در حقيقت، "سيمانتك" چند مرتبه ساخت اين ويروس را به منابعي نسبت داد كه موجب بحث و جدل شد؛ اولين بحث در مورد نشان آلودگي بود. محققان در "استاكسنت" اسامي را که با داستان های يهودي مطابقت ميکرد، يافته بودند.
به گزارش گرداب، سايت "وايرد دات كام" در گزارشي مفصل، "استاكسنت" را رمزگشايي و اهداف آن را در حمله به تأسيسات هستهاي ايران بررسي كرد. در بخش ششم اين گزارش رد پاهاي بيشتري از يهوديان اسرائيل را در اين ويروس ميبينيم و در نهايت به اثر تخريبي "استاكسنت" بر سانتريفيوژها پي ميبريم.
درخواست كمك از افراد مجرب در زمينه "پروفيباس"
محققان درخواستي را روي وبلاگ خود قرار دادند تا افرادي كه در زمينه "پروفيباس" و زيرساختهاي اساسي تجربه داشتند خود را به آنان معرفي كنند؛ يك برنامهنويس هلندي به نام "راب هالسبوس" به اين درخواست پاسخ داد. اغلب ايميلهاي او اطلاعاتي را در بر داشت كه محققان خود از آن آگاه بودند؛ اما يك خط در اين ميان برجسته بود. وي نوشت: هر قسمت از "پروفيباس" بايد يك شناسه منحصر به فرد داشته باشد كه طول آن به اندازه يك كلمه است. "چين" ناگهان متوجه شد كه آن دو رقم مرموز (9500h و 7050h) بايد شناسههاي شركتهاي سازنده باشند.
افشاي راز دو رقم مرموز
"چين" و "او مورچو" در اينترنت به دنبال اسناد "پروفيباس" گشتند و يك فايل پيدياف را يافتند كه شامل ليستي از مشخصات دستگاههاي مطابق با كارت شبكه "پروفيباس" بود. دو عدد مرموزي كه "استاكسنت" به دنبال آنها ميگشت در انتهاي اين ليست آمده بودند. اين دو عدد شناسههايي مربوط به دو نوع مبدل فركانس بودند كه در فنلاند و ايران توليد ميشدند. اولين عدد، 9500h، به مبدلهاي فركانس "ويكان انايكس" (Vacon NX) ساخت شركت "ويكان" (Vacon) در فنلاند اشاره ميكرد و دومين عدد، 7050h، مبدل فركانسي نامشخص را ساخت شركت "فرارو پايا" در ايران نشان ميداد.
دخالت "استاكسنت" در فرمانهاي صادره به مبدلهاي فركانس
مبدلهاي فركانس براي تنظيم سرعت موتورها و روتورها (بخشهاي گردان) در وسايلي مانند دريلهاي پر سرعت مورد استفاده قرار ميگيرد؛ اين دريلها در برش قسمتهاي فلزي در كارخانهها و عبور دادن خمير از شبكههاي فلزي در ماشينهاي كاغذسازي كاربرد دارد. با بالا بردن فركانس چرخش، سرعت گردش روتور نيز افزايش مييابد. در سند "پروفيباس" كه محققان در اينترنت يافتند، ليستي از فرمانها براي كنترل اين فركانس وجود داشت؛ اين فرمانها دقيقاً با فرمانهاي نوشته شده در "استاكسنت" يكي بود.
"چين" تصريح كرد: «كد STL (در "استاكسنت") چيزهايي شبيه به "كلمه 47f و 1" را فرمان ميداد. در دفترچه مبدل فركانس نيز نوشته شده بود: براي شروع كار مبدل فركانس، كلمه 47f را وارد كنيد و مقدار آن را 1 قرار دهيد. زبان ما بند آمده بود.»
بنا بر اطلاعات درون كد "استاكسنت"، اين ويروس تأسيساتي را مورد هدف قرار ميداد كه از 33 عدد يا بيشتر دستگاه مبدل فركانس استفاده ميكرد و دامنه فركانس همه آنها ميان 807 هرتز تا 1210 هرتز بود.
"استاكسنت" فركانس مبدلهارا در بازهاي بسيار بزرگ افزايش و كاهش ميداد
نرمافزار مخرب ميتوانست بدون سر و صدا عمليات شناسايي خود را در حدود دو هفته درون سيستم انجام دهد و سپس يكباره و به سرعت به هدف خود حمله كند. "استاكسنت" در اين حمله، فركانس مبدل را تا 1410 هرتز افزايش ميداد، آن را به مدت 15 دقيقه در همين وضعيت نگه ميداشت و سپس آن را به فركانس معمول خود، 1064 هرتز، باز ميگرداند. فركانس مبدل 27 روز در همين وضعيت باقي ميماند و سپس "استاكسنت" بار ديگر به اين مبدل حمله ميكرد و فركانس آن را به مدت 50 دقيقه در مقدار 2 هرتز نگه ميداشت.
هدف "استاكسنت" نابود كردن وسيلهاي بود كه از مبدل فركانس دستور ميگرفت
دستگاه 27 روز ديگر نيز بدون تغيير باقي ميماند و سپس "استاكسنت" بار ديگر به آن حمله و همين چرخه را پياده ميكرد. تفاوت گسترده ميان فركانسها نشان ميدهد كه هدف "استاكسنت" از بين بردن آن چيزي بوده است كه در آن سوي مبدل قرار دارد.
"چين" در اينترنت تحقيق كرد و متوجه شد كه مبدلهايي كه با فركانس 600 هرتز و بالاتر از آن كار ميكنند، در آمريكا به موجب قانون "كميسيون ساماندهي هستهاي" (NRC) براي صادرات مورد استفاده قرار ميگيرند.
هدف "استاكسنت" سانتريفيوژهاي يك نيروگاه هستهاي هستند
"چين" ميگويد: «ما فهميديم اين تجهيزات، با اين فركانس، ميتوانند در غنيسازي اورانيوم مورد استفاده قرار بگيرند. "لانگنر" با اعلام اين كه هدف "استاكسنت" سانتريفيوژهاي يك نيروگاه هستهاي هستند، ريسك بزرگي كرده بود؛ اما اكنون "سيمانتك" شواهد نيرومندي براي حمايت از اين ادعا در اختيار داشت.»
"چين" ميگويد: «اكنون، ما ميدانستيم در معرض يك فعاليت گستردهتر ژئوپولتيكي قرار داريم. ما قطعاً پيش خود فكر ميكرديم... آيا من واقعاً مايلم كه نامم در اين [پروژه] ثبت شود؟»
بحث در ميان محققان در مورد افشا يا عدم افشاي يافتههاي خود
آنان در طول مسير به نقاط عطفي رسيده بودند، با يكديگر بحث كرده بودند كه آيا بايد مقداري از اطلاعات را بدون نام افشا كنند و يا حتي مقداري از آن را كاملاً نزد خود نگه دارند. اما در انتها همواره تصميم گرفته بودند تا اطلاعات را منتشر كنند؛ زيرا معتقد بودند كه هر چه مردم اطلاعات بيشتري داشته باشند، بهتر ميتوانند از سيستم خود در مقابل اين ويروس و ويروسهاي ساخته شده از روي آن، محافظت كنند.
ديدگاه "سيمانتك" مبني بر نجات مردم از تهديد بود
هيچ كدام از مديران اجرايي سازمان نيز تلاش نكرد تا كار آنان را روي "استاكسنت" متوقف كند و يا آن چه را منتشر ميكردند سانسور کند. "چين" تصريح كرد: «حتي تا به امروز نيز ما هيچ وكيلي نگرفتهايم. وي گفت كه ديدگاه شركت در اين زمينه اين گونه بود: اين يك تهديد و مردم را با مشكل مواجه كرده است، ما بايد آن را بررسي كنيم. به عقيده من اين زيربناي تفكر ما است، تهديد هر چه كه ميخواهد باشد.»
