استاكس‌نت خطرناك‌ترين نرم‌افزار مخرب تاريخ (6)

"ملكه استر" راز استاكس‌نت را برملا می‌كند

تاریخ انتشار : ۱۶ مرداد ۱۳۹۰

در حقيقت، "سيمانتك" چند مرتبه ساخت اين ويروس را به منابعي نسبت داد كه موجب بحث و جدل شد؛ اولين بحث در مورد نشان آلودگي بود. محققان در "استاكس‌نت" اسامي را که با داستان های يهودي مطابقت مي‌کرد، يافته بودند.

به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكس‌نت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هسته‌اي ايران بررسي كرد. در بخش ششم اين گزارش رد پاهاي بيشتري از يهوديان اسرائيل را در اين ويروس مي‌بينيم و در نهايت به اثر تخريبي "استاكس‌نت" بر سانتريفيوژها پي مي‌بريم.

درخواست كمك از افراد مجرب در زمينه "پروفي‌باس"
محققان درخواستي را روي وبلاگ خود قرار دادند تا افرادي كه در زمينه "پروفي‌باس" و زيرساخت‌هاي اساسي تجربه داشتند خود را به آنان معرفي كنند؛ يك برنامه‌نويس هلندي به نام "راب هالس‌بوس" به اين درخواست پاسخ داد. اغلب اي‌ميل‌هاي او اطلاعاتي را در بر داشت كه محققان خود از آن آگاه بودند؛ اما يك خط در اين ميان برجسته بود. وي نوشت: هر قسمت از "پروفي‌باس" بايد يك شناسه منحصر به فرد داشته باشد كه طول آن به اندازه يك كلمه است. "چين" ناگهان متوجه شد كه آن دو رقم مرموز (9500h و 7050h) بايد شناسه‌هاي شركت‌هاي سازنده باشند.

افشاي راز دو رقم مرموز
"چين" و "او مورچو" در اينترنت به دنبال اسناد "پروفي‌باس" گشتند و يك فايل پي‌دي‌اف را يافتند كه شامل ليستي از مشخصات دستگاه‌هاي مطابق با كارت شبكه "پروفي‌باس" بود. دو عدد مرموزي كه "استاكس‌نت" به دنبال آن‌ها مي‌گشت در انتهاي اين ليست آمده بودند. اين دو عدد شناسه‌هايي مربوط به دو نوع مبدل فركانس بودند كه در فنلاند و ايران توليد مي‌شدند. اولين عدد، 9500h، به مبدل‌هاي فركانس "ويكان ان‌ايكس" (Vacon NX) ساخت شركت "ويكان" (Vacon) در فنلاند اشاره مي‌كرد و دومين عدد، 7050h، مبدل فركانسي نامشخص را ساخت شركت "فرارو پايا" در ايران نشان مي‌داد.

دخالت "استاكس‌نت" در فرمان‌هاي صادره به مبدل‌هاي فركانس
مبدل‌هاي فركانس براي تنظيم سرعت موتورها و روتورها (بخش‌هاي گردان) در وسايلي مانند دريل‌هاي پر سرعت مورد استفاده قرار مي‌گيرد؛ اين دريل‌ها در برش قسمت‌هاي فلزي در كارخانه‌ها و عبور دادن خمير از شبكه‌هاي فلزي در ماشين‌هاي كاغذسازي كاربرد دارد. با بالا بردن فركانس چرخش، سرعت گردش روتور نيز افزايش مي‌يابد. در سند "پروفي‌باس" كه محققان در اينترنت يافتند، ليستي از فرمان‌ها براي كنترل اين فركانس وجود داشت؛ اين فرمان‌ها دقيقاً با فرمان‌هاي نوشته شده در "استاكس‌نت" يكي بود.

"چين" تصريح كرد: «كد STL (در "استاكس‌نت") چيزهايي شبيه به "كلمه 47f و 1" را فرمان مي‌داد. در دفترچه مبدل فركانس نيز نوشته شده بود: براي شروع كار مبدل فركانس، كلمه 47f را وارد كنيد و مقدار آن را 1 قرار دهيد. زبان ما بند آمده بود.»

بنا بر اطلاعات درون كد "استاكس‌نت"، اين ويروس تأسيساتي را مورد هدف قرار مي‌داد كه از 33 عدد يا بيشتر دستگاه مبدل فركانس استفاده مي‌كرد و دامنه فركانس همه آن‌ها ميان 807 هرتز تا 1210 هرتز بود.

