به گزارش
گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكسنت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هستهاي نطنز بررسي كرد. در بخش پنجم اين گزارش ابتدا به تحليل بيشتر ساختار اين ويروس ميپردازيم و سپس در مورد پيوستن افراد ديگري از ساير كشورهاي جهان به تيم محققان "سيمانتك" و بالأخره دستيابي اين محققان به سر نخهايي در مورد عملكرد "استاكسنت" آشنا ميشويم.
اعلام نيروگاه "نطنز" به عنوان هدف "استاكسنت" "فرانك ريگر"، رئيس بخش امنيتي يكي از شركتهاي امنيتي آلمان موسوم به "جياسامكي"، با "لانگنر" در اين مورد موافقت كرد كه "استاكسنت" حملهاي هدفمند بوده است؛ اما وي معتقد بود كه تأسيسات هستهاي ديگري در ايران بايد هدف اين حمله باشد. وي در يك نوشته آنلاين اشاره كرد كه "نطنز" اخيرا شروع به غنيسازي اورانيوم كرده است و خطر بيشتري را در زمينه توليد سلاح هستهاي ايجاد ميكند.
اشاره "ويكيليكس" به وقايع "جدي" در نيروگاه "نطنز"او همچنين اشاره كرد كه سايت افشاگر "ويكيليكس" در ژوئيه 2009، يك ماه پس از تاريخي كه به نظر ميرسد "استاكسنت" در آن آغاز به كار كرده باشد، مطلب جالبي را نوشته است: منبعي مجهول ادعا كرده كه اخيراً يك واقعه "جدي" در تاسيسات هستهاي "نطنز" رخ داده است. اين سايت همچنين اشاره كرد كه رئيس سازمان انرژي اتمي ايران، مدتي پيش به دلايلي نامعلوم استعفا كرده است.
تماس "لانگنر" با متخصص سيستمهاي كنترل صنعتي در آمريكا"لانگنر" با "جو ويس"، متخصص سيستمهاي كنترل صنعتي در آمريكا، تماس گرفت تا در مورد يافتههاي تيمش بحث كند. "لانگنر" و "ويس" هر دو داراي اخلاقي رُك هستند كه معمولاً آنان را در نظر همكارانشان ناخوشايند جلوه ميدهد. اما هيچ كس در تخصص آنان شكي ندارد.
هشدارهاي مداوم "لانگنر" و "ويس" در مورد آسيبپذيري كنترلگرهاي صنعتيهر دو، سالها بود كه هشدار ميدادند كه كنترلگرهاي صنعتي در مقابل حمله آسيبپذير هستند؛ اما افراد كمي حرف آنها را جدي ميگرفتند. از آن جا كه اين سيستمها ناشناخته و شخصي و براي اجرا روي شبكههاي جداگانه و خاص طراحي شده بود، توزيع كنندهها و مديران شبكه اعتقاد داشتند كه هكرها نه دانش و نه توانايي نفوذ به اين شبكهها را دارند. اما در سالهاي اخير، اين سيستمها بيشتر و بيشتر به اينترنت متصل و يا با سيستمهاي آنلاين ديگر وارد شبكه شده بودند كه اين موضوع آنها را به اهدافي قابل دسترس و جذاب تبديل ميكرد.
سخنراني "لانگنر" در مورد "استاكسنت" در كنفرانسي امنيتي "ويس" هر سال ميزبان يك كنفرانس امنيتي است كه پشت دربهاي بسته با حضور حدود 100 متخصص كنترل صنعتي برگزار ميشود. بنا بود "لانگنر" دو هفته ديگر در اين نشست در مورد موضوع ديگري صحبت كند. وي از "ويس" پرسيد كه آيا ميتواند به جاي موضوع خود، در مورد "استاكسنت" صحبت كند يا خير. ويس ميگويد: «به او پاسخ دادم، نميدانم بگويم بله يا صددرصد.»
