ویروسی که جاسوس شد

آیا «استاکس نت» قوی ترین «بدافزار» تاریخ است

کرم Stuxnet _‌ استاکس‌نت _ بدافزاری است که چنان در استفاده از آسیب‌پذیری‌های اصلاح‌نشده ماهر است و چنان در کار خود پیچیده عمل می‌کند که آن دسته از متخصصان امنیتی که در مورد آن تحقیق کرده‌اند، معتقدند که ممکن است این بدافزار کار متخصصانی با پشتوانه قوی باشد. این بدافزار همزمان چهار نقص امنیتی اصلاح‌نشده ویندوز را مورد سوءاستفاده قرار می‌دهد که سوءاستفاده از این تعداد آسیب‌پذیری برای یک بدافزار بسیار زیاد است. استاکس‌نت که نخستین بار در اواسط جولای توسط شرکت کوچک امنیتی VirusBlokAda در بلاروس گزارش شد، یک ماه بعد زمانی که مایکروسافت تایید کرد که این کرم در حال هدف قرار دادن سیستم‌های ویندوز در مدیریت سیستم‌های کنترل صنعتی بزرگ است، به شهرت رسید. این سیستم‌های کنترلی اغلب با عنوانSCADA (Supervisory Control And Data Acquisition) شناخته می‌شوند. این سیستم‌ها هر چیزی را، از سایت‌های نیروگاهی گرفته تا خطوط انتقال نفت، کنترل می‌کنند.

محققان ابتدا اعتقاد داشتند که Stuxnet صرفا از یک آسیب‌پذیری اصلاح‌نشده در ویندوز سوءاستفاده کرده و از طریق درایوهای USB منتشر می‌شود. به گفته محققان سایمانتک، ایران جدی‌ترین هدف این کرم بوده و در ماه جولای نزدیک به ۶۰ درصد از تمامی سیستم‌های آلوده، در ایران قرار داشتند. در روز دوم آگوست، مایکروسافت یک به‌روز‌رسانی فوری برای اصلاح این نقص عرضه کرد. در این زمان Stuxnet به عنوان کرم سوءاستفاده‌کننده از میان‌برهای ویندوز شناخته می‌شد. اما برخلاف انتظار مایکروسافت، Stuxnet می‌توانست همزمان از چهار آسیب‌پذیری برای دسترسی به شبکه‌های شرکت‌ها استفاده کند. به گفته محققان، پیش از این دیده نشده است که یک بدافزار به طور همزمان از چهار آسیب‌پذیری اصلاح‌نشده استفاده کند. زمانی که این کرم به یک شبکه دسترسی پیدا می‌کند، به دنبال کامپیوترهای خاصی می‌گردد که سیستم‌های SCADA را که توسط نرم‌افزاری از شرکت زیمنس کنترل می‌شوند، مدیریت می‌کنند. محققان Kaspersky و سایمانتک با در دست داشتن نمونه‌ای از Stuxnet، کد این بدافزار را مورد بررسی و تحلیل عمیق قرار دادند تا به اطلاعات بیشتری در مورد آن دست پیدا کنند.

این دو شرکت به طور جداگانه کد حمله‌ای را که سه آسیب‌پذیری اصلاح‌نشده دیگر ویندوز را هدف قرار داده بود، پیدا کردند. به گفته یکی از محققان Kaspersky، نخست ظرف مدت یک هفته تا یک هفته و نیم، حفره print spooler توسط محققان این شرکت پیدا شد. سپس حفره EoP (تغییر حق دسترسی) ویندوز نیز توسط این شرکت امنیتی کشف شد. پس از آن حفره دوم EoP نیز توسط محققان مایکروسافت پیدا شد. محققان سایمانتک نیز به طور جداگانه آسیب‌پذیری print spooler و دو آسیب‌پذیری EoP را در ماه آگوست پیدا کردند. هر دو شرکت نتایج فعالیت‌های خود را به مایکروسافت گزارش کردند که باعث شد آسیب‌پذیری print spooler به سرعت اصلاح شده و وعده اصلاح دو آسیب‌پذیری کم‌خطرتر EoP در به روز‌رسانی امنیتی بعدی نیز داده شود. اما عجایب Stuxnet به اینجا ختم نمی‌شود. این کرم همچنین از یک حفره ویندوز که در سال ۲۰۰۸ توسط به روز‌رسانی MS۰۸-۰۶۷ اصلاح شده بود نیز استفاده می‌کند. این نقص امنیتی همان آسیب‌پذیری مورد استفاده کرم Conficker در اواخر سال ۲۰۰۸ و اوایل سال ۲۰۰۹ بود که به میلیون‌ها سیستم در سراسر جهان آسیب وارد کرد.

زمانی که Stuxnet از طریق USB وارد یک شبکه می‌شود، با استفاده از آسیب‌پذیری‌های EoP حق دسترسی admin به سایر PC‌ها را برای خود ایجاد می‌کند، سیستم‌هایی را که برنامه‌های مدیریت WinCC و PCS ۷ SCADA اجرا می‌کنند پیدا می‌کند، کنترل آنها را با سوءاستفاده از یکی از آسیب‌پذیری‌های print spooler یا MS۰۸-۰۶۷ در اختیار می‌گیرد و سپس کلمه عبور پیش‌فرض زیمنس را برای در اختیار گرفتن نرم‌افزار SCADA آزمایش می‌کند. سپس مهاجمان می‌توانند نرم‌افزار PLC‌) programmable logic control) را مجددا برنامه‌ریزی تا دستورات جدید را مطابق میل خود صادر کنند. نکته قابل توجه این است که این کد حمله معتبر و قانونی به نظر می‌رسد، چرا که افرادی که پشت Stuxnet قرار دارند، حداقل دو گواهی دیجیتالی امضاشده را سرقت کرده‌اند.

به گفته محقق شرکت امنیتی Kaspersky، سازماندهی و پیچیدگی اجرای کل بسته بسیار قابل توجه است. به عقیده وی، هر کسی که پشت این بدافزار قرار دارد، قصد دارد به تمام دارایی‌های شرکت یا شرکت‌های هدف خود دست یابد. یک محقق امنیتی دیگر نیز معتقد است که تیمی متشکل از افرادی با انواع تخصص‌ها و پیش‌زمینه‌ها از Rootkit گرفته تا پایگاه داده، این بدافزار را ایجاد کرده و هدایت می‌کنند. این بدافزار که تقریبا نیم‌مگابایت حجم دارد، به چندین زبان از جمله C، C++ و سایر زبان‌های شیء‌گرا نوشته شده است. به گفته وی، تیم ایجاد‌کننده این بدافزار نیاز به سخت‌افزار فیزیکی واقعی برای تست داشته‌اند و به خوبی می‌دانند که یک کارخانه خاص چگونه کار می‌کند. بنابراین ایجاد و استفاده از این بدافزار قطعا یک پروژه بزرگ بوده است.

یک راه که این مهاجمان با استفاده از آن ریسک شناسایی شدن را کم کرده‌اند، قرار دادن یک شمارنده در USB آلوده است که اجازه انتشار بدافزار از طریق یک USB خاص به بیش از سه کامپیوتر را نمی‌دهد. این به آن معناست که مهاجمان سعی کرده‌اند با جلوگیری از گسترش بیش از اندازه این بدافزار، آن را در سازمان هدف خود نگه داشته و به این ترتیب از شناسایی آن جلوگیری کنند. زمانی که این بدافزار وارد شبکه یک شرکت می‌شود، فقط در صورتی از آسیب‌پذیری MS۰۸-۰۶۷ استفاده می‌کند که بداند هدف، بخشی از یک شبکه SCADA است. در اغلب شبکه‌های SCADA هیچ‌گونه عملیات ثبت (logging) انجام نمی‌شود و این شبکه‌ها دارای امنیت محدود بوده و به ندرت اصلاحیه‌ای در مورد آنها منتشر می‌شود. همین مساله باعث می‌شود که سوءاستفاده از آسیب‌پذیری

MS۰۸-۰۶۷ که مدت‌هاست اصلاح شده است، برای این کار موثر و مفید باشد. تمام این مسایل، تصویری ترسناک از Stuxnet می‌سازد. محققان سایمانتک و Kaspersky معتقدند که با توجه به شناسایی کاملی که این کرم انجام می‌دهد و پیچیدگی کار آن و خطرناک بودن حمله آن، این بدافزار حتی نمی‌تواند صرفا کار یک گروه حرفه‌ای جنایتکار سایبری باشد. محقق امنیتی شرکت سایمانتک معتقد است که این به هیچ عنوان نمی‌تواند کار یک گروه خصوصی باشد چرا که مهاجمان صرفا به دنبال اطلاعات برای حذف رقیب نبوده‌اند. آنها قصد داشته‌اند PLC‌ها را مجددا برنامه‌ریزی کرده و کار سیستم‌ها را به چیزی غیر از آنچه که صاحبان آنها می‌خواهند، تغییر دهند که این چیزی بیش از جاسوسی صنعتی است. به گفته وی، منابع و هزینه مورد نیاز برای این حمله، آن را خارج از قلمرو یک گروه هک خصوصی قرار می‌دهد.

این حمله به طور خاص ایران را هدف گرفته بود. محقق امنیتی Kaspersky معتقد است که با در نظر گرفتن تمامی این شرایط، محتمل‌ترین سناریو در مورد این بدافزار، یک گروه هک وابسته به سرویس‌های جاسوسی حکومتی یک کشور است. به گفته محقق امنیتی سایمانتک، این یک پروژه بسیار مهم برای افرادی است که در پشت آن قرار دارند که هزینه‌ها و ریسک بالایی نیز داشته است. همچنین اگرچه زیمنس ادعا می‌کند که ۱۴ سایت آلوده به Stuxnet که توسط این شرکت کشف شده‌اند، توسط این بدافزار خراب نشده یا تحت تاثیر آن قرار نگرفته‌اند، اما محققان امنیتی سایمانتک و Kaspersky در این‌باره مطمئن نیستند. متخصصان در مورد زمان آغاز به کار این بدافزار اتفاق نظر ندارند. Kaspersky آغاز فعالیت این بدافزار را در جولای ۲۰۰۹ می‌داند، در حالی که سایمانتک معتقد است که شروع این حملات به ژانویه ۲۰۱۰ برمی‌گردد. اما همگی معتقدند که این کرم ماه‌ها بدون شناسایی شدن به کار خود ادامه داده است. این محققان فکر می‌کنند که این بدافزار توانسته باشد پیش از شناسایی شدن، به اهداف خود برسد.