"استاكس‌نت" فركانس مبدل‌هارا در بازه‌اي بسيار بزرگ افزايش و كاهش مي‌داد
نرم‌افزار مخرب مي‌توانست بدون سر و صدا عمليات شناسايي خود را در حدود دو هفته درون سيستم انجام دهد و سپس يك‌باره و به سرعت به هدف خود حمله كند. "استاكس‌نت" در اين حمله، فركانس مبدل را تا 1410 هرتز افزايش مي‌داد، آن را به مدت 15 دقيقه در همين وضعيت نگه مي‌داشت و سپس آن را به فركانس معمول خود، 1064 هرتز، باز مي‌گرداند. فركانس مبدل 27 روز در همين وضعيت باقي مي‌ماند و سپس "استاكس‌نت" بار ديگر به اين مبدل حمله مي‌كرد و فركانس آن را به مدت 50 دقيقه در مقدار 2 هرتز نگه مي‌داشت.

هدف "استاكس‌نت" نابود كردن وسيله‌اي بود كه از مبدل فركانس دستور مي‌گرفت
دستگاه 27 روز ديگر نيز بدون تغيير باقي مي‌ماند و سپس "استاكس‌نت" بار ديگر به آن حمله  و همين چرخه را پياده مي‌كرد. تفاوت گسترده ميان فركانس‌ها نشان مي‌دهد كه هدف "استاكس‌نت" از بين بردن آن چيزي بوده است كه در آن سوي مبدل قرار دارد.

"چين" در اينترنت تحقيق كرد و متوجه شد كه مبدل‌هايي كه با فركانس 600 هرتز و بالاتر از آن كار مي‌كنند، در آمريكا به موجب قانون "كميسيون ساماندهي هسته‌اي" (NRC) براي صادرات مورد استفاده قرار مي‌گيرند.

هدف "استاكس‌نت" سانتريفيوژهاي يك نيروگاه هسته‌اي هستند
"چين" مي‌گويد: «ما فهميديم اين تجهيزات، با اين فركانس، مي‌توانند در غني‌سازي اورانيوم مورد استفاده قرار بگيرند. "لانگنر" با اعلام اين كه هدف "استاكس‌نت" سانتريفيوژهاي يك نيروگاه هسته‌اي هستند، ريسك بزرگي كرده بود؛ اما اكنون "سيمانتك" شواهد نيرومندي براي حمايت از اين ادعا در اختيار داشت.»

"چين" مي‌گويد: «اكنون، ما مي‌دانستيم در معرض يك فعاليت گسترده‌تر ژئوپولتيكي قرار داريم. ما قطعاً پيش خود فكر مي‌كرديم... آيا من واقعاً مايلم كه نامم در اين [پروژه] ثبت شود؟»

بحث در ميان محققان در مورد افشا يا عدم افشاي يافته‌هاي خود
آنان در طول مسير به نقاط عطفي رسيده بودند، با يكديگر بحث كرده بودند كه آيا بايد مقداري از اطلاعات را بدون نام افشا كنند و يا حتي مقداري از آن را كاملاً نزد خود نگه دارند. اما در انتها همواره تصميم گرفته بودند تا اطلاعات را منتشر كنند؛ زيرا معتقد بودند كه هر چه مردم اطلاعات بيشتري داشته باشند، بهتر مي‌توانند از سيستم خود در مقابل اين ويروس و ويروس‌هاي ساخته شده از روي آن، محافظت كنند.

ديدگاه "سيمانتك" مبني بر نجات مردم از تهديد بود
هيچ كدام از مديران اجرايي سازمان نيز تلاش نكرد تا كار آنان را روي "استاكس‌نت" متوقف كند و يا آن چه را منتشر مي‌كردند سانسور کند. "چين" تصريح كرد: «حتي تا به امروز نيز ما هيچ وكيلي نگرفته‌ايم. وي گفت كه ديدگاه شركت در اين زمينه اين گونه بود: اين يك تهديد و مردم را با مشكل مواجه كرده است، ما بايد آن را بررسي كنيم. به عقيده من اين زيربناي تفكر ما است، تهديد هر چه كه مي‌خواهد باشد.»

