استاكس‌نت خطرناك‌ترين نرم‌افزار مخرب تاريخ (5)

استاكس‌نت انقلابي در عرصه ويروس‌های رايانه‌ای بود

تاریخ انتشار : ۱۳ مرداد ۱۳۹۰

محققان استاكس‌نت معتقد بودند اين ويروس تنها پيشرفت در نرم‌افزارهاي مخرب نبود، بلكه انقلابي در اين عرصه بود؛ اين كه فردي چنين كرم حرفه‌اي را بسازد تا بتواند بدون ديده شدن درون شبكه‌اي بخزد و يك رايانه هدف را جستجو كند، پيشرفتي فراتر از انتظارات محققان بود.

به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكس‌نت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هسته‌اي نطنز بررسي كرد. در بخش پنجم اين گزارش ابتدا به تحليل بيشتر ساختار اين ويروس مي‌پردازيم و سپس در مورد پيوستن افراد ديگري از ساير كشورهاي جهان به تيم محققان "سيمانتك" و بالأخره دستيابي اين محققان به سر نخ‌هايي در مورد عملكرد "استاكس‌نت" آشنا مي‌شويم.

اعلام نيروگاه "نطنز" به عنوان هدف "استاكس‌نت"
"فرانك ريگر"، رئيس بخش امنيتي يكي از شركت‌هاي امنيتي آلمان موسوم به "جي‌اس‌ام‌كي"، با "لانگنر" در اين مورد موافقت كرد كه "استاكس‌نت" حمله‌اي هدفمند بوده است؛ اما وي معتقد بود كه تأسيسات هسته‌اي ديگري در ايران بايد هدف اين حمله باشد. وي در يك نوشته آنلاين اشاره كرد كه "نطنز" اخيرا شروع به غني‌سازي اورانيوم كرده است و خطر بيشتري را در زمينه توليد سلاح هسته‌اي ايجاد مي‌كند.

اشاره "ويكي‌ليكس" به وقايع "جدي" در نيروگاه "نطنز"
او همچنين اشاره كرد كه سايت افشاگر "ويكي‌ليكس" در ژوئيه 2009، يك ماه پس از تاريخي كه به نظر مي‌رسد "استاكس‌نت" در آن آغاز به كار كرده باشد، مطلب جالبي را نوشته است: منبعي مجهول ادعا كرده كه اخيراً يك واقعه "جدي" در تاسيسات هسته‌اي "نطنز" رخ داده است. اين سايت همچنين اشاره كرد كه رئيس سازمان انرژي اتمي ايران، مدتي پيش به دلايلي نامعلوم استعفا كرده است.

تماس "لانگنر" با متخصص سيستم‌هاي كنترل صنعتي در آمريكا
"لانگنر" با "جو ويس"، متخصص سيستم‌هاي كنترل صنعتي در آمريكا، تماس گرفت تا در مورد يافته‌هاي تيمش بحث كند. "لانگنر" و "ويس" هر دو داراي اخلاقي رُك هستند كه معمولاً آنان را در نظر همكارانشان ناخوشايند جلوه مي‌دهد. اما هيچ كس در تخصص آنان شكي ندارد.

هشدارهاي مداوم "لانگنر" و "ويس" در مورد آسيب‌پذيري كنترل‌گرهاي صنعتي
هر دو، سال‌ها بود كه هشدار مي‌دادند كه كنترل‌گرهاي صنعتي در مقابل حمله آسيب‌پذير هستند؛ اما افراد كمي حرف آنها را جدي مي‌گرفتند. از آن جا كه اين سيستم‌ها ناشناخته و شخصي و براي اجرا روي شبكه‌هاي جداگانه و خاص طراحي شده بود، توزيع كننده‌ها و مديران شبكه اعتقاد داشتند كه هكرها نه دانش و نه توانايي نفوذ به اين شبكه‌ها را دارند. اما در سال‌هاي اخير، اين سيستم‌ها بيشتر و بيشتر به اينترنت متصل و يا با سيستم‌هاي آنلاين ديگر وارد شبكه شده بودند كه اين موضوع آن‌ها را به اهدافي قابل دسترس و جذاب تبديل مي‌كرد.

