به گزارش
گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكسنت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هستهاي ايران بررسي كرد. در بخش چهارم اين گزارش، هدف اين ويروس و قربانيان آن را ميشناسيم؛ سپس به ارتباط آن با برنامه "استپ 7" پي ميبريم و براي اولين بار ميبينيم كه نيروگاه "بوشهر" به عنوان هدف "استاكسنت" معرفي ميشود.
كاربرد برنامه "استپ 7""استپ 7" يك رابط زيبا و مبني بر ويندوز براي برنامهريزي و نظارت بر يك دستگاه دارد كه "كنترلگر منطقي برنامهپذير" ناميده ميشود. اين كنترلگرها در اصل رايانههاي كوچكي به اندازه يك توستر هستند كه همه چيز را كنترل ميكنند: از موتورهاي خطوط بستهبندي تا شيرفلكههاي مهم در خطوط گازي. براي برنامهريزي و ارتباط برقرار كردن با اين كنترلگرها، كاركنان تأسيسات دستگاههاي خود را كه داراي ويندوز و برنامه "استپ 7" است به كنترلگر متصل ميكنند تا به آن دستور بدهند و از آن گزارشهاي دادهاي را دريافت کنند.
اين جا بود كه فايل مخرب DLL "استاكسنت" وارد عمل ميشد. "فالير" فهميد كه اين ويروس در راه دستورات مانع ايجاد ميكند و در عوض دستورات مخرب خود را از "استپ 7" به كنترلگر ارسال ميكند.
"استاكسنت" مانند فيلمهاي دزدي "هاليوود" عمل ميكنددر همين حال بخش ديگري از "استاكسنت" هر گونه زنگ هشدار خودكار را كه ممكن بود در نتيجه دستور مخرب به صدا در بيايد از كار ميانداخت. اين ويروس همچنين با دستكاري گزارشهاي وضعيت ارسالي از كنترلگر به "استپ 7"، هر گونه نشان از دستورهاي مخرب را از بين ميبرد. بنابراين كاركنان ناظر بر كنترلگر، تنها دستورهاي درست را ميديدند؛ درست مانند فيلمهاي هاليوودي كه دزدان جواهرات يك فيلم تكراري را مقابل دوربينهاي نظارت بر مغازه قرار ميدهند تا نگهبانها به جاي دزدها تصوير يك حالت معمولي را ببينند.
هدف "استاكسنت" جاسوسي نبود؛ بلكه تخريب فيزيكي بوداين واقعيت كه "استاكسنت"، دستوراتي را وارد كنترلگر ميكرد و اين كار خود را مخفي ميکرد، نشان ميداد كه اين ويروس، بهخلاف آنچه همه تصور ميكردند، براي جاسوسي ايجاد نشده بود؛ بلكه هدف آن تخريب فيزيكي بود.
محققان كاملاً شگفتزده شدند. اولين بار بود كه از كدهاي ديجيتال در دنياي مجازي براي نابود كردن فيزيكي چيزي در جهان واقعيت، استفاده ميشد.
"چين" اظهار كرد: «ما انتظار جاسوسي را داشتيم، انتظار دزيدن اطلاعات كارت اعتباري را داشتيم؛ اينها مواردي است كه ما هر روز با آن سر و كار داريم؛ اما انتظار اين كار را نداشتيم.»
"سيمانتك"، در تاريخ 6 آگوست در وبلاگ خود مطلبي نوشت و اظهار كرد كه "استاكسنت" در حال يك حمله هدفمند براي دزديدن كنترلگر يك سيستم كنترلي "زيمنس" با وارد كردن دستورهاي مخرب است.
مقايسه "استاكسنت" با حمله ديجيتالی "سيآياي" به خط لوله گاز "سيبري" محققان براي نشان دادن قدرت تخريب "استاكسنت" به ماجراي حمله ديجيتال "سيآياي" در سال 1982 به خطوط لوله "سيبري" اشاره كردند كه انفجاري به بزرگي يكپنجم بمب اتمي منفجر شده در "هيروشيما" ايجاد کرد. در اين ماجرا كه هيچگاه ثابت نشد، آمريكا متوجه شد كه روسيه در حال سرقت اطلاعات مربوط به فناوريهاي اين كشور است. بنابراين، "سيآياي" نقشه كشيد تا يك بمب نرمافزاري را در برنامهاي قرار دهد كه آمريكا ميدانست قرار است روسيه از يك شركت كانادايي خريداري كند تا از آن براي راهاندازي پمپها و شيرفلكههاي خطوط گاز طبيعي خود استفاده کنند.
اين برنامه در ابتدا به درستي كار ميكرد؛ اما بنا بر زماني از پيش تعيين شده، باعث شد تا شيرفلكهها به درستي كار نكنند و موجب افزايش فشار شوند و شعله آتش بزرگی را به وجود آورند. به حدي كه ماهوارههاي درون مدار زمين توانستند آن را ثبت كنند.