هويت پشت پرده پروژه "استاكس‌نت" و مشکل اعلام آن
با اين حال، "او مورچو" گفت: «يك نكته وجود دارد كه اگر به آن دست پيدا مي‌كرديم، شايد آن را منتشر نمي‌کرديم.»

 وي گفت: «اگر به آن جا مي‌رسيديم كه صد در صد مي‌دانستيم چه كسي پشت ساخت "استاكس‌نت" است، در مورد [اعلام يا عدم اعلام] آن بحث‌هاي بسيار جدي با يكديگر مي‌كرديم.»

نشانه‌هاي يهودي در "استاكس‌نت"
در حقيقت، "سيمانتك" چند مرتبه ساخت اين ويروس را به منابعي نسبت داد كه موجب بحث و جدل شد. اولين بار در مورد نشان آلودگي بود كه محققان در "استاكس‌نت" يافته بودند.

 زماني كه "استاكس‌نت" وارد سيستمي مي‌شد، پيش از آن كه فايل‌هاي مخرب خود را روي سيستم نصب كند، ابتدا "رجيستري ويندوز" را براي يافتن عدد 19790509 چك مي‌كرد. اگر اين عدد در "رجيستري" وجود داشت، "استاكس‌نت" از آن سيستم عبور مي‌كرد و آن را آلوده نمي‌ساخت؛ مانند خون بره كه در مصر باستان خانه‌هاي يهوديان را نشان‌گذاري مي‌كرد تا "بلاي مرگ اولين فرزند" را از آن خانه دور كند.

اين تكنيك جديد نبود. "سيمانتك" به اصطلاح "مقادير ايمن‌ساز" را در نرم‌افزارهاي مخرب ديگر نيز ديده بود. مهاجم‌ها اين مقادير را در "رجيستري" سيستم خود قرار مي‌دادند تا ويروس گسترده‌اي كه خود آن را منتشر مي‌كردند، رايانه خودشان را مبتلا نكند.

اشاره "مقدار ايمن‌ساز" "استاكس‌نت" به تاريخ تيرباران يك تاجر يهودي در ايران
اما محققان متوجه شدند كه اين بار، اين مقدار به يك تاريخ اشاره مي‌كرد: 9 مه 1979؛ تاريخي كه ممكن است به روزي اشاره كند كه "حبيب القانيان"، تاجر يهودي ايراني، به وسيله جوخه آتش در تهران تيرباران شد. اين اعدام در تاريخ يهوديان نقطه مهمي است؛ زيرا در نهايت منجر به مهاجرت دسته‌جمعي يهوديان به خارج از ايران شد.

باقي ماندن يك سر نخ از سازنده "استاكس‌نت" در اين ويروس
به علاوه كلمه "مورد" (نوعي گياه) نيز در مسير فايلي وجود داشت كه مهاجم‌ها در يكي از راه‌اندازهاي "استاكس‌نت " باقي گذاشته بودند. اين مسير (b:\myrtus\src\objfre_w2k_x86\:386\guava.pdb) نشان مي‌داد كه سازنده‌هاي "استاكس‌نت" اين فايل را، در طول ساخت، در كدام قسمت از رايانه خود ذخيره كرده‌اند. عجيب نيست كه سازنده يك نرم‌افزار مخرب فراموش كند پيش از انتشار نرم‌افزار خود، اين سر نخ‌ها را از بين ببرد.

اشاره احتمالي بخشي از "استاكس‌نت" به يك داستان يهودي
در اين مورد، نام‌هاي "گواوا" (گياهي از گونه موردها) و "مورد" مي‌توانستند سر نخ‌هايي احتمالي باشند كه سازنده‌هاي "استاكس‌نت" را شناسايي كنند. "مورد" دسته‌اي از گياهان است كه "گواوا" را نيز در بر مي‌گيرد؛ بنابراين شايد نويسنده‌هاي اين ويروس به گياه‌شناسي علاقه‌مند بوده‌اند.

شايد نيز كلمه "مورد" (Myrtus) به معناي "آرتي‌يوهاي من" (MyRTUs) باشد؛ آرتي‌يو (RTU) يا "واحد پايانه راه دور" مانند كنترل‌گر عمل مي‌كند. "سيمانتك" به هر دوي اين احتمال‌ها اشاره كرد؛ اما همچنين گفت كه "مورد" (myrtus) ممكن است به طور خفيفي به "ملكه استر"، شاهزاده يهودي "پوريم" (از جشن‌هاي يهوديان)، اشاره كند.

 بنا بر نوشته‌هاي قرن چهارم قبل از ميلاد، اين ملكه يهوديان ايراني را از يك كشتار جمعي نجات داد. نام عبري "استر" "هديسه" بود كه به "مورد" (myrtle) اشاره دارد. ظن‌ها در اين مورد افزايش يافت كه اسرائيل و آمريكا پشت پروژه "استاكس‌نت" هستند و به عنوان روشي غير مستقيم به جاي حمله با بمب به نيروگاه هسته‌اي ايران از اين نرم‌افزار مخرب استفاده كرده‌اند.

هجوم آژانس‌هاي دولتي آمريكا و ساير كشورها براي اطلاع از يافته‌هاي جدید
در اين زمان، آژانس‌هاي دولتي درون و بيرون از آمريكا به تحقيقات اين محققان علاقه‌مند شدند و از آنان درخواست كردند تا خلاصه‌اي از يافته‌هايشان را به آنان گزارش دهند. "سيمانتك" يك فايل "پاور پوينت" را براي "وزارت امنيت داخلي"، "وزارت دفاع"، "وزارت انرژي" و "اف‌بي‌آي" تهيه كرد تا به سؤالات آنان پاسخ دهد.

 "چين" تصريح كرد: «من به شوخي مي‌گويم آنان خود همه پاسخ‌ها را داشتند.» زماني كه از او پرسيده شد آيا "آژانس امنيت ملي" (NSA) و "سي‌آي‌اي" در جلسات "پاور پوينت" شركت كردند يا خير، وي پاسخ داد: «اگر هم "آژانس امنيت ملي" (NSA) را در جريان خلاصه يافته‌هايمان قرار مي‌داديم، باز هم خودمان از اين كارمان اطلاع نداشتيم، درست است؟»

ترور دو دانشمند هسته‌اي ايران
نتايج سياسي كار محققان زماني ابعاد گسترده‌تري به خود گرفت كه دو هفته پس از انتشار يافته‌هاي آنان در زمينه مبدل‌هاي فركانس، دو دانشمند هسته‌اي ايراني به طور همزمان در تهران از سوی تروريست‌ها كشته شدند.

اين افراد در صبح روز دوشنبه به سمت محل كار خود در دو مكان مختلف شهر در حركت بودند كه موتورسواراني به آنان نزديك شده و بمب‌هايي را روي اتومبيل آنان چسباندند. "مجيد شهرياري"، دانشمند برجسته و مدير ارشد برنامه هسته‌اي ايران، كشته و "فريدون عباسي"، متخصص جداسازي ايزوتوپ‌ها (عملياتي ضروري براي ساخت سوخت اورانيوم)، مجروح شد. ايران، سازمان جاسوسي اسرائيل، "موساد" را به تدارك اين حمله‌ها متهم كرد.

صداهاي عجيب در تلفن همراه "او مورچو"
هر چند محققان امنيت رايانه‌اي، فكر نمي‌كردند كه به خاطر افشاگري در مورد "استاكس‌نت" خطري جان آنان را تهديد كند؛ با اين وجود خنده آنان با اضطرابي همراه بود كه از يادآوري سوءظن و شوخي‌هاي ترسناكشان در گفتگو با يكديگر نشئت مي‌گرفت.

"او مورچو" صداهاي آهسته و عجيبي را در تلفن همراهش مي‌شنيد؛ وي در روز جمعه به "چين" و "فالير" گفت: «اگر جسد من را پيدا كرديد و معلوم شد (گفتند) در روز دوشنبه خودم را كشته‌ام، همين الآن اعلام مي‌كنم كه من قصد خودكشي ندارم.»

ترس حاكم بر محققان "سيمانتك"
روزي كه اخبار ترورها در ايران به گوش محققان رسيد، "چين" با خنده به دوستانش گفت كه اگر يك موتور سيكلت حتي به خودروي او نزديك شود، بدون معطلي با چرخ‌هاي خودرويش موتور سيكلت و راننده آن را سرنگون خواهد كرد.

او همان روز زماني كه از سر كار بر مي‌گشت، در اولين چهار راه توقف كرد و با ديدن موتور سيلكلتي كه از پشت سر به او نزديك مي‌شد در آينه وسط خودرويش (فقط براي يك لحظه) به خود لرزيد.

منبع: فارس