سخنراني "لانگنر" در مورد "استاكس‌نت" در كنفرانسي امنيتي
"ويس" هر سال ميزبان يك كنفرانس امنيتي است كه پشت درب‌هاي بسته با حضور حدود 100 متخصص كنترل صنعتي برگزار مي‌شود. بنا بود "لانگنر" دو هفته ديگر در اين نشست در مورد موضوع ديگري صحبت كند. وي از "ويس" پرسيد كه آيا مي‌تواند به جاي موضوع خود، در مورد "استاكس‌نت" صحبت كند يا خير. ويس مي‌گويد: «به او پاسخ دادم، نمي‌دانم بگويم بله يا صددرصد.»

او به "لانگنر" 45 دقيقه زمان اختصاص داد. اما صحبت‌هاي "لانگنر" يك ساعت و نيم به طول انجاميد. ويس مي‌گويد: «همه ما با دهان باز به صحبت‌هاي او گوش مي‌داديم. او زمان دو نفر را گرفت؛ اما من نمي‌خواستم او را متوقف كنم.»

راهي براي تشخيص آلودگي در يك سيستم كنترل صنعتي وجود ندارد
"ويس" بعدها اظهار كرد: «نتيجه صحبت‌هاي "رالف" اين بود كه اگر يك حمله حرفه‌اي در كار باشد، ما كه در زمينه سيستم‌هاي كنترل فعاليت مي‌كنيم به هيچ وجه از آن مطلع نمي‌شويم؛ زيرا هرگز آن را نمي‌بينيم. هيچ راهي وجود ندارد كه بفهميم آيا يك سيستم كنترلي آلوده است يا خير.»

دلايل محكم مبني بر اين كه "استاكس‌نت" يك حمله تخريبي هدايت شده است
"لانگنر" يافته‌هاي خود را در وبلاگ‌هاي مختلف به اطلاع عموم رساند. وي نوشت: با دلايل محكمه‌پسندي كه ما اكنون در دست داريم، مشخص و قابل اثبات است كه "استاكس‌نت" يك حمله تخريبي هدايت شده است كه با اطلاعات بسيار زياد از درون تأسيسات ايجاد شده است. آن چه همه بايد اكنون بدانند، اين جا نوشته شده است.

 خدمت بزرگ به مردم و تخريب يك مأموريت مخفي مهم
وي در ادامه در مورد نقشه صنعتي مربوط به مراحل دقيقي كه "استاكس‌نت" طي مي‌كرد تا در فرمان‌ها اخلال ايجاد كرده و فرمان‌هاي خود را وارد كنترل‌گر كند، نوشته بود؛ علاوه بر اين، او به ليستي از اقدامات فوري اشاره كرده بود كه مديران شبكه مي‌توانستند انجام دهند تا فرمان‌هاي ورودي به كنترل‌گرهاي خود را در مقابل اين ويروس ايمن كنند.

مطالب ديگري نيز همزمان با كشفيات جديد تيم "لانگنر" در مورد اختلالاتي كه "استاكس‌نت" در كنترل‌گرها ايجاد مي‌كرد، به مطالب قبلي اضافه مي‌شد. وب‌سايت وي با سيل مراجعات از كشورهاي مختلف مواجه شد. "لانگنر" در حال انجام يك خدمت عظيم عمومي در جهت حفاظت از زيرساخت‌هاي با ارزش كشورها بود. اما از طرفي نيز احتمالاً در حال تخريب يك مأموريت مخفي مهم بود.

تلاش محققان در "سيمانتك" براي يادگيري زبان كنترل‌گرها
در دفتر "سيمانتك" نيز "چين" و همكارانش در حال گذراندن يك دوره آموزشي كوتاه در زمينه كنترل‌گرها بودند. واضح بود كه "استاكس‌نت" در حال تخريب كنترل‌گرهاي مورد هدفش است؛ اما آنان اصلاً نمي‌دانستند چه نوع تخريبي. به همين علت نيز محققان چند كتاب آنلاين را در مورد STL (زباني كه "استاكس‌نت" از طريق آن با كنترل‌گر ارتباط برقرار مي‌كرد) خريداري و شروع به مطالعه آن‌ها كردند.

تلاش سه محقق "سيمانتك" براي رمزگشايي كد "استاكس‌نت"
اكنون، هر سه محقق "سيمانتك" به طور خاص روي "استاكس‌نت" كار مي‌كردند؛ "چين" و "او مورچو" در كاليفرنيا و "فالير" در پاريس. "چين" با "بلك‌بري" و لپ‌تاپ خود به رختخواب مي‌رفت و كد ويروس را تحليل مي‌كرد، در "گوگل" به دنبال سر نخ مي‌گشت و به "فالير " كه اكنون در حال رسيدن به محل كار خود در پاريس بود، ايميل مي‌زد.