"استاكسنت" عملكرد كنترلگرها را مختل ميكردبه دست آوردن مدركي مبني بر اينكه "استاكسنت" موجب تخريب كنترلگرها ميشد، پيشرفت بسيار بزرگي بود. اما يك مشكل وجود داشت: هيچكدام از محققين "سيمانتك" به حد كافي از كنترلگرها اطلاع نداشت تا بفهمد اين ويروس با آنها چه ميكند. كنترلگرها از يك زبان برنامهنويسي خاص (STL) استفاده ميكنند كه براي محققين آنتيويروس كه در برنامههاي ويندوز و زبان رايانهها خبره بودند، مانند زبان لاتين ميماند.
آنان در وبلاگ خود تقاضا كردند تا اگر فردي با كنترلگرها و زبان STL آشنايي دارد، با آنان تماس بگيرد؛ اما هيچ جوابي نگرفتند.
قطع گزارشها از ايران به گودال اطلاعاتي شركت "سيمانتك"دو هفته پس از آن كه "سيمانتك" درخواست خود را در وبلاگش قرار داد، ارسال گزارشها از رايانههاي آلوده در ايران به گودال اين شركت قطع شد. ايران اتصال خروجي رايانههاي آلوده را قطع كرده بود. كسي در ايران بود كه نميخواست كسي بداند كدام رايانهها در ايران آلوده شده بودند.
رقابت شركتهاي آنتيويروس براي انتشار اطلاعات جديد در مورد ويروسها "چين" انتظار داشت زماني كه آنان مطلب را در وبلاگ خود ثبت ميكنند، ديگر محققين نيز اين كار را انجام دهند و اطلاعات بيشتري به دست آورند. عموماً زماني كه آنان يك نرمافزار مخرب جديد را تحليل ميكردند، رقباي آنان نيز به طور همزمان اين كار را انجام ميدادند و همگي رقابت ميكردند تا يافتههاي خود را زودتر منتشر كنند. كارهاي مشابه به عنوان روشي غيررسمي بود كه از طريق تحليل همكاران صحت يافتههاي يك شركت را نشان ميداد. اما اين بار هيچ نشانهاي وجود نداشت كه نشان دهد محققين ديگر نيز مشغول تحليل كد ويروس باشند.
"چين" كه هنوز هم از عدم علاقه محققان ديگر به اين ويروس شگفتزده شده بود، اخيراً گفت: «بحث، بحث منفجر كردن چيزي است.» وي اين سكوت محققان را "سكوتي مانند جيرجيرك" ناميد.
ورود یک متخصص امنيت سيستمهاي كنترل صنعتي، به روند تحليل "استاكسنت"در سوي ديگر كره زمين، يك فرد 52 ساله آلماني به نام "رالف لانگنر" با علاقه نوشتههاي "سيمانتك" را دنبال ميكرد. "لانگنر" به سيستمهاي داراي ويندوز و همچنين ويروسهاي اينترنتي علاقه كمي داشت؛ وي حتي در خانه خود اينترنت نيز ندارد. اما او در علم ناشناخته امنيت سيستمهاي كنترل صنعتي، تخصص دارد. اين تنها كاري است كه شركت سه نفره او انجام ميدهد. بنابراين وي زماني كه "سيمانتك" نوشت:"استاكسنت" به كنترلگرها حمله ميكند، بسيار به اين موضوع علاقهمند شد.
"لانگنر" اظهار كرد: «اين جا بود كه "استاكسنت" توجه ما را جلب كرد. ما با خود گفتيم: خوب حالا موضوع جالب شد.»
سكوت "زيمنس"، با وجود حمله "استاكسنت" به برنامه"استپ 7""لانگنر" ميدانست كه هزاران مشتري "زيمنس" روي سيستمهاي خود يك قاتل ساكت اما بالقوه دارند و منتظر هستند تا "سيمانتك" يا "زيمنس" به آنان بگويند كه "استاكسنت" با كنترلگرهاي صنعتي آنان چه ميكند. اما "زيمنس" به طرز غير قابل باوري در اين مورد ساكت بود. اين شركت، با وجود آن كه در ماه ژوئيه اعلام كرد كه يك تيم از متخصصين براي بررسي اين نرمافزار مخرب تشكيل داده است، اغلب در مورد اين ويروس ساكت بود.
"استاكسنت" در سايتهاي نرمافزارهاي مخرب آماده دانلود بود"لانگنر" تصريح كرد: «بالاخره، اگر اين كنترلگرها [ي مورد حمله]، مربوط به "زيمنس" است، وظيفه آنان است كه اين ويروس را تحليل كنند.»"استاكسنت" در همين زمان نيز در سايتهاي مربوط به نرمافزارهاي مخرب، موجود و آماده دانلود و تنظيم بود. اين برنامه ميتوانست در دست افراد نادرست بيشتري منتشر شود و به حملهاي خطرناكتر به انواع ديگر كنترلگرها در آمريكا و كشورهاي ديگر منجر شود.
"لانگنر" تصميم گرفت او و تيمش، شخصا با "استاكسنت" مقابله كنند.
آموزش "لانگنر" به كاركنان شركت "زيمنس" در مورد برنامه خودشان"لانگنر" دانشش در زمينه رايانه را خود كسب كرده بود؛ اما اطلاعاتش در زمينه محصولات "زيمنس" آنچنان گسترده بود كه او و همكاران مهندسش، "رالف روزن" و "آندرياس تيم" گاهي به كاركنان "زيمنس" نيز در زمينه نرمافزار خود اين كاركنان آموزش ميدادند. "لانگنر" ميگويد: «شايد تعداد كاركنان "زيمنس" كه اطلاعاتي بيشتر از ما دارند تنها به تعداد انگشتان دست برسد.»
بررسي ارتباط "استاكسنت" با برنامه "استپ 7" سه نفر جلوي صفحههاي مانيتور در دفتر كوچك خود دور هم جمع شدند و در مورد نظراتشان با يكديگر بحث كرده و فرضيههاي خود را در مورد آنچه احتمالاً اين كد انجام ميداد آزمايش كردند. آنان همچنين تنظيماتي را كه "استاكسنت" از آن استفاده ميكرد به دقت مطالعه كردند: كد با كدام دستگاه ارتباط برقرار ميكند و آيا بيش از يك دستگاه وجود دارد يا خير؟ آيا اين دستگاهها در گروههاي خاصي قرار داشتند؟
سه هفته طول كشيد تا آنان به نتيجهاي حيرتآور دست يابند: "استاكسنت" تنها به منظور حمله به يك نوع خاص از كنترلگرهاي "زيمنس" ساخته نشده بود؛ بلكه يك سلاح دقتي بود كه براي تخريب يك تأسيسات خاص طراحي شده بود.
"استاكسنت" ساخته يك دولت داراي منابع فراوان بوددرون كدهاي "استاكسنت"، پروندهاي وجود داشت كه تنظيمات خاص صنعتي تأسيساتي را كه هدف قرار ميداد، در خود جاي داده بود. هر سيستمي كه دقيقاً اين تنظيمات را نداشت، از آسيب اين ويروس در امان بود: "استاكسنت" فعاليت خود را در اين سيستم پايان ميداد و به سيستم بعدي منتقل ميشد تا قرباني خود را بيابد. "لانگنر" به خوبي ميدانست كه "استاكسنت" ساخته يك دولت با منابع فراوان بود كه در مورد هدف خود اطلاعات دقيقي داشت.
باوركردني نبود كه فردي بتواند نرمافزاري تا اين حد حرفهاي ايجاد كند"لانگنر" بعدها اعلام كرد: «من انتظار داشتم اين ويروس يك حمله ساده تحت "داس" (DoS) باشد كه به تمام کنترلگرهاي "زيمنس" آسيب ميرساند. به همين خاطر هم اين ويروس بسيار وحشتآور بود. ديدن اين كه فردي (با استفاده از چهار حفره "روز صفر" و دو تأييديه دزديده شده) چنين نرمافزار مخربي بسازد تا تنها به يك تأسيسات حمله كند، باوركردني نبود.»
هدف "استاكسنت" نيروگاه "بوشهر" در ايران استتأسيسات هدف درون "استاكسنت" مشخص نشده بود؛ اما "لانگنر" در اين مورد هيچ شكي نداشت. يك روز وي به نيروگاه برقي در ايران اشاره كرد كه قرار بود كار خود را در آگوست 2010 آغاز كند؛ اما افتتاح آن با تأخير مواجه شد. وي در همين حال به "روزن" و "تيم" گفت: «هدف اين ويروس تخريب نيروگاه "بوشهر" است.» آن دو نگاهي متعجب به او انداختند. آنان مايل نبودند تا همراه با او يك سلاح سايبري تحت بودجه دولت را دنبال كنند كه به نظر ميرسيد ممكن است به اسرائيل و آمريكا و يا حتي آلمان كه متهمان پروژه "استاكسنت" بودند، برسد.
"لانگنر" با يكي از مشتركين خود كه كارمند يكي از سازندههاي تراز اول تجهيزات غنيسازي اورانيوم است تماس گرفت.
"لانگنر" به وي گفت: «تنها يك سؤال دارم: آيا ميتوان يك سانتريفيوژ را تنها با دستكاري در كدهاي آن نابود كرد؟»
طرف ديگر خط جواب داد: «رالف، من نميتوانم به اين سؤال تو جواب بدهم. اين اطلاعات طبقهبندي شده است.»
"لانگنر" اعلام كرد كه "استاكسنت" حملهاي به نيروگاه "بوشهر" است"لانگنر" مطمئن بود كه در مسير درست قرار دارد. وي در تاريخ 16 سپتامبر نوشتهاي در يك وبلاگ قرار داد و با جسارت تمام گفت كه "استاكسنت" حملهاي به نيروگاه "بوشهر" است. وي همچنين اعلاميههايي را نيز به رسانههاي آلماني و بينالمللي ارسال كرد.
"لانگنر" بعدها اظهار كرد: «سكوت، تمام فضاي اطراف ما را فرا گرفت. همه فكر ميكردند اين آدم ديوانه شده است. ما هميشه ميدانستيم "رالف" ديوانه است؛ اكنون براي اثبات آن مدرك نيز داريم.»
منبع:
فارس