این گزارش توضیحاتی در مورد بدافزار اصلی استاکسنت است که به عنوان اولین جنگافزار سایبریِ موفق در سالهای ۱۳۸۸ و ۱۳۸۹ تولید شده است.
روز گذشته یک محقق امنیتی به نام Kim Zetter کتابی با عنوان «شمارش معکوس روز-صفرم» در مورد بدافزار استاکسنت منتشر کرد.
به گزارش تکنــــــــــــــازدانلود: به نقل از asis , محققان امنیتی آزمایشگاههای کسپراسکی و سیمنتک در گزارشهای خود نحوهی توزیع بدافزار استاکسنت در سایت هستهای نظنز و در بین صدها هزار رایانهی دیگر را شرح دادهاند.
در واقع در این کتاب زوایای جدیدی از این بدافزار روشن شده است که قبلاً در مورد آن صحبتی نمیشد. نویسندهی این کتاب Kim Zetter یک روزنامهنگار است و برخی از نوشتههای این کتاب در واقع با مصاحبه با محققان آزمایشگاه کسپراسکی حاصل شده است و به همین دلیل این محققان اطلاعاتی را در مورد بدافزار استاکسنت به این روزنامهنگار گزارش دادهاند که قبلاً در مورد آن صحبتی نکرده بودند.
اگرچه بدافزار استاکسنت بیش از چهار سال پیش کشف شد و گزارشهایی بسیار جزیی در مورد این بدافزار منتشر شده است، اما هنوز مشخص نشده بود که چه عنصری اولین بار توسط این کرمواره آلوده شده است. البته این احتمال تقریباً قطعی بود که استاکسنت تلاش کرده بود موتورهای کنترل سانتریفیوژهایی را آلوده کند که برای غنیسازی اورانیوم به کار گرفته شده بودند، اما این سانتریفیوژها در کجا قرار داشتند؟ در سایت هستهای نظنز، سایت هستهای فوردو یا شاید جایی دیگر؟
هر چند سال گذشته نسخهای از استاکسنت موسوم به Stuxnet 0.5 کشف شد و محققان معتقد بودند این بدافزار قبل از نسخهی اصلی کرموارهی استاکسنت توزیع شده است، اما در این گزارش توضیحات در مورد بدافزار اصلی استاکسنت است که به عنوان اولین جنگافزار سایبریِ موفق در سالهای ۱۳۸۸ و ۱۳۸۹ تولید شده است.
در فوریهی سال ۲۰۱۱ (بهمن ماه ۱۳۸۹) سیمنتک با انتشار گزارشی مدعی شد نسخهی جدید بدافزار استاکسنت با شناسهی W32.Stuxnet.Dosseir را کشف کرده است و با تحلیل بیش از ۳۰۰۰ پروندهی این بدافزار، مدعی شد استاکسنت از طریق ۵ سازمان که برخی از آنها دو بار مورد حملهی سایبری قرار گرفته بودند، توزیع شده است. در جدول زیر که توسط سیمنتک منتشر شده است نام ۵ سازمان به صورت A تا E مشخص شده است، زمان کامپایل کد بدافزار و زمان آلودگی مرکز توسط بدافزار نیز مطرح شده و همچنین در ستون آخر فاصلهی زمانی بین کامپایل کد و آلودگی تعیین شده است.
این اطلاعات در واقع از بدنهی خود بدافزار قابل کشف بوده است. زمانیکه استاکسنت یک سامانهی جدید را آلوده میکرده است، اطلاعاتی در مورد نام این قربانی جدید را ذخیره میکرده، این اطلاعات شامل نسخهی ویندوز و آدرس آیپی بوده است. این اطلاعات در بخش گزارشگیری خود بدافزار ذخیره میشده است و زمانی که یک قربانی جدید توسط بدافزار آلوده میشده، اطلاعات جدید قربانی به اطلاعات قبلی اضافه میشدهاند. در واقع اطلاعات مسیری که بدافزار طی کرده است در بدنهی استاکسنت قابل رهگیری است. اولین سامانهای که توسط یک نمونه آلوده شده و سپس این نمونه به سامانهی دیگری منتقل شده تا بدافزار به سایت هستهای نطنز رسیده است. در تصویر زیر یک نمونه از اطلاعاتی که توسط بدافزاز از قربانیان ضبط شده، قابل مشاهده میباشد:
سیمنتک در این گزارش نام ۵ سازمانی که توسط بدافزار آلوده شده بودند را منتشر نکرد، و البته دانستن نام این سازمانها کمک زیادی به تحلیل رفتار بدافزار داشته و اینکه واقعاً اولین آلودگی در کجا رخ داده است را مشخص میکرده است.
کسپراسکی با جمعآوری ۲۰۰۰ نمونه از بدافزار استاکسنت، که نسخههای مختلفی از سال ۲۰۰۹ و ۲۰۱۰ است، موفق به شناسایی این سازمانها شده است.
دامنهی A
نسخهی اولیهی استاکسنت که در ژوئن ۲۰۰۹ کامپایل شده و کمی بیش از ۱۲ ساعت موفق به آلودگی سامانهها شده است، این نسخه با نام Stuxnet.a مشخص شده است. البته واضح است که آلودگی از طریق USB آلوده نبوده است، در واقع احتمال آلودگی با USB در مدت زمان ۱۲ ساعت تقریباً غیرممکن است، چون فرض بر این است که مهاجم دسترسی فیزیکی به قربانیان نداشته است. با بررسی بدنهی این بدافزار، اولین سامانهی آلوده دارای نامی به صورت KASPERSKY و متعلق به مرکزی به صورت ISIE است. نام KSPERSKY احتمالاً به این دلیل است که قربانی یک کارگزار به همراه محصول ضدبدافزاری کسپراسکی است و ISIE البته نامشخص است، ولی از آنجایی که احتمالاً نمونه در ایران بوده است مربوط به انجمن مهندسین صنایع ایران یا Iranian Society of Industrial Engineers بوده است که وبگاهی با همین آدرس ثبت کردهاند، هرچند این وبگاه در حال حاضر غیرفعال است.