 "چين" تقريباً ساعت 5 صبح از خواب بيدار مي‌شد و گاهي تفكراتي در سرش مي‌چرخيد و فوراً مطلبي تازه و راهي براي كسب اطلاعات جديد را به "فالير" معرفي مي‌كرد.

پس از گذشت يك ماه، تنها بخشي از كد ويروس را رمزگشايي شد
"سيمانتك" معمولاً براي يك نرم‌افزار مخرب حداكثر چند روز وقت مي‌گذاشت؛ اما اين بار تا همين روز نيز بيش از يك ماه زمان صرف مطالعه "استاكس‌نت" كرده و تنها بخشي از آن را رمزگشايي كرده بودند.

"چين" اظهار كرد:  «من هميشه فكر مي‌كردم كه بررسي اين ويروس تا ابد ادامه خواهد داشت و سال‌ها بعد ما باز هم مي‌فهميم كه بايت كوچك ديگري را فراموش كرده‌ايم.»

بر خلاف بسياري ديگر از محققان، "چين" مدام به عدم آمادگي گروه محققان در برخورد با "استاكس‌نت" و استيصال آنها در بسياري از تلاش‌هايشان در مبارزه با كد اين ويروس مي‌خندد.

نحوه آغاز همكاري "چين" با شركت "سيمانتك"
"چين" به طور اتفاقي وارد حيطه آنتي‌ويروس‌ها شد. وي در رشته مهندسي برق، ژنتيك و بيولوژي مولكولي در "دانشگاه كاليفرنيا در لس‌آنجلس" تحصيل كرد و برنامه داشت تا در زمينه علوم [پايه]، شغلي به دست آورد. اما پس از فارغ‌التحصيلي در سال 1996، چند تن از دوستانش را تا دفتر "سيمانتك" دنبال كرد كه به تازگي پس از خريد غول آنتي‌ويروسي "نورتون" مي‌خواست دستي بر آتش امنيت سايبري داشته باشد.

ويروس‌هاي تحت "داس" بسيار كمياب بودند و به آهستگي منتشر مي‌شدند
در آن زمان امنيت سايبري هنوز يك حوزه تازه تأسيس بود و پيدا كردن شغل در آن بدون هيچ گونه آموزشي تقريباً آسان بود. "چين" خود هر چه را لازم داشت آموخت و به گروه كوچكي در "سيمانتك" پيوست و به بررسي ويروس‌ها و نوشتن تحليل مشغول شد. با اين وجود آنان كار زيادي براي انجام دادن نداشتند. اينترنت و ايميل به تازگي در حال رشد بودند و ويروس‌هاي تحت "داس" (DoS) (تنها ويروس‌هاي موجود در آن زمان) بسيار كمياب بودند و از طريق "فلاپي ديسك" به آهستگي منتشر مي‌شدند.

روش‌هاي ابتدايي در حفاظت رايانه‌ها در مقابل ويروس‌ها
مشترياني كه تصور مي‌كردند سيستم آنان آلوده شده است، يك فلاپي ديسك محتوي فايل را براي "سيمانتك" پست مي‌كردند. اين ديسك به مدت يك هفته روي ميز باقي مي‌ماند و سپس "چين" و همكارانش از كنار آن رد مي‌شدند و آن را بر مي‌داشتند. اغلب اوقات فايل هيچ ويروسي نداشت؛ اما اگر ويروسي پيدا مي‌شد، آنان چند الگو براي تشخيص آن مي‌نوشتند و روي يك ديسك مي‌گذاشتند و براي مشتري پست مي‌كردند. اين روش، محافظت آنتي‌ويروس از راه "كفش‌افزار" بود.

هدف از نوشتن اولين ويروس‌ها، تنها شهرت و افتخار بود
البته از آن زمان تا كنون نرم‌افزارهاي مخرب پيشرفت كرده بودند. برنامه‌هاي "مايكروسافت" در همه زمينه‌ها موجب پيدايش ويروس‌هاي بزرگ و چند وجهي شده بودند؛ به اين رشته اينترنت نيز افزوده شد كه پيدايش ويروس‌هاي ايميلي با سرعت بالاي انتشار و كرم‌هاي شبكه كه به سرعت به ميليون‌ها عدد مي‌رسيد از نتايج آن بود. صرف نظر از اصل نرم‌افزار مخرب، به مدت تقريباً يك دهه، هدف ويروس‌نويس‌ها تنها در شهرت و افتخار خلاصه مي‌شد. در اين نوع ويروس‌ها بسيار رايج بود كه پيامي براي دوستان فرد هكر وجود داشته باشد.

تغيير در نقش ويروس‌ها در فضاي سايبر
موضوع، با به وجود آمدن تجارت الكترونيكي تغيير كرد و هكرها تمركز خود را بر به دست آوردن منافع اقتصادي از كدهاي تخريبي خود قرار دادند: دزديدن اطلاعات كارت‌هاي اعتباري، اطلاعات ورود به سيستم‌هاي بانكداري آنلاين و اسرار شركت‌ها.

 اخيراً نيز اين حملات به سوي، به اصطلاح، تهديدهاي پيشرفته ماندگار پيشرفت كرده‌اند؛ مهاجم‌ها ـ برخي با پشتيباني دولت ـ با صبر بسيار، راه خود را به عمق يك شبكه باز مي‌كردند و ماه‌ها يا سال‌ها آنجا حضور داشتند و به طور بي‌سر و صدا اسرار ملي، كدهاي منبع و اطلاعات حساس ديگر را به سرقت مي‌بردند.

"استاكس‌نت" پيشرفتي در عرصه نرم‌افزارهاي مخرب نبود؛ انقلابي در اين عرصه بود
"استاكس‌نت" با همه اين‌ها تفاوت داشت. اين ويروس پيشرفتي در نرم‌افزارهاي مخرب نبود؛ بلكه يك انقلاب بود. اين كه فردي چنين كرم حرفه‌اي را بسازد تا بتواند بدون ديده شدن درون شبكه‌اي بخزد و يك رايانه هدف را جستجو كند، پيشرفتي فراتر از انتظارات محققان "سيمانتك" بود. "او مورچو" اخيراً تصريح كرد: «من ممكن است 20 سال ديگر نيز در اين زمينه مشغول باشم و هرگز پروژه ديگري مانند اين را نبينم.»

تا اواخر سپتامبر، "سيمانتك" به آهستگي در حال ساخت تصويري از هدف "استاكس‌نت" بود.

اولين سر نخ‌ها از عمليات تخريبي "استاكس‌نت"
"فالير" كدي را كه "استاكس‌نت" به كنترل‌گر مي‌فرستاد، مهندسي معكوس كرده و فهميده بود كه اين ويروس مقدار متغيري را در چيزي متصل به دستگاه تغيير مي‌دهد؛ اما اصلاً نمي‌دانست در سوي ديگر اين فرمان چه چيزي قرار دارد و يا اين تغيير، چه كاري را انجام مي‌دهد. مانند اين بود كه گلوله‌هاي رسام را در آسمان شب دنبال كنيد، اما نبينيد كه به چه چيزي اصابت مي‌كنند.

"استاكس‌نت" كدي را جستجو مي‌كرد كه به كارت شبكه "پروفي‌باس" مربوط مي‌شد
آنان پيش‌تر دريافته بودند كه سيستم خاصي كه "استاكس‌نت" آن را مورد هدف قرار مي‌داد، براي ارتباط از استاندارد "پروفي‌باس" استفاده مي‌كند. آنان همچنين متوجه شدند كه ويروس پيش از آن كه تصميم به حمله به كنترل‌گر بگيرد به دنبال مقدار معيني (2C CB 00 01) مي‌شود. آنان فكر كردند كه اين مقدار بايد يك شناسه در "استپ 7" باشد كه به يك قطعه سخت‌افزاري اختصاص دارد؛ بنابراين آنان يك محيط كنترل‌گر "استپ 7" را شبيه‌سازي و شروع به اتصال قطعات به آن کردند. اين مقدار، بالأخره زماني كه يك كارت شبكه "پروفي‌باس" را متصل كردند، ظاهر شد.

اما هنوز دو عدد مرموز ديگر وجود داشتند كه "استاكس‌نت" به دنبال آن‌ها بود: 9500h و 7050h. هيچ كدام از اين دو عدد با اتصال سخت‌افزار نمايان نشدند و جستجوهاي "گوگل " نيز نتيجه‌اي را در اين زمينه به دنبال نداشت.

سپس در نوامبر 2010 پيشرفت بزرگ ديگري رخ داد...

منبع: فارس