هويت پشت پرده پروژه "استاكسنت" و مشکل اعلام آن
با اين حال، "او مورچو" گفت: «يك نكته وجود دارد كه اگر به آن دست پيدا ميكرديم، شايد آن را منتشر نميکرديم.»
وي گفت: «اگر به آن جا ميرسيديم كه صد در صد ميدانستيم چه كسي پشت ساخت "استاكسنت" است، در مورد [اعلام يا عدم اعلام] آن بحثهاي بسيار جدي با يكديگر ميكرديم.»
نشانههاي يهودي در "استاكسنت"
در حقيقت، "سيمانتك" چند مرتبه ساخت اين ويروس را به منابعي نسبت داد كه موجب بحث و جدل شد. اولين بار در مورد نشان آلودگي بود كه محققان در "استاكسنت" يافته بودند.
زماني كه "استاكسنت" وارد سيستمي ميشد، پيش از آن كه فايلهاي مخرب خود را روي سيستم نصب كند، ابتدا "رجيستري ويندوز" را براي يافتن عدد 19790509 چك ميكرد. اگر اين عدد در "رجيستري" وجود داشت، "استاكسنت" از آن سيستم عبور ميكرد و آن را آلوده نميساخت؛ مانند خون بره كه در مصر باستان خانههاي يهوديان را نشانگذاري ميكرد تا "بلاي مرگ اولين فرزند" را از آن خانه دور كند.
اين تكنيك جديد نبود. "سيمانتك" به اصطلاح "مقادير ايمنساز" را در نرمافزارهاي مخرب ديگر نيز ديده بود. مهاجمها اين مقادير را در "رجيستري" سيستم خود قرار ميدادند تا ويروس گستردهاي كه خود آن را منتشر ميكردند، رايانه خودشان را مبتلا نكند.
اشاره "مقدار ايمنساز" "استاكسنت" به تاريخ تيرباران يك تاجر يهودي در ايران
اما محققان متوجه شدند كه اين بار، اين مقدار به يك تاريخ اشاره ميكرد: 9 مه 1979؛ تاريخي كه ممكن است به روزي اشاره كند كه "حبيب القانيان"، تاجر يهودي ايراني، به وسيله جوخه آتش در تهران تيرباران شد. اين اعدام در تاريخ يهوديان نقطه مهمي است؛ زيرا در نهايت منجر به مهاجرت دستهجمعي يهوديان به خارج از ايران شد.
باقي ماندن يك سر نخ از سازنده "استاكسنت" در اين ويروس
به علاوه كلمه "مورد" (نوعي گياه) نيز در مسير فايلي وجود داشت كه مهاجمها در يكي از راهاندازهاي "استاكسنت " باقي گذاشته بودند. اين مسير (b:\myrtus\src\objfre_w2k_x86\:386\guava.pdb) نشان ميداد كه سازندههاي "استاكسنت" اين فايل را، در طول ساخت، در كدام قسمت از رايانه خود ذخيره كردهاند. عجيب نيست كه سازنده يك نرمافزار مخرب فراموش كند پيش از انتشار نرمافزار خود، اين سر نخها را از بين ببرد.
اشاره احتمالي بخشي از "استاكسنت" به يك داستان يهودي
در اين مورد، نامهاي "گواوا" (گياهي از گونه موردها) و "مورد" ميتوانستند سر نخهايي احتمالي باشند كه سازندههاي "استاكسنت" را شناسايي كنند. "مورد" دستهاي از گياهان است كه "گواوا" را نيز در بر ميگيرد؛ بنابراين شايد نويسندههاي اين ويروس به گياهشناسي علاقهمند بودهاند.