البته ممکن است همهی فرضها اشتباه بوده باشد و نمونهی آلوده در روسیه بوده باشد.
کسپراسکی معتقد است که این نام متعلق به شرکت مهندسی فولادتکنیک اصفهان است که سامانههای اتوماسیون برای صنایع ایران تولید میکند که به صورت خاص با سامانههای کنترل صنعتی در ارتباط است.
در سال ۲۰۱۰ همین مرکز دوباره مورد حمله قرار گرفته است، نسخهای از بدافزار که در تاریخ ۱۴ آوریل ۲۰۱۰ کامپایل شده و در تاریخ ۲۶ آوریل موفق به آلوده کردن سامانهای با نام KASPERSKY و در مرکز ISIE شده است، البته به فاصلهی کمی رایانههای با نامهای «حسینزاده» و «ابولفتحی» نیز آلوده شدهاند.
فراموش نکنیم که استاکسنت یک بدافزار قدرتمند تخربی-جاسوسی بوده است و آلودگی مرکزی مانند شرکت فولاد تکنیک، اطلاعات زیادی را در اختیار دشمنان قرار میداده است تا راحتتر نقاط ضعف سامانههای کنترل صنعتی کشور را تشخیص دهند.
دامنهی B
یک مرکز دیگر هم مانند سازمان قبلی دو بار در سالهای ۲۰۰۹ و ۲۰۱۰ مورد حملهی بدافزار استاکسنت قرار گرفته است. دومین حمله به این مرکز عامل اصلی توزیع استاکسنت بوده است. نسخهی ۲۰۱۰ بدافزار استاکسنت که با نام Stuxnet.b معرفی میشود، در اولین روز ماه مارس سال ۲۰۱۰ کامپایل شده و سه هفته بعد در تاریخ ۲۳ مارس موفق به آلودگی رایانههای شرکت «بهپژوه» شده است. و از آنجایی که در این نسخه آدرس آیپی قربانیان هم ثبت شده است، مشخص است که آدرسها متعلق به آیپی داخلی شرکت مذکور بوده است.
شرکت بهپژوه نیز در اصفهان قرار دارد و سامانههای اوتوماسیون صنعتی تولید میکند و واضح است که چنیدن خبرهی سامانههای PLC و اسکادا در آنجا حضور دارند.
اما آیا این دامنه اولین نقطهی توزیع گستردهی استاکسنت است؟ کسپراسکی معتقد است که همین مرکز عامل گسترش اصلی است. در واقع همانطور که در تصویر زیر مشاده میشود، ۴ روز پس از آلودگی شرکت بهپژوه، آلودگی به مرکزی به نام MSCCO رسیده است. جستوجو در میان تمام موارد ممکن نشان میدهد این مرکز احتمالاً شرکت فولاد مبارکه اصفهان است.
دامنهی C
آلودگی در مرکزی به نام «ندا» که در این مورد کاملاً مشخص است که قربانی گروه صنعتی ندا است که در فهرست تحریمهای آمریکا نیز قرار دارد. این مرکز در جولای ۲۰۰۹ آلوده شده است و مطابق اطلاعات کسپراسکی هیچگاه آلودگی این شرکت رفع نشده است.
دامنهی D
آلودگی در همان روزی اتفاق افتاده است که در شرکت «ندا» بدافزار موفق به فعالیت شده است. دو کارگزار با نامهای SRV1 و SRV2 آلوده شده اند که مربوط به مرکزی به نام CGJ میباشند.
شرکتی به نام کنترل گستر جاهد که باز هم فعالیتهایی در حوزهی اتوماسیون صنعتی دارد، البته برخلاف شرکت ندا این شرکت در فهرست تحریمهای آمریکا قرار ندارد، اما از آنجایی که ارتباط نزدیکی با شرکت نفت و سایر شرکتهای تولید انرژی دارد به عنوان هدف انتخاب شده است.
دامنهی E
برخلاف موارد قبلی این مورد با آلودگی سه قربانی در تاریخ ۱۱ مه سال ۲۰۱۰ (۲۱ اریبهشت ۱۳۸۹) شروع شده است. که همانطور که از نامهای آنها پیداست، دستکم دو قربانی مربوط به کارگزارهای شرکت است.
همین مسئله که دو قربانی کارگزار میباشند نشان میدهد دستکم آلودگی از طریق رایانامهی آلوده نبوده است و مرکز مذکور نیز شرکت کالاالکتریک ایران است که تولیدکنندهی سانتریفیوژهای R-1 کشور است و البته در فهرست تحریمهای آمریکا نیز قرار دارد.
جمعبندی
استاکسنت به عنوان اولین جنگافزار سایبری قطعاً هنوز مسائلی دارد که برای بسیاری از محققان امنیتی جذاب است. این مسئله که واقعاً هدف اصلی این بدافزار در مورد فعالیتهای جاسوسی چه چیزی بوده است و چه اطلاعاتی را به دست دشمنان رسانده است باید بسیار حیاتی باشد، اگرچه این بدافزار خسارتهایی در صنعت هستهای به بار آورد، ولی آیا آلودگی این ۵ مرکز مهم که در کتاب معرفی شدهاند هیچ اطلاعات حساسی را فاش نکردهاند؟