يک Rootkit رايانهاي با نام استاکسنت که قادر به دزدي اطلاعات از سامانههاي کنترلي صنايع است، رايانههايايران را هدف قرار داده است.
1- به
گزارش روز شنبه (2 مرداد) هفتهنامه اقتصادي بيزينس ويک بلومبرگ و بر
اساس اطلاعات منتشر شده به وسيله سازمان امنيتي سيمنتک (Symantec)، بيش از
60 درصد رايانههايي که مورد حمله اين ويروس قرار گرفتهاند، در ايران قرار
دارند.
بر پايه گزارش سيمنتک، احتمال دارد که اين ويروس رايانهاي از
ماه ژانويه در ميان رايانهها در گردش بوده باشد.بنابراين به نظر ميرسد که
ايران هدف اصلي اين حمله رايانهاي قرار داشته است. پس از ايران، هند و
برخي کشورهاي خاورميانه نيز مورد حمله اين ويروس مخرب قرار گرفتهاند.
الياس لوي، مدير ارشد فنآوري
سازمان امنيتي سيمنتک ميگويد: "بيشترين چيزي که ميتوانم بگويم اين است که
هر کسي که اين تهديدها را در اين منطقه خاص گسترش ميدهد، تصميم دارد که
شرکتهاي بخصوصي را هدف حمله قرار دهد."
ويروس استاکس نت که به وسيله
دستگاههاي حافظه جانبي (USB) گسترش يافته است، نخستين بار به وسيله يک
شرکت سازنده ضد ويروسهاي بلاروسي کشف شد.بر پايه گزارشها، اين کرم
رايانهاي در رايانه يک خريدار ايراني يافت شده است.
اوايل اين هفته،
شرکت زيمنس يک ويروسياب رايگان براي مقابله با اين ويروس منتشر کرد.گفتني
است، بيشتر سامانههاي کنترلي که هدف حمله اين ويروس قرار گرفتهاند، ساخت
شرکت زيمنس هستند.
نمودار روند آلوده سازی این روت کیت :
2-
رايانه هاي ايران مورد هجوم شديد كرم خطرناك رايانه اي به نام Stuxnet
قرار گرفته اند كه تلاش مي كند اطلاعات سيستمهاي كنترل صنعتي را به سرقت
برده و آنها را بر روي اينترنت قرار دهد. اندونزي و هندوستان نيز به واسطه
اين نرم افزار مخرب مورد هجوم قرار گرفته اند.
به گزارش مهر، بر
اساس اطلاعات جمع آوري شده توسط شركت "سايمنتك" در حدود 60 درصد از
سيستمهاي رايانه اي كه به اين ويروس آلوده شده اند در ايران قرار دارند.
اندونزي و هندوستان نيز به واسطه اين نرم افزار مخرب كه به Stuxnet شهرت
دارد مورد هجوم قرار گرفته اند.
به گفته "الياس لووي" مدير ارشد فني
بخش "پاسخگويي ايمني سايمنتك" با توجه به تاريخ نشانه هاي ديجيتالي كه از
اين كرم رايانه اي به جا مانده، مي توان گفت اين نرم افزار از ماه ژانويه
سال جاري ميان رايانه ها در گردش بوده است.
Stuxnet ماه گذشته توسط
شركتي به نام VirusBlockAda كه اعلام كرد نرم افزاري را بر روي سيستم
رايانه يكي از مشتريان ايراني خود مشاهده كرده، كشف شد. اين كرم به دنبال
سيستم مديريتي SCADA زيمنس كه معمولا در كارخانه هاي بزرگ توليدي و صنعتي
مورد استفاده قرار مي گيرد بوده و تلاش مي كند اسرار صنعتي رايانه هاي اين
كارخانه ها را بر روي اينترنت بارگذاري (Upload) كند.
سايمنتك اعلام
كرده نمي داند چرا ايران و ديگر كشورها به اين اندازه تحت تاثير آلودگي
هاي ويروسي قرار دارند. به گفته لووي تنها مي توان گفت افرادي كه اين نرم
افزارهاي خاص را ساخته اند، آن را ويژه حمله به اين نقاط جغرافيايي خاص
طراحي كرده اند.
زيمنس تعداد مشتريان خود را در ايران را اعلام نمي
كند اما به تازگي اعلام كرده دو شركت آلماني به واسطه اين ويروس آلوده شده
اند. نرم افزار آنتي ويروس رايگاني كه طي چند روز گذشته بر روي وب سايت
زيمنس قرار گرفته تا كنون هزار و 500 بار دانلود شده است.
سايمنتك
اطلاعات خود را به واسطه همكاري با صنايع و تغيير مسير ترافيك به وجود آمده
به منظور اتصال به سرورهاي كنترل و فرمان كرم رايانه اي به سوي رايانه هاي
خود جمع آوري كرده است. طي دوره اي سه روزه رايانه هايي كه در 14 هزار آدرس IP حضور داشتند تلاش كردند با اين سرورهاي كنترل و فرمان ارتباط
برقرار كنند كه اين نشان مي دهد تعداد كمي از رايانه هاي خانگي در سرتاسر
جهان به اين كرم آلوده شده اند. تعداد دقيق رايانه هاي آلوده مي تواند در
حدود 15 تا 20 هزار باشد زيرا بسياري از شركتها براي چند رايانه يك آدرس IP
در نظر مي گيرند.
به اين دليل كه سايمنتك مي تواند آدرسهاي IP مورد
استفاده سيستمهاي رايانه اي را براي اتصال به سرورهاي كنترل و فرمان
مشاهده كند، مي تواند تعيين كند كدام رايانه آلوده شده است. به گفته اين
شركت رايانه هاي آلوده شده به سازمانهاي متعددي تعلق داشتند كه از نرم
افزار و سيستمهاي SCADA استفاده مي كردند، ويژگي كه به روشني مورد هدف حمله
هكرها بوده است.
بر اساس گزارش PCworld، كرم Stuxnet توسط ابزارهاي USB دار انتقال پيدا مي كند، زماني كه ابزاري آلوده به اين شكل به رايانه اتصال پيدا مي كند، كدهاي آن به جستجوي سيستمهاي زيمنس گشته و خود را بر روي هر ابزار USB دار ديگري كه بيابد، كپي خواهد كرد.
تیم کارشناسی بی بی سی معتقد است که این حمله سایبری می تواند در آینده نتایج مخربی برای بخش های امنیت اطلاعات ایران داشته باشد.
ایرنا (خبرگزاری رسمی ایران) نیز در واکنش به گزارش پخش شده تلویزیون فارسی بی بی سی، روز چهارشنبه ۲۷ مرداد (۱۸ اوت) از تشکیل کمیته بحران برای بررسی این موضوع خبر داد.
در ۳۱ تیرماه گذشته، شرکت سیمانتک، یکی از بزرگترین تولیدکننده های ضد ویروس جهان، گزارشی منتشر کرد که حکایت از آلودگی کامپیوترهای جهان به کرمی به نام استاکس نت داشت.
نکته قابل توجه این گزارش، آماری است که نشان می دهد ۶۰ درصد از آلودگی های این کرم درجهان، از آی پی های کاربران ایرانی ارسال شده است.
موضوع زمانی اهمیت پیدا می کند که خصوصیات این کرم کامپیوتری را بدانیم. مقصد اصلی کرم استاکس نت سیستم های کنترل صنعتی است. البته کارشناسان شرکت زیمنس آلمان دریافتند که این کرم، برنامه سیستمهای کنترل صنعتی زیمنس به نام اسکادا را هدف قرار داده است.
اسکادا در کارخانه های تولیدی، نیروگاههای برق ، تصفیهخانههای آب، صنایع نفت و گاز و برخی از آزمایشگاه های پیشرفته استفاده می شود.
این سیستم ها حتی در برخی از کشتی ها و نیروی دریایی نیز کاربرد دارد.
این کرم به کامپیوترهای شخصی نیز وارد می شود و تکثیر می یابد اما فقط در سیستم های صنعتی فعالیت خود را شروع می کند.
رابرت مک میلان:
کرم استاکس نت پس از رسیدن به این سیستمها، شروع به جمع آوری اطلاعات محصولات آن کارخانه، روند تولید و حتی اطلاعات ذخیره موجود در سیستم می کند. سپس از طریق اتصال به اینترنت اطلاعات را به مقصد نامعلومی ارسال می کند.
این کرم جاسوس توانایی انتقال از طریق یو اس پی به کامپیوتر را دارد و بعد از ورود به اولین کامپیوتر می تواند به صورت خزنده از طریق هر شبکه ای از جمله اینترنت به کامپیوترهای دیگر وارد شود.
یک ماه قبل از گزارش سیمانتک، اولین بارشرکت ویروس بلوک آدا بلاروس این کرم را شناسایی کرد. کرم درکامپیوتر یکی از مشتریان ایرانی این شرکت پیدا شد.
آمار سیمانتک نیز گویای اختلاف زیاد آلودگیها در ایران در مقایسه با سایرکشورهاست.
ایران با گزارش حدود ۵۹ درصد آلودگی، با اختلاف زیادی بالاتر از رقیب بعدی خود اندونزی با بیش از ۱۸ درصد آلودگی قرار گرفته است.
این موضوع سبب شده است بسیاری از کارشناسان، ایران را هدف اصلی طراحان این کرم جاسوس بدانند.
ازجمله رابرت مک میلان، کارشناس معروف امنیت کامپیوتر از سیلیکون ولی سانفرانسیسکو، مقالات زیادی در این مورد در نشریاتی مانند کامپیوترورلد و پی سی ورلد نوشته است.
او در مصاحبه اختصاصی با بی بی سی فارسی و به نقل از یکی از کارشناسان سیمانتک می گوید: "درتاریخ بیست ساله صنعت امنیت کامپیوتر هرگز نشنیده بود که آلودگی کرمی از ایران شروع شود. این اولین بار است که نوعی از بدافزار در ایران شروع به گسترش می کند. دلیل آن را کسی به درستی نمی داند و این موضوع را رمز آلودتر می کند."
اما ویلاند سیمون سخنگوی شرکت زیمنس معتقد است این نظریه که ایران هدف اصلی کرم استاکس نت است می تواند تنها یک توهم باشد. چرا که ما فقط به گزارش شرکت سیمانتک که تولید کننده ضد ویروس نورتون است استناد می کنیم.
اطلاعات بی بی سی فارسی نشان می دهد آخرین آزمایش های زیمنس حاکی از غیرفعال بودن سرور دریافت کننده درحال حاضر است که امکان ردیابی مقصد کرم را غیر ممکن میسازد.
شاید گزارش شرکت های دیگر نشان بدهد آلودگیها در کشورهای دیگر بیشتر است. از طرفی ۹ اسکادا آلوده که کرم فعال در آنها پیدا شده در اروپا قرار دارند و یکی از ۹ سیستم آلوده در آلمان است.
به نظر نمی رسد این استدلال بتواند در مورد کاهش آلودگی در ایران درست باشد. چرا که سیمانتک یکی از بزرگترین تولید کنندههای ضد ویروس در جهان است و در ایران هم نمایندگی فروش دارد.
از طرفی هنوز گزارشی از بررسی سیستم های اسکادا در ایران به وسیله کارشناسان غربی منتشر نشده است. بنابراین، نباید انتظار داشت به همان سرعتی که در اروپا سیستمهای آلوده اسکادا پیدا می شوند، در ایران هم که این سیستم ها می توانند در صنایع حساس به کار رفته باشند، به وسیله کارشناسان غربی پیدا شوند.
همچنین سخنگوی زیمنس معتقد است بسیاری از این گزارش های آلودگی متعلق به کامپیوترهای شخصی است که البته می تواند استدلال درستی باشد.
اما با درنظر گرفتن تعداد بالای نسخه های ضدویروس غیراصل و قفل شکسته در کامپیوترهای شخصی که امکان ارسال گزارش را ندارند می توان نتیجه گرفت گزارش های ارسالی از کامپیوترهای شرکت های معتبر، مراکز تولیدی و حتی دولتی ارسال شده است.
آقای مک میلان می گوید: "این کرم به کامپیوترهای شخصی نیز وارد می شود، تکثیر می یابد اما فقط در سیستم های صنعتی فعالیت خود را شروع می کند."
آلودگی کامپیوترهای صنعتی ایران به این کرم جاسوس می تواند از این جهت برای مسئولین ایرانی نگران کننده باشد که توسط کرم جاسوس اطلاعات مربوط به فعالیت های هسته ای و نظامی ایران درناشناخته ترین واحدهای صنعتی یا دانشگاهی ایران قابل پیگیری است.
دسترسی کشورهای غربی و اسراییل به این اطلاعات می تواند مدارک لازم برای تحریم شبکه های ناشناخته درگیر با صنایع هسته ای و نظامی ایران را فراهم کند.
مک میلان معتقد است پیچیدگی های این کرم کامپیوتری و اهداف آن نشان می دهد که این کرم به وسیله یک نفر یا هکرهای خانگی برنامه نویسی نشده است. این مطلب را سیمون، سخنگوی زیمنس نیز تایید می کند. او همچنین به بی بی سی فارسی گفت: " کسی که این کرم را ساخته اطلاعات دقیقی از سیستم های کنترل صنعتی زیمنس داشته است."
سرمایه زیادی لازم است تا بتوان اسکادا در اختیار داشت و برای آن بدافزار طراحی کرد. همین دلایل باعث شده که کارشناسان به این باور برسند که یک سازمان بزرگ یا دولت کشوری این کرم جاسوس را طراحی کرده است.
سخنگوی زیمنس همچنین گفت: "شانزده سال از ساخت و فروش اسکادا در جهان می گذرد و چندین هزار اسکادا درصنایع مختلف سراسر جهان فعال هستند. از طرفی زیمنس پیشرو سیستم های کنترل صنعتی درجهان است، بنابراین سیستم های زیمنس می تواند بهترین طعمه برای کسب اطلاعات صنعتی باشد."
اما سئوال اصلی این است که چه سازمانی یا دولتی پشت این قضیه است؟ سئوالی که پاسخ درستی نمی توان به آن داد. چرا که با وجود ردیابی ۲ سرور دریافت کننده اطلاعات درمالزی، نمی توان به طور قطع گفت چه آی پی، در کجای جهان، مقصد نهایی دریافت کننده اطلاعات است؟
تنها می توان با ارجاع به خبرچهارم مهرماه ۱۳۸۸ خبرگزاری رویتر یادآور شد که اسراییل یک سال پیش در پی حمله سایبری به ایران بوده است.
برخی از کارشناسان می گویند گسترش این کرم جاسوس در سراسر جهان از دی ماه سال گذشته شروع شده است. بنابراین احتمالا اطلاعات زیادی توسط این جاسوس به مقصد مورد نظر ارسال شده است.
اطلاعات بی بی سی فارسی نشان می دهد آخرین آزمایش های زیمنس حاکی از غیرفعال بودن سرور دریافت کننده درحال حاضر است که امکان ردیابی مقصد کرم را غیر ممکن می سازد.
پس از شناسایی کرم استاکس نت درجهان و گزارش سیمانتک، خبرگزاری های ایران به طور محدودی به اطلاع رسانی درباره این حمله سایبری پرداختند.