شايد نيز كلمه "مورد" (Myrtus) به معناي "آرتييوهاي من" (MyRTUs) باشد؛ آرتييو (RTU) يا "واحد پايانه راه دور" مانند كنترلگر عمل ميكند. "سيمانتك" به هر دوي اين احتمالها اشاره كرد؛ اما همچنين گفت كه "مورد" (myrtus) ممكن است به طور خفيفي به "ملكه استر"، شاهزاده يهودي "پوريم" (از جشنهاي يهوديان)، اشاره كند.
بنا بر نوشتههاي قرن چهارم قبل از ميلاد، اين ملكه يهوديان ايراني را از يك كشتار جمعي نجات داد. نام عبري "استر" "هديسه" بود كه به "مورد" (myrtle) اشاره دارد. ظنها در اين مورد افزايش يافت كه اسرائيل و آمريكا پشت پروژه "استاكسنت" هستند و به عنوان روشي غير مستقيم به جاي حمله با بمب به نيروگاه هستهاي ايران از اين نرمافزار مخرب استفاده كردهاند.
هجوم آژانسهاي دولتي آمريكا و ساير كشورها براي اطلاع از يافتههاي جدید
در اين زمان، آژانسهاي دولتي درون و بيرون از آمريكا به تحقيقات اين محققان علاقهمند شدند و از آنان درخواست كردند تا خلاصهاي از يافتههايشان را به آنان گزارش دهند. "سيمانتك" يك فايل "پاور پوينت" را براي "وزارت امنيت داخلي"، "وزارت دفاع"، "وزارت انرژي" و "افبيآي" تهيه كرد تا به سؤالات آنان پاسخ دهد.
"چين" تصريح كرد: «من به شوخي ميگويم آنان خود همه پاسخها را داشتند.» زماني كه از او پرسيده شد آيا "آژانس امنيت ملي" (NSA) و "سيآياي" در جلسات "پاور پوينت" شركت كردند يا خير، وي پاسخ داد: «اگر هم "آژانس امنيت ملي" (NSA) را در جريان خلاصه يافتههايمان قرار ميداديم، باز هم خودمان از اين كارمان اطلاع نداشتيم، درست است؟»
ترور دو دانشمند هستهاي ايران
نتايج سياسي كار محققان زماني ابعاد گستردهتري به خود گرفت كه دو هفته پس از انتشار يافتههاي آنان در زمينه مبدلهاي فركانس، دو دانشمند هستهاي ايراني به طور همزمان در تهران از سوی تروريستها كشته شدند.
اين افراد در صبح روز دوشنبه به سمت محل كار خود در دو مكان مختلف شهر در حركت بودند كه موتورسواراني به آنان نزديك شده و بمبهايي را روي اتومبيل آنان چسباندند. "مجيد شهرياري"، دانشمند برجسته و مدير ارشد برنامه هستهاي ايران، كشته و "فريدون عباسي"، متخصص جداسازي ايزوتوپها (عملياتي ضروري براي ساخت سوخت اورانيوم)، مجروح شد. ايران، سازمان جاسوسي اسرائيل، "موساد" را به تدارك اين حملهها متهم كرد.
صداهاي عجيب در تلفن همراه "او مورچو"
هر چند محققان امنيت رايانهاي، فكر نميكردند كه به خاطر افشاگري در مورد "استاكسنت" خطري جان آنان را تهديد كند؛ با اين وجود خنده آنان با اضطرابي همراه بود كه از يادآوري سوءظن و شوخيهاي ترسناكشان در گفتگو با يكديگر نشئت ميگرفت.
"او مورچو" صداهاي آهسته و عجيبي را در تلفن همراهش ميشنيد؛ وي در روز جمعه به "چين" و "فالير" گفت: «اگر جسد من را پيدا كرديد و معلوم شد (گفتند) در روز دوشنبه خودم را كشتهام، همين الآن اعلام ميكنم كه من قصد خودكشي ندارم.»
ترس حاكم بر محققان "سيمانتك"
روزي كه اخبار ترورها در ايران به گوش محققان رسيد، "چين" با خنده به دوستانش گفت كه اگر يك موتور سيكلت حتي به خودروي او نزديك شود، بدون معطلي با چرخهاي خودرويش موتور سيكلت و راننده آن را سرنگون خواهد كرد.
