جزئیات جدید ویروسی که صنایع ایران را هدف قرار داده است

انتشار گزارشاتی جدید درباره ویروس “استاکسنت” نگرانی‌های امنیتی درباره این ویروس را افزایش داده است.

پس از دو هفته گمانه‌زنی‌های مداوم درباره هویت ویروس منتشر شده جدید در میان کاربران ایرانی سرانجام مجله معتبر “بیزینس‌ویک” از طراحی این ویروس با قصد استخراج اطلاعات صنعتی ایران خبر داد.

به نوشته این مجله گزارش اخیر سیمانتک، غول راه‌حل‌های امنیتی جهان، حاکی از آن است که نزدیک به 60 درصد رایانه‌های و دستگاه‌های هوشمند آلوده شده این ویروس در داخل ایران قرار دارند و هند و اندونزی با اختلافی قابل توجه جزو سایر کشورهایی هستند که تهدید این جاسوسی صنعتی را احساس می‌کنند.

تاکنون مارک لوي یکی از مقامات ارشد سیمانتک تاریخ امضاهای جایگذاری شده در این ویروس که به نام استاکسنت (Stuxnet) شهرت یافته است را حدود ژانویه سال گذشته اعلام و تاکید کرده است هرچند هیچ نشانه‌ای از انگیزه واقعی طراحان این ویروس در دست نیست ولی بدیهی است با توجه به آلودگی شدید کشورهایی مانند ایران به استاکسنت طراحان آن دست‌کم به وضوح یک منطقه جغرافیایی خاص را مد نظر داشته‌اند.

به گفته مقام یاد شده در سیمانتک نقش این حقیقت را هم که کاربران ایرانی چندان به استفاده از ویروس‌کش‌ها خو نگرفته‌اند در گسترش سریع این ویروس در ایران نمی‌توان نادیده گرفت.

اسرار صنعتی

به گزارش هفته‌نامه عصر ارتباط، مطابق گزارش سیمانتک استاکسنت که اولین بار توسط آنتی‌ویروس گمنام VBA32 کشف شده به محض ورود به رايانه فایل‌های اسکادا که متعلق به شرکت آلمانی زیمنس است را جستجو می‌کند و می‌کوشد محتویات این فایل‌ها را به سرور مورد نظر خود بفرستد. فایل‌های اسکادا از آن رو حائز اهمیت هستند که در واقع رابط نرم‌افزاری تجهیزات زیمنس برای اداره خط تولید کارخانجاتی با مقیاس تولیدی بزرگ به حساب می‌آیند و از همین رو حاوی جزيیات حیاتی از مجتمع‌های تولیدی و تحقیقاتی موجود در ایران هستند.

زیمنس تا کنون درباره تعداد مشتریانش در ایران و به تبع آن حجم آلودگی سیستم‌های آنها به استاکسنت سکوت اختیار کرده ولی دست‌کم تایید کرده است که دو دفتر آلمانی در ایران به استاکسنت آلوده شده‌اند و یک ابزار نرم‌افزاری رایگان برای شناسایی این ویروس که روی سایت زیمنس قرار داشته ظرف کمتر از یک هفته بیش از یک هزار و 500 بار دریافت شده است که طبیعتا بخش عمده‌ای از آن را کاربران ایرانی تشکیل داده‌اند.

همانگونه که انتظار می‌رفت و در مقاله بیزینس‌ویک هم مورد اشاره قرار گرفته سکوت زیمنس درباره حجم آلودگی سیستم‌هایش در ایران ناشی از فشار دور جدید تحریم‌های ایالات متحده و شورای امنیت در ایران است. به ویژه که در ابتدای سال 2010 زیمنس در یک مانور رسانه‌ای اعلام کرد دفتر خود را در ایران که بیش از 290 کارمند و درآمدی بالغ بر 563 میلیون دلار در سال دارد( گزارش سال 2008 وال‌استریت ژورنال) تعطیل خواهد کرد. وعده‌ای که اکنون با انتشار استاکسنت بار دیگر مورد توجه رسانه‌ها و مقامات غربی قرار گرفته است.

شیوه سیمانتک برای بررسی سطح آلودگی استاکسنت در ایران هم در نوع خود قابل توجه است چراکه این شرکت توانسته حجم ترافیک ارسالی به سرورهای این ویروس‌ را به سمت دامنه خودش هدایت کند که نقش قابل توجهی در اطلاعات دقیق این غول امنیتی درباره ویروس یاد شده دارد. در این فرآیند حدود 14 هزار IP مختلف تلاش کرده‌اند خود را ظرف سه روز به سرور ساختگی سیمانتک متصل کنند که هرچند مطابق شکل شماره دو قسمت عمده‌ای از آنها ایرانی هستند ولی با این وجود خود کارشناسان سیمانتک معتقدند این فقط شمار ناچیزی از تعداد کل دستگاه‌هایی است که به این ویروس خاص آلوده شده‌اند. دلیل این استدلال سیمانتک هم کاملا مشخص است چراکه تعداد زیادی از شرکت‌های ایرانی و حتی خارجی تمامی دستگاه‌های موجود در شبکه‌شان را تحت یک پروتکل اینترنتی با همان IP واحد به اینترنت متصل می‌کنند. به همین دلیل تخمین‌های سیمانتک نشان می‌دهد دست‌کم بین 15 تا 20 هزار دستگاه به استاکسنت آلوده شده باشند که حدود 60 درصد آنها ایرانی هستند.