زیمنس برای مقابله با این حمله سایبری، ضدویروسی در اینترنت قرار داده است. اما هیچکس بطور قطع نمی داند حفره امنیتی که کرم استاکس نت در صنایع ایران ایجاد کرده است، همچنان وجود دارد یا نه؟
عضو هيات رييسه سنديكاي توليدكنندگان فنآوري اطلاعات گفت: به كليه سازمانها، افراد و شركتهاي صنعتي و غيرصنعتي درباره كرمي كه اخيرا بسياري از رايانههاي ايراني را آلوده كرده، نامه نوشته و به آنها هشدار دادهايم.
ويدا سينا در گفتوگو با خبرنگار خبرگزاري دانشجويان ايران (ايسنا)، در اين باره توضيح داد: متاسفانه درباره كرم اخيري كه حدود 60 درصد از رايانههاي ايراني را آلوده كرده اطلاعرساني مناسبي نشده و البته هيچ متولي مشخصي نيز در اين زمينه در كشور وجود ندارد.
وي با بيان اينكه وزارت ارتباطات و فنآوري اطلاعات بايد در زمينه اطلاعرساني درباره ويروسها و كرمهاي آلودهكننده قويتر عمل كند، عنوان كرد: حتي ستاد پيشگيري از حوادث غيرمترقبه در كشور ميتواند در اين زمينه فعالتر عمل كند، چرا كه آلودگي 60 درصد از رايانههاي كشور به اين كرم خطر كمتري نسبت به زلزله يا سيل ندارد.
سينا با ابراز تاسف از اينكه هشت ماه پس از شروع آلودگي رايانههاي ايراني به اين كرم تازه هماكنون درباره آن در كشور اطلاعرساني ميشود، عنوان كرد: شركتهاي صنعتي به ويژه شركتهاي تحت پوشش وزارت نيرو كه با زيمنس در ارتباطند، هدف اصلي اين آلودگي بودند.
عضو هيات رييسه سنديكاي توليدكنندگان فنآوري اطلاعات خاطرنشان كرد: متاسفانه هماكنون سازمان خاصي در كشور متولي اطلاعرساني درباره آلودگي كرمها و ويروس ها نبوده و كسي نيز مسووليت اين حوزه را نميپذيرد؛ بنابراين برآوردي از خسارات ناشي از اين آلودگي نيز وجود ندارد.
وي خاطرنشان كرد: هميشه نميتوان جلوي آلودگي رايانهها به كرمها و ويروسها را گرفت، اما ميتوان به شيوه مناسبي با آنها مقابله كرد.
در همين حال محسن حاتم، معاون وزير صنايع و معادن چندي پيش با اشاره به ورود كرم جاسوس به سيستمهاي صنعتي كشور، از تشكيل تيم مشتركي از وزارتخانههاي صنايع و ارتباطات جهت مقابله با اين كرم خبر داد و اعلام كرد كه واحدهاي صنعتي براي حفاظت از اطلاعات توليديشان بايد از اتصال رايانههاي خود به اينترنت جلوگيري كنند.
ویروس بلوک آدا بلاروس این کرم را شناسایی Xآلودگی کامپیوترهای صنعتی ایران به این کرم جاسوس Xجاسوس Xسيستمهاي Xهمه آن چیزی که باید درباره استاکس نت بدانید Xحملهي استاكس نت به دليل نداشتن سيستم مديريت امنيت در كشور بود Xکرم استاکس نت چیست؟ Xروت کیت سارق، به دنبال نفوذ در کامپیوترهای اداری هند و ایران Xنرم افزارهای مخرب جدید واقع ادامه دهنده راه بدافزار استاکس نت هستند و می توانند Xکرم صنعتی استاکس نت در میزگرد امنیت اطلاعات دنیایاقتصاد امنیت Xاستاکس نت در واقع یک بدافزار است که ترکیبی از یک روتکیت و یک تروجان Xاخبار IT و تکنولوژی