او همان روز زماني كه از سر كار بر ميگشت، در اولين چهار راه توقف كرد و با ديدن موتور سيلكلتي كه از پشت سر به او نزديك ميشد در آينه وسط خودرويش (فقط براي يك لحظه) به خود لرزيد.
منبع: فارس
درخواست كمك از افراد مجرب در زمينه "پروفيباس"
محققان درخواستي را روي وبلاگ خود قرار دادند تا افرادي كه در زمينه "پروفيباس" و زيرساختهاي اساسي تجربه داشتند خود را به آنان معرفي كنند؛ يك برنامهنويس هلندي به نام "راب هالسبوس" به اين درخواست پاسخ داد. اغلب ايميلهاي او اطلاعاتي را در بر داشت كه محققان خود از آن آگاه بودند؛ اما يك خط در اين ميان برجسته بود. وي نوشت: هر قسمت از "پروفيباس" بايد يك شناسه منحصر به فرد داشته باشد كه طول آن به اندازه يك كلمه است. "چين" ناگهان متوجه شد كه آن دو رقم مرموز (9500h و 7050h) بايد شناسههاي شركتهاي سازنده باشند.
افشاي راز دو رقم مرموز
"چين" و "او مورچو" در اينترنت به دنبال اسناد "پروفيباس" گشتند و يك فايل پيدياف را يافتند كه شامل ليستي از مشخصات دستگاههاي مطابق با كارت شبكه "پروفيباس" بود. دو عدد مرموزي كه "استاكسنت" به دنبال آنها ميگشت در انتهاي اين ليست آمده بودند. اين دو عدد شناسههايي مربوط به دو نوع مبدل فركانس بودند كه در فنلاند و ايران توليد ميشدند. اولين عدد، 9500h، به مبدلهاي فركانس "ويكان انايكس" (Vacon NX) ساخت شركت "ويكان" (Vacon) در فنلاند اشاره ميكرد و دومين عدد، 7050h، مبدل فركانسي نامشخص را ساخت شركت "فرارو پايا" در ايران نشان ميداد.
دخالت "استاكسنت" در فرمانهاي صادره به مبدلهاي فركانس
مبدلهاي فركانس براي تنظيم سرعت موتورها و روتورها (بخشهاي گردان) در وسايلي مانند دريلهاي پر سرعت مورد استفاده قرار ميگيرد؛ اين دريلها در برش قسمتهاي فلزي در كارخانهها و عبور دادن خمير از شبكههاي فلزي در ماشينهاي كاغذسازي كاربرد دارد. با بالا بردن فركانس چرخش، سرعت گردش روتور نيز افزايش مييابد. در سند "پروفيباس" كه محققان در اينترنت يافتند، ليستي از فرمانها براي كنترل اين فركانس وجود داشت؛ اين فرمانها دقيقاً با فرمانهاي نوشته شده در "استاكسنت" يكي بود.
"چين" تصريح كرد: «كد STL (در "استاكسنت") چيزهايي شبيه به "كلمه 47f و 1" را فرمان ميداد. در دفترچه مبدل فركانس نيز نوشته شده بود: براي شروع كار مبدل فركانس، كلمه 47f را وارد كنيد و مقدار آن را 1 قرار دهيد. زبان ما بند آمده بود.»
بنا بر اطلاعات درون كد "استاكسنت"، اين ويروس تأسيساتي را مورد هدف قرار ميداد كه از 33 عدد يا بيشتر دستگاه مبدل فركانس استفاده ميكرد و دامنه فركانس همه آنها ميان 807 هرتز تا 1210 هرتز بود.
"استاكسنت" فركانس مبدلهارا در بازهاي بسيار بزرگ افزايش و كاهش ميداد
نرمافزار مخرب ميتوانست بدون سر و صدا عمليات شناسايي خود را در حدود دو هفته درون سيستم انجام دهد و سپس يكباره و به سرعت به هدف خود حمله كند. "استاكسنت" در اين حمله، فركانس مبدل را تا 1410 هرتز افزايش ميداد، آن را به مدت 15 دقيقه در همين وضعيت نگه ميداشت و سپس آن را به فركانس معمول خود، 1064 هرتز، باز ميگرداند. فركانس مبدل 27 روز در همين وضعيت باقي ميماند و سپس "استاكسنت" بار ديگر به اين مبدل حمله ميكرد و فركانس آن را به مدت 50 دقيقه در مقدار 2 هرتز نگه ميداشت.
هدف "استاكسنت" نابود كردن وسيلهاي بود كه از مبدل فركانس دستور ميگرفت
دستگاه 27 روز ديگر نيز بدون تغيير باقي ميماند و سپس "استاكسنت" بار ديگر به آن حمله و همين چرخه را پياده ميكرد. تفاوت گسترده ميان فركانسها نشان ميدهد كه هدف "استاكسنت" از بين بردن آن چيزي بوده است كه در آن سوي مبدل قرار دارد.
"چين" در اينترنت تحقيق كرد و متوجه شد كه مبدلهايي كه با فركانس 600 هرتز و بالاتر از آن كار ميكنند، در آمريكا به موجب قانون "كميسيون ساماندهي هستهاي" (NRC) براي صادرات مورد استفاده قرار ميگيرند.
هدف "استاكسنت" سانتريفيوژهاي يك نيروگاه هستهاي هستند
"چين" ميگويد: «ما فهميديم اين تجهيزات، با اين فركانس، ميتوانند در غنيسازي اورانيوم مورد استفاده قرار بگيرند. "لانگنر" با اعلام اين كه هدف "استاكسنت" سانتريفيوژهاي يك نيروگاه هستهاي هستند، ريسك بزرگي كرده بود؛ اما اكنون "سيمانتك" شواهد نيرومندي براي حمايت از اين ادعا در اختيار داشت.»
"چين" ميگويد: «اكنون، ما ميدانستيم در معرض يك فعاليت گستردهتر ژئوپولتيكي قرار داريم. ما قطعاً پيش خود فكر ميكرديم... آيا من واقعاً مايلم كه نامم در اين [پروژه] ثبت شود؟»
بحث در ميان محققان در مورد افشا يا عدم افشاي يافتههاي خود
آنان در طول مسير به نقاط عطفي رسيده بودند، با يكديگر بحث كرده بودند كه آيا بايد مقداري از اطلاعات را بدون نام افشا كنند و يا حتي مقداري از آن را كاملاً نزد خود نگه دارند. اما در انتها همواره تصميم گرفته بودند تا اطلاعات را منتشر كنند؛ زيرا معتقد بودند كه هر چه مردم اطلاعات بيشتري داشته باشند، بهتر ميتوانند از سيستم خود در مقابل اين ويروس و ويروسهاي ساخته شده از روي آن، محافظت كنند.
ديدگاه "سيمانتك" مبني بر نجات مردم از تهديد بود
هيچ كدام از مديران اجرايي سازمان نيز تلاش نكرد تا كار آنان را روي "استاكسنت" متوقف كند و يا آن چه را منتشر ميكردند سانسور کند. "چين" تصريح كرد: «حتي تا به امروز نيز ما هيچ وكيلي نگرفتهايم. وي گفت كه ديدگاه شركت در اين زمينه اين گونه بود: اين يك تهديد و مردم را با مشكل مواجه كرده است، ما بايد آن را بررسي كنيم. به عقيده من اين زيربناي تفكر ما است، تهديد هر چه كه ميخواهد باشد.»
هويت پشت پرده پروژه "استاكسنت" و مشکل اعلام آن
با اين حال، "او مورچو" گفت: «يك نكته وجود دارد كه اگر به آن دست پيدا ميكرديم، شايد آن را منتشر نميکرديم.»
وي گفت: «اگر به آن جا ميرسيديم كه صد در صد ميدانستيم چه كسي پشت ساخت "استاكسنت" است، در مورد [اعلام يا عدم اعلام] آن بحثهاي بسيار جدي با يكديگر ميكرديم.»
نشانههاي يهودي در "استاكسنت"
در حقيقت، "سيمانتك" چند مرتبه ساخت اين ويروس را به منابعي نسبت داد كه موجب بحث و جدل شد. اولين بار در مورد نشان آلودگي بود كه محققان در "استاكسنت" يافته بودند.
زماني كه "استاكسنت" وارد سيستمي ميشد، پيش از آن كه فايلهاي مخرب خود را روي سيستم نصب كند، ابتدا "رجيستري ويندوز" را براي يافتن عدد 19790509 چك ميكرد. اگر اين عدد در "رجيستري" وجود داشت، "استاكسنت" از آن سيستم عبور ميكرد و آن را آلوده نميساخت؛ مانند خون بره كه در مصر باستان خانههاي يهوديان را نشانگذاري ميكرد تا "بلاي مرگ اولين فرزند" را از آن خانه دور كند.
اين تكنيك جديد نبود. "سيمانتك" به اصطلاح "مقادير ايمنساز" را در نرمافزارهاي مخرب ديگر نيز ديده بود. مهاجمها اين مقادير را در "رجيستري" سيستم خود قرار ميدادند تا ويروس گستردهاي كه خود آن را منتشر ميكردند، رايانه خودشان را مبتلا نكند.
اشاره "مقدار ايمنساز" "استاكسنت" به تاريخ تيرباران يك تاجر يهودي در ايران
اما محققان متوجه شدند كه اين بار، اين مقدار به يك تاريخ اشاره ميكرد: 9 مه 1979؛ تاريخي كه ممكن است به روزي اشاره كند كه "حبيب القانيان"، تاجر يهودي ايراني، به وسيله جوخه آتش در تهران تيرباران شد. اين اعدام در تاريخ يهوديان نقطه مهمي است؛ زيرا در نهايت منجر به مهاجرت دستهجمعي يهوديان به خارج از ايران شد.
باقي ماندن يك سر نخ از سازنده "استاكسنت" در اين ويروس
به علاوه كلمه "مورد" (نوعي گياه) نيز در مسير فايلي وجود داشت كه مهاجمها در يكي از راهاندازهاي "استاكسنت " باقي گذاشته بودند. اين مسير (b:\myrtus\src\objfre_w2k_x86\:386\guava.pdb) نشان ميداد كه سازندههاي "استاكسنت" اين فايل را، در طول ساخت، در كدام قسمت از رايانه خود ذخيره كردهاند. عجيب نيست كه سازنده يك نرمافزار مخرب فراموش كند پيش از انتشار نرمافزار خود، اين سر نخها را از بين ببرد.
اشاره احتمالي بخشي از "استاكسنت" به يك داستان يهودي
در اين مورد، نامهاي "گواوا" (گياهي از گونه موردها) و "مورد" ميتوانستند سر نخهايي احتمالي باشند كه سازندههاي "استاكسنت" را شناسايي كنند. "مورد" دستهاي از گياهان است كه "گواوا" را نيز در بر ميگيرد؛ بنابراين شايد نويسندههاي اين ويروس به گياهشناسي علاقهمند بودهاند.
شايد نيز كلمه "مورد" (Myrtus) به معناي "آرتييوهاي من" (MyRTUs) باشد؛ آرتييو (RTU) يا "واحد پايانه راه دور" مانند كنترلگر عمل ميكند. "سيمانتك" به هر دوي اين احتمالها اشاره كرد؛ اما همچنين گفت كه "مورد" (myrtus) ممكن است به طور خفيفي به "ملكه استر"، شاهزاده يهودي "پوريم" (از جشنهاي يهوديان)، اشاره كند.
بنا بر نوشتههاي قرن چهارم قبل از ميلاد، اين ملكه يهوديان ايراني را از يك كشتار جمعي نجات داد. نام عبري "استر" "هديسه" بود كه به "مورد" (myrtle) اشاره دارد. ظنها در اين مورد افزايش يافت كه اسرائيل و آمريكا پشت پروژه "استاكسنت" هستند و به عنوان روشي غير مستقيم به جاي حمله با بمب به نيروگاه هستهاي ايران از اين نرمافزار مخرب استفاده كردهاند.
هجوم آژانسهاي دولتي آمريكا و ساير كشورها براي اطلاع از يافتههاي جدید
در اين زمان، آژانسهاي دولتي درون و بيرون از آمريكا به تحقيقات اين محققان علاقهمند شدند و از آنان درخواست كردند تا خلاصهاي از يافتههايشان را به آنان گزارش دهند. "سيمانتك" يك فايل "پاور پوينت" را براي "وزارت امنيت داخلي"، "وزارت دفاع"، "وزارت انرژي" و "افبيآي" تهيه كرد تا به سؤالات آنان پاسخ دهد.
"چين" تصريح كرد: «من به شوخي ميگويم آنان خود همه پاسخها را داشتند.» زماني كه از او پرسيده شد آيا "آژانس امنيت ملي" (NSA) و "سيآياي" در جلسات "پاور پوينت" شركت كردند يا خير، وي پاسخ داد: «اگر هم "آژانس امنيت ملي" (NSA) را در جريان خلاصه يافتههايمان قرار ميداديم، باز هم خودمان از اين كارمان اطلاع نداشتيم، درست است؟»
ترور دو دانشمند هستهاي ايران
نتايج سياسي كار محققان زماني ابعاد گستردهتري به خود گرفت كه دو هفته پس از انتشار يافتههاي آنان در زمينه مبدلهاي فركانس، دو دانشمند هستهاي ايراني به طور همزمان در تهران از سوی تروريستها كشته شدند.
اين افراد در صبح روز دوشنبه به سمت محل كار خود در دو مكان مختلف شهر در حركت بودند كه موتورسواراني به آنان نزديك شده و بمبهايي را روي اتومبيل آنان چسباندند. "مجيد شهرياري"، دانشمند برجسته و مدير ارشد برنامه هستهاي ايران، كشته و "فريدون عباسي"، متخصص جداسازي ايزوتوپها (عملياتي ضروري براي ساخت سوخت اورانيوم)، مجروح شد. ايران، سازمان جاسوسي اسرائيل، "موساد" را به تدارك اين حملهها متهم كرد.
صداهاي عجيب در تلفن همراه "او مورچو"
هر چند محققان امنيت رايانهاي، فكر نميكردند كه به خاطر افشاگري در مورد "استاكسنت" خطري جان آنان را تهديد كند؛ با اين وجود خنده آنان با اضطرابي همراه بود كه از يادآوري سوءظن و شوخيهاي ترسناكشان در گفتگو با يكديگر نشئت ميگرفت.
"او مورچو" صداهاي آهسته و عجيبي را در تلفن همراهش ميشنيد؛ وي در روز جمعه به "چين" و "فالير" گفت: «اگر جسد من را پيدا كرديد و معلوم شد (گفتند) در روز دوشنبه خودم را كشتهام، همين الآن اعلام ميكنم كه من قصد خودكشي ندارم.»
ترس حاكم بر محققان "سيمانتك"
روزي كه اخبار ترورها در ايران به گوش محققان رسيد، "چين" با خنده به دوستانش گفت كه اگر يك موتور سيكلت حتي به خودروي او نزديك شود، بدون معطلي با چرخهاي خودرويش موتور سيكلت و راننده آن را سرنگون خواهد كرد.
او همان روز زماني كه از سر كار بر ميگشت، در اولين چهار راه توقف كرد و با ديدن موتور سيلكلتي كه از پشت سر به او نزديك ميشد در آينه وسط خودرويش (فقط براي يك لحظه) به خود لرزيد.
منبع: فارس