وبـلاگ رسمی سیمانتک در پورتال blogspot.com تایید کرده است که اکنون کارشناسان سیمانتک هم می‌توانند مانند طراحان ویروس IPهای شرکت‌های آلوده شده را ببینند و همانگونه که انتظار می‌رود در میان آنها اسامی شرکت‌هایی به چشم می‌خورد که از سیستم‌های اسکادای زیمنس استفاده می‌کنند.

ویروس‌شناسی

استاکسنت همانطور که در گزارش پربازخورد عصر ارتباط (مورخ 29 تیرماه) هشدار داده شده بود از امضای دیجیتالی شرکت قدیمی و سرشناس Realtek استفاده می‌کند که به سبب محصولات صوتی‌اش در ایران بسیار شناخته شده است و از طریق USB هم تکثیر می‌شود. اخبار اولیه درباره این ویروس توسط کارشناسان لابراتوار VBA32 به دست عصر ارتباط رسید و در آن تاکید شده بود استفاده از آنتی‌ویروس برای خنثی‌کردن فعالیت‌های استاکسنت ضروری است. هرچند در آن زمان هنوز از کارکرد اصلی آن به عنوان یک ابزار جاسوسی صنعتی، اطلاعاتی در دسترس نبود.

با اندکی تاخیر نسبت به VBA32 و سیمانتک، کارشناسان کمپانی ESET هم به عنوان صاحبان برند تجاری بسیار پرفروش آنتی‌ویروس NOD32 هم به استاکسنت واکنش نشان داده‌اند و با انتشار گزارشی نام کامل این ویروس را Win32/Stuxnet اعلام کرده و با تایید آنکه ویروس‌کش‌های این شرکت آن را تحت عنوان LNK/Autostart.A شناسایی و خنثی می‌کنند آن را ناشی از یک نقص نرم‌افزاری در پوسته ویندوز دانسته است.

مایکروسافت هم در اولین واکنش به مساله همه‌گیر شدن استاکسنت بار دیگر تاکید کرده که وصله امنیتی لازم در این خصوص منتشر شده ولی درباره دستگاه‌هایی که به این ویروس آلوده شده‌اند گفته است حتی با نصب این وصله نرم‌افزاری هم باز مشکل به صورت موقتی رفع خواهد شد. آدرس کامل این وصله امنیتی را می‌توانید در وبلاگ برخط عصر ارتباط به آدرس Online.asreertebat.com مشاهده کنید.

ESET بر خلاف سیمانتک قسمت عمده‌ای از فعالیت ویروس را از آمریکا می‌داند (58 درصد) و تنها 30 درصد حضور ویروس را متعلق به دستگاه‌های ایرانی اعلام کرده است که پس از ایران، روسیه هم با سهمی چهار درصدی از استاکسنت در رتبه سوم قرار گرفته است. لابراتوار شرکت ESET همچنین قسمت عمده خطر انتشار استاکسنت را متوجه زیرساخت‌های صنعتی کشور، به عنوان مثال صنایع بخش نیرو می‌داند و تاکید می‌کند به این ترتیب کاربران خانگی چندان در معرض تهدیدات ناشی از این ویروس نیستند. هنوز مشخص نیست چه چیزی غیر از ماجراهای هسته‌ای اخیر، صنایع آمریکا، روسیه و ایران را به یکدیگر ارتباط می‌دهد.

یکی از نکات عجیب در گزارش لابراتوار ESET جزيیاتی است که این شرکت درباره نحوه انتشار استاکسنت به آنها آشاره کرده است. به گفته یوراه مالکو رییس لابراتوار ESET در براتیسلاوای اسلواکی، این ویروس به محض ورود به فضای سیستم‌ عامل ویندوز بررسی می‌کند که رایانه مورد نظر در قلمرو ایالات متحده قرار گرفته است یا خیر. در صورت منفی بودن این پرسش ویروس به صورت خودکار نرخ تکثیرش را کاهش می‌دهد که نشان می‌دهد طرحان ویروس علاقه‌مند نیستند این ویروس در سایر نقاط جهان نمود چندانی داشته باشد. شاید ما هم اکنون شاهد نسل جدیدی از تروریسم رایانه‌ای باشیم.

همچنین، مایکروسافت در برابر ویروس جدید استاکسنت یک وصله نرم افزاری منتشر کرده است که برای دریافت آن فقط کافی است اینجا کلیک کنید.

Advertisements

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: