کرم Stuxnet (استاکس نت) اولين بار در ژوئن 2010 توسط يك شركت روسي نام VirusBlockAda که اعلام کرد نرم افزاري را بر روي سيستم رايانه يکي از مشتريان ايراني خود مشاهده کرده، کشف شد. به گفته "الياس لووي" مدير ارشد فني بخش "پاسخگويي ايمني سايمنتک"با توجه به تاريخ نشانه هاي ديجيتالي که از اين کرم رايانه اي به جا مانده، مي توان گفت اين نرم افزار از ماه ژانويه سال جاري ميان رايانه ها در گردش بوده است.اين اولين كرم كشف شده اي است كه مي تواند بر روي سيستم هاي صنعتي فعاليت نمايد. اين كرم به منظور حمله به سيستم هاي مديريت كنترل و داده (SCADA) كه به منظور كنترل و مونيتورينگ سيستم هاي صنعتي به كار مي رود، طراحي شده و قابليت برنامه ريزي مجدد PLC ها و مخفي نگه داشتن تغييرات انجام شده را دارد. همچنين اولين كرمي است كه به منظور حمله به زير بناي صنايع مهم طراحي شده است. بيشتر خبر گذاري هاي خارجي ادعا مي كنند كه اين برنامه مخرب جهت هدف گيري تاسيسات و صنايع با ارزش ايران كه بيشتر از توليدات كنترلي شركت زيمنس استفاده كرده اند طراحي شده است. زيمنس اظهار داشته است كه اين كرم تا به حال خسارتي به بار نياورده است. شركت Kaspersky شاخه روسيه اظهار كرده است كه اين ويروس مي تواند آغاز گر نسل جديدي از اسلحه هاي نرم افزاري و جنگ نرم افزاري باشد كه كشورها مي توانند بر عليه يكديگر به كار گيرند مگر اينكه مردم به راحتي از استفاده از محصولات مايكروسافت خودداري نمايند. كوين هوگان مدير ارشد سايمنتك اعلام كرده است 60 درصد آلودگي در ايران مشاهده شده است. 

سيستم هاي مورد هدف اصولا از نرم افزارهاي شركت زيمنس از جمله Wincc، PCS7 و Supervisory Control And Data Acquisition SCADA‌ استفاده كرده اند.

طريقه آلوده شدن

اين كرم در وهله اول از طريق فلش مموري هاي قابل حمل سيستم ها را آلوده مي نمايد سپس از طريق شبكه و نرم افزار مونيتورينگ Wincc به آلوده كردن سيستم هاي ديگر مي پردازد. در اين روش، ويروس داراي يک شمارشگر است و تعداد دفعاتي که يک حافظه مي تواند باعث آلودگي شود، به سه دفعه محدود شده است. اين محدوديت نشان مي دهد که ويروس نويسان نمي خواستند که دامنه آلودگي گسترش يابد و تاکيد داشته اند که انتشار آلودگي فقط محدود به چند کامپيوتر اطراف آلودگي اوليه باشد. همچنين در روش انتشار از طريق شبکه محلي، يک آلودگي فقط در سه هفته اول به ديگر ماشين هاي داخل شبکه، انتشار مي يابد و پس از آن، هيچگونه فعاليتي براي شيوع و انتشار خود انجام نمي دهد. اما عجايب Stuxnet به اينجا ختم نمي شود. اين كرم همچنين از يك حفره ويندوز كه در سال 2008 توسط به روز رساني MS08-067 اصلاح شده بود نيز استفاده مي كند. اين نقص امنيتي همان آسيب پذيري مورد استفاده كرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود كه به ميليون ها سيستم در سراسر جهان آسيب وارد كرد. زماني كه Stuxnet از طريق USB وارد يك شبكه مي شود، با استفاده از آسيب پذيري هاي EoP حق دسترسي admin به ساير PC ها را براي خود ايجاد مي كند، سيستم هايي را كه برنامه هاي مديريت WinCC، PCS 7و SCADA اجرا مي كنند پيدا مي كند، كنترل آنها را با سوء استفاده از يكي از آسيب پذيري هاي print spooler يا MS08-067 در اختيار مي گيرد، و سپس كلمه عبور پيش فرض زيمنس را براي در اختيار گرفتن نرم افزار SCADA آزمايش مي كند. سپس مهاجمان مي توانند نرم افزار (Programmable Logic Control) PLC را مجددا برنامه ريزي كنند تا دستورات جديد را مطابق ميل خود صادر نمايند. اين بد افزار به عنوان يك Malware بسيار غير معمول به نظر مي رسد. اينگونه طراحي به علم كاملي از پروسه هاي صنعتي نياز دارد. ضمن آنكه اين كرم به طرز غير معمولي در اندازه بزرگ مي باشد و حدود5/0 مگابايت است. همچنين به زبان هاي برنامه نويسي متفاوتي از جمله C و ++C نوشته شده است كه براي يكMalware عادي نمي باشد. اين كرم داراي دو Certificate دزديده شده از JMicron و Realtek مي باشدكه به آن اجازه مي دهد براي مدت طولاني نا شناخته و پنهان باقي بماند. از قابليت هاي ديگر آن اين است كه از طريق روش Peer to Peer قابل ارتقاء يافتن است. اين بدافزار، هم زمان چهار نقص امنيتي اصلاح نشده ويندوز را مورد سوء استفاده قرار مي دهد كه سوء استفاده از اين تعداد آسيب پذيري براي يك بدافزار بسيار زياد است. بنا بر اطلاعات ارائه شده توسط مايكروسافت، اين ويروس همچنين مي تواند در يك وب سايت، اشتراك هاي شبكه از راه دور يا در فايل هاي Word نيز مخفي شده و از اين طريق به گسترش آلودگي بپردازد.

کارشناسان با بررسي ويروس Stuxnet به روش جديد ديگري که اين ويروس براي شيوع و انتشار خود استفاده ميکند، پي برده اند. با اين روش، حتي کامپيوترهاي آلوده اي که پاکسازي شده اند، دوباره در معرض آلودگي به اين ويروس قرار ميگيرند. در اين روش جديد شناسايي شده، ويروسStuxnet يک برنامه DLL مخرب و آلوده را به فايل هاي خاصي از نوع Step7 تزريق ميکند. بدين ترتيب بر روي هر کامپيوتر سالمي که يک فايلStep7 آلوده باز شود، آن کامپيوتر نيز به ويروس Stuxnet آلوده خواهد شد. فايل هايStep7 توسط نرم افزارStep7 که بخشي از سيستم مديريت صنعتي شرکت زيمنس است، ساخته ميشوند. اين نرم افزار وظيفه برنامه ريزي و انجام تنظيمات سخت افزارهاي سيستم کنترل صنعتي شرکت زيمنس را بر عهده دارد و اطلاعات توليدي اين نرم افزار در فايل هاي از نوع Step7 ذخيره ميشود. حال اگر آلودگي اين کامپيوترها شناسايي شود، معمولاً ابتدا از فايل هاي اطلاعاتي روي آن کامپيوترها بايگاني گرفته شده و سپس اقدام به پاکسازي آن مي شود. در صورتي که در اين حالت، پس از پاکسازي و بازگرداندن بايگاني فايل ها، به محض باز کردن يکي از فايل هاي Step7 دستکاري شده توسط Stuxnet ،آن کامپيوتر دوباره آلوده خواهد شد. در بسياري از مجموعه هاي صنعتي بزرگ، اين احتمال وجود دارد که عمليات برنامه نويسي و تنظيمات تحت سيستمهاي شرکت زيمنس در يک بخش خاص از آن مجموعه انجام شده و فايل هاي ساخته شده Step7 از اين بخش به ديگر بخش هاي مجموعه ارسال شود تا مورد استفاده قرار گيرند. با روشي که ويروس Stuxnet بکار گرفته است، در اين حالت فقط کافي است که فايل هاي Step7 آلوده باشند تا کل مجموعه صنعتي آلوده شود.

كليه اين قابليت ها نمايان مي سازد كه اين يك كار گروهي بوده است و نوشته يكنفر به تنهايي نمي باشد. اريك بايرز كه سال ها در زمينه رفع اشكال و تعميرات سيستم هاي زيمنس تجربه دارد بيان ميكند كه اگر نخواهيم بگوييم سال ها براي نوشتن آن وقت صرف شده است حداقل ماه ها نفر ساعت كار برده است. 

با وجود اينكه سايمانتك اطلاعات دقيقي از شركت هاي آلوده شده دارد، از افشاي اطلاعات در مورد نام و تعداد شركت هاي آلوده شده به دليل مسائل امنيتي خودداري مي كند. سيمانتك اطلاعات خود در اينباره را از طريق نظارت بر ارتباطاتي كه دستگاه هاي آلوده با سرور command and control بدافزار Stuxnet برقرار مي كرده اند، به دست آورده است. آنها با شركت هاي آلوده شده تماس گرفته و به آنها در مورد چگونگي مقابله با اين بدافزار آگاهي داده اند. بنا بر نظر محققان امنيتي، بدافزار مذكور يك توسعه جدي در زمينه تهديدات رايانه اي محسوب مي شود و متأسفانه كنترل سيستم هاي فيزيكي در محيط هاي كنترل صنعتي را در اختيار هكرها قرار مي دهد.