او به "لانگنر" 45 دقيقه زمان اختصاص داد. اما صحبتهاي "لانگنر" يك ساعت و نيم به طول انجاميد. ويس ميگويد: «همه ما با دهان باز به صحبتهاي او گوش ميداديم. او زمان دو نفر را گرفت؛ اما من نميخواستم او را متوقف كنم.»
راهي براي تشخيص آلودگي در يك سيستم كنترل صنعتي وجود ندارد"ويس" بعدها اظهار كرد: «نتيجه صحبتهاي "رالف" اين بود كه اگر يك حمله حرفهاي در كار باشد، ما كه در زمينه سيستمهاي كنترل فعاليت ميكنيم به هيچ وجه از آن مطلع نميشويم؛ زيرا هرگز آن را نميبينيم. هيچ راهي وجود ندارد كه بفهميم آيا يك سيستم كنترلي آلوده است يا خير.»
دلايل محكم مبني بر اين كه "استاكسنت" يك حمله تخريبي هدايت شده است"لانگنر" يافتههاي خود را در وبلاگهاي مختلف به اطلاع عموم رساند. وي نوشت: با دلايل محكمهپسندي كه ما اكنون در دست داريم، مشخص و قابل اثبات است كه "استاكسنت" يك حمله تخريبي هدايت شده است كه با اطلاعات بسيار زياد از درون تأسيسات ايجاد شده است. آن چه همه بايد اكنون بدانند، اين جا نوشته شده است.
خدمت بزرگ به مردم و تخريب يك مأموريت مخفي مهم وي در ادامه در مورد نقشه صنعتي مربوط به مراحل دقيقي كه "استاكسنت" طي ميكرد تا در فرمانها اخلال ايجاد كرده و فرمانهاي خود را وارد كنترلگر كند، نوشته بود؛ علاوه بر اين، او به ليستي از اقدامات فوري اشاره كرده بود كه مديران شبكه ميتوانستند انجام دهند تا فرمانهاي ورودي به كنترلگرهاي خود را در مقابل اين ويروس ايمن كنند.
مطالب ديگري نيز همزمان با كشفيات جديد تيم "لانگنر" در مورد اختلالاتي كه "استاكسنت" در كنترلگرها ايجاد ميكرد، به مطالب قبلي اضافه ميشد. وبسايت وي با سيل مراجعات از كشورهاي مختلف مواجه شد. "لانگنر" در حال انجام يك خدمت عظيم عمومي در جهت حفاظت از زيرساختهاي با ارزش كشورها بود. اما از طرفي نيز احتمالاً در حال تخريب يك مأموريت مخفي مهم بود.
تلاش محققان در "سيمانتك" براي يادگيري زبان كنترلگرهادر دفتر "سيمانتك" نيز "چين" و همكارانش در حال گذراندن يك دوره آموزشي كوتاه در زمينه كنترلگرها بودند. واضح بود كه "استاكسنت" در حال تخريب كنترلگرهاي مورد هدفش است؛ اما آنان اصلاً نميدانستند چه نوع تخريبي. به همين علت نيز محققان چند كتاب آنلاين را در مورد STL (زباني كه "استاكسنت" از طريق آن با كنترلگر ارتباط برقرار ميكرد) خريداري و شروع به مطالعه آنها كردند.
تلاش سه محقق "سيمانتك" براي رمزگشايي كد "استاكسنت"اكنون، هر سه محقق "سيمانتك" به طور خاص روي "استاكسنت" كار ميكردند؛ "چين" و "او مورچو" در كاليفرنيا و "فالير" در پاريس. "چين" با "بلكبري" و لپتاپ خود به رختخواب ميرفت و كد ويروس را تحليل ميكرد، در "گوگل" به دنبال سر نخ ميگشت و به "فالير " كه اكنون در حال رسيدن به محل كار خود در پاريس بود، ايميل ميزد.
"چين" تقريباً ساعت 5 صبح از خواب بيدار ميشد و گاهي تفكراتي در سرش ميچرخيد و فوراً مطلبي تازه و راهي براي كسب اطلاعات جديد را به "فالير" معرفي ميكرد.
پس از گذشت يك ماه، تنها بخشي از كد ويروس را رمزگشايي شد"سيمانتك" معمولاً براي يك نرمافزار مخرب حداكثر چند روز وقت ميگذاشت؛ اما اين بار تا همين روز نيز بيش از يك ماه زمان صرف مطالعه "استاكسنت" كرده و تنها بخشي از آن را رمزگشايي كرده بودند.
"چين" اظهار كرد: «من هميشه فكر ميكردم كه بررسي اين ويروس تا ابد ادامه خواهد داشت و سالها بعد ما باز هم ميفهميم كه بايت كوچك ديگري را فراموش كردهايم.»
بر خلاف بسياري ديگر از محققان، "چين" مدام به عدم آمادگي گروه محققان در برخورد با "استاكسنت" و استيصال آنها در بسياري از تلاشهايشان در مبارزه با كد اين ويروس ميخندد.
نحوه آغاز همكاري "چين" با شركت "سيمانتك""چين" به طور اتفاقي وارد حيطه آنتيويروسها شد. وي در رشته مهندسي برق، ژنتيك و بيولوژي مولكولي در "دانشگاه كاليفرنيا در لسآنجلس" تحصيل كرد و برنامه داشت تا در زمينه علوم [پايه]، شغلي به دست آورد. اما پس از فارغالتحصيلي در سال 1996، چند تن از دوستانش را تا دفتر "سيمانتك" دنبال كرد كه به تازگي پس از خريد غول آنتيويروسي "نورتون" ميخواست دستي بر آتش امنيت سايبري داشته باشد.
ويروسهاي تحت "داس" بسيار كمياب بودند و به آهستگي منتشر ميشدنددر آن زمان امنيت سايبري هنوز يك حوزه تازه تأسيس بود و پيدا كردن شغل در آن بدون هيچ گونه آموزشي تقريباً آسان بود. "چين" خود هر چه را لازم داشت آموخت و به گروه كوچكي در "سيمانتك" پيوست و به بررسي ويروسها و نوشتن تحليل مشغول شد. با اين وجود آنان كار زيادي براي انجام دادن نداشتند. اينترنت و ايميل به تازگي در حال رشد بودند و ويروسهاي تحت "داس" (DoS) (تنها ويروسهاي موجود در آن زمان) بسيار كمياب بودند و از طريق "فلاپي ديسك" به آهستگي منتشر ميشدند.
روشهاي ابتدايي در حفاظت رايانهها در مقابل ويروسهامشترياني كه تصور ميكردند سيستم آنان آلوده شده است، يك فلاپي ديسك محتوي فايل را براي "سيمانتك" پست ميكردند. اين ديسك به مدت يك هفته روي ميز باقي ميماند و سپس "چين" و همكارانش از كنار آن رد ميشدند و آن را بر ميداشتند. اغلب اوقات فايل هيچ ويروسي نداشت؛ اما اگر ويروسي پيدا ميشد، آنان چند الگو براي تشخيص آن مينوشتند و روي يك ديسك ميگذاشتند و براي مشتري پست ميكردند. اين روش، محافظت آنتيويروس از راه "كفشافزار" بود.
هدف از نوشتن اولين ويروسها، تنها شهرت و افتخار بودالبته از آن زمان تا كنون نرمافزارهاي مخرب پيشرفت كرده بودند. برنامههاي "مايكروسافت" در همه زمينهها موجب پيدايش ويروسهاي بزرگ و چند وجهي شده بودند؛ به اين رشته اينترنت نيز افزوده شد كه پيدايش ويروسهاي ايميلي با سرعت بالاي انتشار و كرمهاي شبكه كه به سرعت به ميليونها عدد ميرسيد از نتايج آن بود. صرف نظر از اصل نرمافزار مخرب، به مدت تقريباً يك دهه، هدف ويروسنويسها تنها در شهرت و افتخار خلاصه ميشد. در اين نوع ويروسها بسيار رايج بود كه پيامي براي دوستان فرد هكر وجود داشته باشد.
تغيير در نقش ويروسها در فضاي سايبرموضوع، با به وجود آمدن تجارت الكترونيكي تغيير كرد و هكرها تمركز خود را بر به دست آوردن منافع اقتصادي از كدهاي تخريبي خود قرار دادند: دزديدن اطلاعات كارتهاي اعتباري، اطلاعات ورود به سيستمهاي بانكداري آنلاين و اسرار شركتها.
اخيراً نيز اين حملات به سوي، به اصطلاح، تهديدهاي پيشرفته ماندگار پيشرفت كردهاند؛ مهاجمها ـ برخي با پشتيباني دولت ـ با صبر بسيار، راه خود را به عمق يك شبكه باز ميكردند و ماهها يا سالها آنجا حضور داشتند و به طور بيسر و صدا اسرار ملي، كدهاي منبع و اطلاعات حساس ديگر را به سرقت ميبردند.
"استاكسنت" پيشرفتي در عرصه نرمافزارهاي مخرب نبود؛ انقلابي در اين عرصه بود"استاكسنت" با همه اينها تفاوت داشت. اين ويروس پيشرفتي در نرمافزارهاي مخرب نبود؛ بلكه يك انقلاب بود. اين كه فردي چنين كرم حرفهاي را بسازد تا بتواند بدون ديده شدن درون شبكهاي بخزد و يك رايانه هدف را جستجو كند، پيشرفتي فراتر از انتظارات محققان "سيمانتك" بود. "او مورچو" اخيراً تصريح كرد: «من ممكن است 20 سال ديگر نيز در اين زمينه مشغول باشم و هرگز پروژه ديگري مانند اين را نبينم.»
تا اواخر سپتامبر، "سيمانتك" به آهستگي در حال ساخت تصويري از هدف "استاكسنت" بود.
اولين سر نخها از عمليات تخريبي "استاكسنت""فالير" كدي را كه "استاكسنت" به كنترلگر ميفرستاد، مهندسي معكوس كرده و فهميده بود كه اين ويروس مقدار متغيري را در چيزي متصل به دستگاه تغيير ميدهد؛ اما اصلاً نميدانست در سوي ديگر اين فرمان چه چيزي قرار دارد و يا اين تغيير، چه كاري را انجام ميدهد. مانند اين بود كه گلولههاي رسام را در آسمان شب دنبال كنيد، اما نبينيد كه به چه چيزي اصابت ميكنند.
"استاكسنت" كدي را جستجو ميكرد كه به كارت شبكه "پروفيباس" مربوط ميشدآنان پيشتر دريافته بودند كه سيستم خاصي كه "استاكسنت" آن را مورد هدف قرار ميداد، براي ارتباط از استاندارد "پروفيباس" استفاده ميكند. آنان همچنين متوجه شدند كه ويروس پيش از آن كه تصميم به حمله به كنترلگر بگيرد به دنبال مقدار معيني (2C CB 00 01) ميشود. آنان فكر كردند كه اين مقدار بايد يك شناسه در "استپ 7" باشد كه به يك قطعه سختافزاري اختصاص دارد؛ بنابراين آنان يك محيط كنترلگر "استپ 7" را شبيهسازي و شروع به اتصال قطعات به آن کردند. اين مقدار، بالأخره زماني كه يك كارت شبكه "پروفيباس" را متصل كردند، ظاهر شد.
اما هنوز دو عدد مرموز ديگر وجود داشتند كه "استاكسنت" به دنبال آنها بود: 9500h و 7050h. هيچ كدام از اين دو عدد با اتصال سختافزار نمايان نشدند و جستجوهاي "گوگل " نيز نتيجهاي را در اين زمينه به دنبال نداشت.
سپس در نوامبر 2010 پيشرفت بزرگ ديگري رخ داد...
منبع:
فارس