هدف‌یابی هوشمند استاکس‌نت؛معرفی سایر قربانیان ایرانی

این گزارش توضیحاتی در مورد بدافزار اصلی استاکس‌نت است که به عنوان اولین جنگ‌افزار سایبریِ موفق در سال‌های ۱۳۸۸ و ۱۳۸۹ تولید شده است.

روز گذشته یک محقق امنیتی به نام Kim Zetter کتابی با عنوان «شمارش معکوس روز-صفرم» در مورد بدافزار استاکس‌نت منتشر کرد.

به گزارش تکنــــــــــــــازدانلود: به نقل از asis , محققان امنیتی آزمایشگاه‌های کسپراسکی و سیمنتک در گزارش‌های خود نحوه‌ی توزیع بدافزار استاکس‌نت در سایت هسته‌ای نظنز و در بین صدها هزار رایانه‌ی دیگر را شرح داده‌اند.

در واقع در این کتاب زوایای جدیدی از این بدافزار روشن شده است که قبلاً در مورد آن صحبتی نمی‌شد. نویسنده‌ی این کتاب Kim Zetter یک روزنامه‌نگار است و برخی از نوشته‌های این کتاب در واقع با مصاحبه با محققان آزمایشگاه کسپراسکی حاصل شده است و به همین دلیل این محققان اطلاعاتی را در مورد بدافزار استاکس‌نت به این روزنامه‌نگار گزارش داده‌اند که قبلاً در مورد آن صحبتی نکرده بودند.

اگرچه بدافزار استاکس‌نت بیش از چهار سال پیش کشف شد و گزارش‌هایی بسیار جزیی در مورد این بدافزار منتشر شده است، اما هنوز مشخص نشده بود که چه عنصری اولین بار توسط این کر‌م‌واره آلوده شده است. البته این احتمال تقریباً قطعی بود که استاکس‌نت تلاش کرده بود موتورهای کنترل سانتریفیوژهایی را آلوده کند که برای غنی‌سازی اورانیوم به کار گرفته شده بودند، اما این سانتریفیوژها در کجا قرار داشتند؟ در سایت هسته‌ای نظنز، سایت هسته‌ای فوردو یا شاید جایی دیگر؟

هر چند سال گذشته نسخه‌ای از استاکس‌نت موسوم به Stuxnet 0.5 کشف شد و محققان معتقد بودند این بدافزار قبل از نسخه‌ی اصلی کرم‌واره‌ی استاکس‌نت توزیع شده است، اما در این گزارش توضیحات در مورد بدافزار اصلی استاکس‌نت است که به عنوان اولین جنگ‌افزار سایبریِ موفق در سال‌های ۱۳۸۸ و ۱۳۸۹ تولید شده است.

در فوریه‌ی سال ۲۰۱۱ (بهمن ماه ۱۳۸۹) سیمنتک با انتشار گزارشی مدعی شد نسخه‌‌ی جدید بدافزار استاکس‌نت با شناسه‌ی W32.Stuxnet.Dosseir را کشف کرده است و با تحلیل بیش از ۳۰۰۰ پرونده‌ی این بدافزار، مدعی شد استاکس‌نت از طریق ۵ سازمان که برخی از آن‌ها دو بار مورد حمله‌ی سایبری قرار گرفته بودند، توزیع شده است. در جدول زیر که توسط سیمنتک منتشر شده است نام ۵ سازمان به صورت A تا E مشخص شده است، زمان کامپایل کد بدافزار و زمان آلودگی مرکز توسط بدافزار نیز مطرح شده و هم‌چنین در ستون آخر فاصله‌ی زمانی بین کامپایل کد و آلودگی تعیین شده است.

این اطلاعات در واقع از بدنه‌ی خود بدافزار قابل کشف بوده است. زمانی‌که استاکس‌نت یک سامانه‌ی جدید را آلوده می‌کرده است، اطلاعاتی در مورد نام این قربانی جدید را ذخیره می‌کرده، این اطلاعات شامل نسخه‌ی ویندوز و آدرس آی‌پی بوده است. این اطلاعات در بخش گزارش‌گیری خود بدافزار ذخیره می‌شده است و زمانی که یک قربانی جدید توسط بدافزار آلوده می‌شده، اطلاعات جدید قربانی به اطلاعات قبلی اضافه می‌شده‌اند. در واقع اطلاعات مسیری که بدافزار طی کرده است در بدنه‌ی استاکس‌نت قابل ره‌گیری است. اولین سامانه‌ای که توسط یک نمونه آلوده شده و سپس این نمونه به سامانه‌ی دیگری منتقل شده تا بدافزار به سایت هسته‌ای نطنز رسیده است. در تصویر زیر یک نمونه از اطلاعاتی که توسط بدافزاز از قربانیان ضبط شده، قابل مشاهده می‌باشد:

سیمنتک در این گزارش نام ۵ سازمانی که توسط بدافزار آلوده شده بودند را منتشر نکرد، و البته دانستن نام این سازمان‌ها کمک زیادی به تحلیل رفتار بدافزار داشته و این‌که واقعاً اولین آلودگی در کجا رخ داده است را مشخص می‌کرده است.

کسپراسکی با جمع‌آوری ۲۰۰۰ نمونه از بدافزار استاکس‌نت، که نسخه‌های مختلفی از سال ۲۰۰۹ و ۲۰۱۰ است، موفق به شناسایی این سازمان‌ها شده است.

دامنه‌ی A

نسخه‌ی اولیه‌ی استاکس‌نت که در ژوئن ۲۰۰۹ کامپایل شده و کمی بیش از ۱۲ ساعت موفق به آلودگی سامانه‌ها شده است، این نسخه با نام Stuxnet.a مشخص شده است. البته واضح است که آلودگی از طریق USB آلوده نبوده است، در واقع احتمال آلودگی با USB در مدت زمان ۱۲ ساعت تقریباً غیرممکن است، چون فرض بر این است که مهاجم دست‌رسی فیزیکی به قربانیان نداشته است. با بررسی بدنه‌ی این بدافزار، اولین سامانه‌ی آلوده دارای نامی به صورت KASPERSKY و متعلق به مرکزی به صورت ISIE است. نام KSPERSKY احتمالاً به این دلیل است که قربانی یک کارگزار به همراه محصول ضدبدافزاری کسپراسکی است و ISIE البته نامشخص است، ولی از آن‌جایی که احتمالاً نمونه در ایران بوده است مربوط به انجمن مهندسین صنایع ایران یا Iranian Society of Industrial Engineers بوده است که وب‌گاهی با همین آدرس ثبت کرده‌اند،‌ هرچند این وبگاه در حال حاضر غیرفعال است.

البته ممکن است همه‌ی فرض‌ها اشتباه بوده باشد و نمونه‌ی آلوده در روسیه بوده باشد.

کسپراسکی معتقد است که این نام متعلق به شرکت مهندسی فولاد‌تکنیک اصفهان است که سامانه‌های اتوماسیون برای صنایع ایران تولید می‌کند که به صورت خاص با سامانه‌های کنترل صنعتی در ارتباط است.

در سال ۲۰۱۰ همین مرکز دوباره مورد حمله قرار گرفته است، نسخه‌ای از بدافزار که در تاریخ ۱۴ آوریل ۲۰۱۰ کامپایل شده و در تاریخ ۲۶ آوریل موفق به آلوده کردن سامانه‌ای با نام KASPERSKY و در مرکز ISIE شده است، البته به فاصله‌ی کمی رایانه‌های با نام‌های «حسین‌زاده» و «ابولفتحی» نیز آلوده شده‌اند.

فراموش نکنیم که استاکس‌نت یک بدافزار قدرتمند تخربی-جاسوسی بوده است و آلودگی مرکزی مانند شرکت فولاد تکنیک، اطلاعات زیادی را در اختیار دشمنان قرار می‌داده است تا راحت‌تر نقاط ضعف سامانه‌های کنترل صنعتی کشور را تشخیص دهند.

دامنه‌ی B

یک مرکز دیگر هم مانند سازمان قبلی دو بار در سال‌های ۲۰۰۹ و ۲۰۱۰ مورد حمله‌ی بدافزار استاکس‌نت قرار گرفته است. دومین حمله به این مرکز عامل اصلی توزیع استاکس‌نت بوده است. نسخه‌ی ۲۰۱۰ بدافزار استاکس‌نت که با نام Stuxnet.b معرفی می‌شود، در اولین روز ماه مارس سال ۲۰۱۰ کامپایل شده و سه هفته بعد در تاریخ ۲۳ مارس موفق به آلودگی رایانه‌های شرکت «به‌پژوه» شده است. و از آن‌جایی که در این نسخه آدرس آی‌پی قربانیان هم ثبت شده است، مشخص است که آدرس‌ها متعلق به آی‌پی داخلی شرکت مذکور بوده است.

شرکت به‌پژوه نیز در اصفهان قرار دارد و سامانه‌های اوتوماسیون صنعتی تولید می‌کند و واضح است که چنیدن خبره‌ی سامانه‌های PLC و اسکادا در آن‌جا حضور دارند.

اما آیا این دامنه اولین نقطه‌ی توزیع گسترده‌ی استاکس‌نت است؟ کسپراسکی معتقد است که همین مرکز عامل گسترش اصلی است. در واقع همان‌طور که در تصویر زیر مشاده می‌شود، ۴ روز پس از آلودگی شرکت به‌پژوه، آلودگی به مرکزی به نام MSCCO رسیده است. جست‌و‌جو در میان تمام موارد ممکن نشان می‌دهد این مرکز احتمالاً شرکت فولاد مبارکه اصفهان است.

دامنه‌ی C

آلودگی در مرکزی به نام «ندا» که در این مورد کاملاً مشخص است که قربانی گروه صنعتی ندا است که در فهرست تحریم‌های آمریکا نیز قرار دارد. این مرکز در جولای ۲۰۰۹ آلوده شده است و مطابق اطلاعات کسپراسکی هیچ‌گاه آلودگی این شرکت رفع نشده است.

دامنه‌ی D

آلودگی در همان روزی اتفاق افتاده است که در شرکت «ندا» بدافزار موفق به فعالیت شده است. دو کارگزار با نام‌های SRV1 و SRV2 آلوده شده اند که مربوط به مرکزی به نام CGJ می‌باشند.

شرکتی به نام کنترل گستر جاهد که باز هم فعالیت‌هایی در حوزه‌ی اتوماسیون صنعتی دارد، البته برخلاف شرکت ندا این شرکت در فهرست تحریم‌های آمریکا قرار ندارد، اما از آن‌جایی که ارتباط نزدیکی با شرکت نفت و سایر شرکت‌های تولید انرژی دارد به عنوان هدف انتخاب شده است.

دامنه‌ی E

برخلاف موارد قبلی این مورد با آلودگی سه قربانی در تاریخ ۱۱ مه سال ۲۰۱۰ (۲۱ اری‌بهشت ۱۳۸۹) شروع شده است. که همان‌طور که از نام‌های آن‌ها پیداست، دست‌کم دو قربانی مربوط به کارگزار‌های شرکت است.

همین مسئله که دو قربانی کارگزار می‌باشند نشان می‌دهد دست‌کم آلودگی از طریق رایانامه‌ی آلوده نبوده است و مرکز مذکور نیز شرکت کالاالکتریک ایران است که تولید‌کننده‌ی سانتریفیوژ‌های R-1 کشور است و البته در فهرست تحریم‌های آمریکا نیز قرار دارد.

جمع‌بندی

استاکس‌نت به عنوان اولین جنگ‌افزار سایبری قطعاً هنوز مسائلی دارد که برای بسیاری از محققان امنیتی جذاب است. این مسئله که واقعاً هدف اصلی این بدافزار در مورد فعالیت‌های جاسوسی چه چیزی بوده است و چه اطلاعاتی را به دست دشمنان رسانده است باید بسیار حیاتی باشد، اگرچه این بدافزار خسارت‌هایی در صنعت هسته‌ای به بار آورد، ولی آیا آلودگی این ۵ مرکز مهم که در کتاب معرفی شده‌اند هیچ اطلاعات حساسی را فاش نکرده‌اند؟