مايكروسافت نيز يك اصلاحيه فوري را براي برطرف ساختن نقص امنيتي مذكور منتشر كرده است، ولي تنها نصب اصلاحيه، نمي تواند از سيستم هايي كه از نرم افزار زيمنس استفاده مي كنند، محافظت به عمل آورد زيرا اين بدافزار قادر است كد خود را در سيستم هاي مذكور مخفي كرده و بدون اينكه كسي متوجه شود، در فعاليت هاي كارخانه و يا نيروگاه مداخله كند. آن همچنين مي تواند فعاليت هاي جديدي را براي يك خط لوله و يا يك نيروگاه تعريف كند كه ممكن است صاحبان سيستم متوجه آن نشوند. به همين دليل سيستم هايي كه آلوده شده اند بايد كاملاً مورد بازرسي قرار گيرند تا اطمينان حاصل شود به همان شيوه اي كه مورد انتظار است، كار مي كنند. واضح است كه انجام بازرسي مذكور بسيار سخت و زمان بر و در عين حال ضروري است. در واقع علاوه بر نصب اصلاحيه لازم است، پاكسازي كامل در مورد رايانه هاي آلوده نيز انجام شود. محققان امنيتي سايمانتك مي دانند كه بدافزار Stuxnet قابليت انجام چه كارهايي را دارد ولي نمي دانند كه اين بدافزار دقيقاً چه كاري را بر روي سيستم هاي آلوده انجام مي دهد. براي مثال آنها مي دانند كه بدافزار مذكور داده ها را مورد وارسي قرار مي دهد و همچنين با توجه به تاريخ، فعاليت هاي متفاوتي را انجام مي دهد ولي هنوز در مورد فعاليت هاي مذكور چيزي نمي دانند. يكي از محققان امنيتي درباره انتشار اين بدافزار عقيده دارد كه اين وضعيت نشان دهنده مشكلاتي فراتر از تنها يك كرم رايانه اي است و مشخص كننده مشكلات امنيتي عمده اي در بخش صنعت است. به نظر وي مردم درك نمي كنند كه نمي توانند تنها به راه حل هاي امنيتي مورد استفاده در دنياي فناوري اطلاعات براي حفظ داده ها در دنياي كنترل صنعتي اكتفا كنند، براي مثال آنتي ويروس ها نتوانستند و نمي توانستند وجود اين تهديد ويژه را تشخيص دهند. او مي گويد: "آنتي ويروس ها يك احساس امنيت كاذب را ايجاد مي كنند، زيرا اين ضعف خود را از ديد عموم مي پوشانند."بنا بر نظر سايمانتك، بدافزار مذكور يك پروژه بزرگ است و يك شركت جاسوسي صنعتي و يا يك دولت در وراي اين حملات قرار دارد زيرا حملات مذكور پيچيده محسوب مي شوند. افرادي كه در وراي بدافزار مذكور قرار دارند هزينه هاي زيادي را صرف به دست آوردن كد سوءاستفاده آسيب پذيري جديد و اصلاح نشده در ويندوز، برنامه نويسان ماهر و دانش در مورد سيستم هاي كنترل صنعتي و همچنين فريب رايانه هاي قرباني براي پذيرش امضاهاي ديجيتالي جعلي كرده اند.

اگرچه شركت زيمنس محصولي را جهت پاك سازي اين كرم ارائه كرده است و از مشتريان خواسته تا در صورت مشاهده اين كرم با قسمت مشتري اين شركت تماس گرفته شود، مسئولين كشوري مردم را از استفاده از اين نرم افزار بر حذر داشته اند چراكه به نظرمي رسد اين نرم افزار نه تنها مشكل را بر طرف نمي كند بلكه ويروس را ارتقاء مي بخشد. اگرچه مرحله پاكسازي آن در سطح كشور آغاز شده است اما تا به حال 3 ورژن جديد از اين ويروس مشاهده شده است. به نظر ميرسد اين كرم سعي در ربودن اطلاعات مهم سيستم هاي صنعتي و ارسال آنها به جايي خارج از ايران دارد. كشورهاي اندونزي، چين و هندوستان هم به واسطه ي اين نرم افزار مخرب مورد هجوم قرار گرفته اند. مقامات پكن نگران هستند كه اين ويروس رايانه هاي بيشتري را مورد هجوم خود قرار دهد. روزنامه هندي، روزنامه ديلي تلگراف چاپ لندن نيز گزارشي را درباره احتمال دست داشتن اسرائيل در طراحي استاکس نت منتشر کرده اند. نکته اي که در گزارش هر دوي اين روزنامه ها جالب توجه است آن است که هر دو مي نويسند: فايل ايجاد شده توسط استاکس نت از نام “Myrtus”براي نفوذ در رايانه ها استفاده مي کند.

ميرتاس چيست: Myrtus کلمه اي است با ريشه عبري که اشاره به داستان “استر"دارد. استر زن دوم خشايارشاه در ايران باستان است که زني يهودي بوده و با وساطت عموي خود مردخاي که از مشاوران پادشاه ايران بود، خشايار شاه راضي به ازدواج با او مي شود. بر اساس اين گزارش، استر به نوعي ملکه يهوديان جهان شناخته مي شود و به نوشته اين دو روزنامه، رژيم اسرائيل با الهام گرفتن از اين شخصيت تاريخي در پي نفوذ در تاسيسات ايران بوده است. 

اما در اين ميان شرکت آلماني “رالف لانگر"که يک شرکت امنيت رايانه اي است فرضيه جديدي را مطرح مي کند. اين شرکت مدعي شده که ممکن است کرم جاسوسي استاکس نت توسط پيمانکاران روسي به تاسيسات صنعتي ايران منتقل شده باشد.

علائم سيستم آلوده:

چنانچه فايل ها يا كليد هاي رجيستري زير در سيستم وجود داشته باشند سيستم شما الوده است:

%system%driversmrxcls.sys

%system%driversmrxnet.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls”ImagePath”=”%System%driversmrxcls.sys”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet”ImagePath”=”%System%driversmrxnet.sys”

فايل هاي ايجاد شده ممكن است با پسوند.tmp در مسير زير مخفي شده باشند:

%DriveLetter%~WTR[FOUR NUMBERS].tmp

اگرچه بيشتر نگراني هاي در مورد اين مهمان نا خوانده به نيروگاه بوشهر مربوط مي شود اما حقيقت امر اين است كه در سال هاي اخير در مناطق صنعتي مانند پارس جنوبي كه 30 درصد گاز كل كشور را تامين مي نمايد به علت سهولت دسترسي به كالا در كليه فازهاي به صورت گسترده اي PLC هاي زيمنس مورد استفاده قرار گرفته اند و با توجه به اينكه در كشور ما فرهنگ استفاده از آنتي ويرو س جايگاه ضعيفي دارد اين نگراني را بيشتر مي كند كه PLC هاي به كار گرفته شده در پروژه هاي نفتي بدون آلودگي نباشند.

در پايان بهتر است موارد ذيل را مد نظر داشته باشيم:

- اين کرم مي تواند در داخل يک سازمان خودش را در منابع به اشتراک گذاشته شده شبکه (در صورت انتخاب کلمات عبور ضعيف) پخش کند. 

- استاکس نت مي تواند خودش را از طريق هر چيزي که شما آن را به عنوان يک درايو نصب مي کنيد، پخش کند. مثلا، گوشي تلفن همراه، هارد اکسترنال، فريم عکس و غيره 

- سيستم را آلوده کرده و خودش را با يک روت کيت مخفي مي کند و به نظاره مي نشيند تا اينکه سيستم آلوده به يک سيستم کارخانه ايي زيمنس متصل شود.

 پيچيده است چرا که از چندين حفره امنيتي استفاده کرده و به عنوان درايور خود بر روي سيستم قرار مي گيرد.

- درايور استاکس نت با يک گواهي نامه دزديده شده از Realtek امضا مي شود. 

- يک کليد رجيستري با مقدار 19790509 براي علامت زدن دستگاه آلوده ايجاد مي کند و به اين طريق قادر به شناسايي سيستم هاي از پيش آلوده است. اين عدد تاريخ 9 مي 1979 مي باشد. 

- نسخه ي فعلي تاريخ انقضاي 24 ژوئن 2012 دارد. روند پخش استاکس نت در اين تاريخ متوقف خواهد شد.

مديرعامل شرکت فناوري اطلاعات در خصوص راهکار مقابله با کرم جاسوس سيستم‌هاي صنعتي، گفت‌: پاکسازي توسط تيم‌هاي امدادي دستگاه‌ها و تحت هماهنگي تيم ماهر در حال انجام است و نمايندگان تمام دستگاه‌هاي حياتي و حساس نيز در مرکز ماهر مستقر هستند. اين مركز به صورت خاص از طرف فناوري اطلاعات در جهت مبارزه با اين ويروس راه اندازي شده است و در حال حاضر تنها مركز معتبر در سطح كل كشور مي باشد.

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام:

نظر خصوصی

 کد را وارد نمایید:

 

 

 

عکس شما

آپلود عکس دلخواه: