خود را در اين سيستم پايان مي‌داد و به سيستم بعدي منتقل مي‌شد تا قرباني خود را بيابد. "لانگنر" به خوبي مي‌دانست كه "استاكس‌نت" ساخته يك دولت با منابع فراوان بود كه در مورد هدف خود اطلاعات دقيقي داشت.

باوركردني نبود كه فردي بتواند نرم‌افزاري تا اين حد حرفه‌اي ايجاد كند
"لانگنر" بعدها اعلام كرد: «من انتظار داشتم اين ويروس يك حمله ساده تحت "داس" (DoS) باشد كه به تمام کنترل‌گرهاي "زيمنس" آسيب مي‌رساند. به همين خاطر هم اين ويروس بسيار وحشت‌آور بود. ديدن اين كه فردي (با استفاده از چهار حفره "روز صفر" و دو تأييديه دزديده شده) چنين نرم‌افزار مخربي بسازد تا تنها به يك تأسيسات حمله كند، باوركردني نبود.»

هدف "استاكس‌نت" نيروگاه "بوشهر" در ايران است
تأسيسات هدف درون "استاكس‌نت" مشخص نشده بود؛ اما "لانگنر" در اين مورد هيچ شكي نداشت. يك روز وي به نيروگاه برقي در ايران اشاره كرد كه قرار بود كار خود را در آگوست 2010 آغاز كند؛ اما افتتاح آن با تأخير مواجه شد. وي در همين حال به "روزن" و "تيم" گفت: «هدف اين ويروس تخريب نيروگاه "بوشهر" است.» آن دو نگاهي متعجب به او انداختند. آنان مايل نبودند تا همراه با او يك سلاح سايبري تحت بودجه دولت را دنبال كنند كه به نظر مي‌رسيد ممكن است به اسرائيل و آمريكا و يا حتي آلمان كه متهمان پروژه "استاكس‌نت" بودند، برسد.

"لانگنر" با يكي از مشتركين خود كه كارمند يكي از سازنده‌هاي تراز اول تجهيزات غني‌سازي اورانيوم است تماس گرفت.
"لانگنر" به وي گفت: «تنها يك سؤال دارم: آيا مي‌توان يك سانتريفيوژ را تنها با دست‌كاري در كدهاي آن نابود كرد؟»
طرف ديگر خط جواب داد: «رالف، من نمي‌توانم به اين سؤال تو جواب بدهم. اين اطلاعات طبقه‌بندي شده است.»

"لانگنر" اعلام كرد كه "استاكس‌نت" حمله‌اي به نيروگاه "بوشهر" است
"لانگنر" مطمئن بود كه در مسير درست قرار دارد. وي در تاريخ 16 سپتامبر نوشته‌اي در يك وبلاگ قرار داد و با جسارت تمام گفت كه "استاكس‌نت" حمله‌اي به نيروگاه "بوشهر" است. وي همچنين اعلاميه‌هايي را نيز به رسانه‌هاي آلماني و بين‌المللي ارسال كرد.

"لانگنر" بعدها اظهار كرد: «سكوت، تمام فضاي اطراف ما را فرا گرفت. همه فكر مي‌كردند اين آدم ديوانه شده است. ما هميشه مي‌دانستيم "رالف" ديوانه است؛ اكنون براي اثبات آن مدرك نيز داريم.»

منبع: فارس