«استاکس نت» قربانی می‌گیرد

در ابتدا گمان می‌رفت که این یک حمله معمولی مانند هزاران حمله ویروسی است که روزانه میلیون‌ها رایانه در سراسر جهان را مورد هدف قرار می‌دهد؛ اما گویا این حمله بسیار جدی بوده و برعکس همیشه، بیشتر رایانه‌های ایران، اندونزی و هندوستان را مورد هجوم خود قرار داده است. همچنین براساس گزارش‌های منتشر شده، رایانه‌های شخصی در ایران بیش از دیگر کشورها به کرم رایانه‌ای خطرناکی به نام SCADAکه به Stuxnet نیز شهرت دارد، آلوده شده است. گفتنی است که هدف این کرم رایانه‌ای سرقت اطلاعات از سیستم‌های کنترل صنعتی است. حتی برخی کارشناسان آن را نخستین تروجانی می‌دانند که اطلاعات صنعتی را به سرقت می‌برد.
نخستین ویروس صنعتی
شاید این اولین باری باشد که یک ویروس تا این سطح وسیع از رایانه‌های کشور را مورد حمله خود قرار می‌دهد، چرا که بر اساس اطلاعات جمع آوری شده توسط شرکت امنیتی سیمانتک در حدود 60 درصد از سیستم‌های رایانه‌ای که به این ویروس آلوده شده‌اند، در ایران قرار دارند.به گفته الیاس لووی، مدیر ارشد فنی بخش پاسخگویی ایمنی سیمانتک، با توجه به تاریخ نشانه‌های دیجیتالی که از این کرم رایانه‌ای به جا مانده، می‌توان گفت این نرم‌افزار از ماه ژانویه سال جاری میان رایانه‌ها در گردش بوده است.Stuxnet ماه گذشته توسط یک شرکت بلاروسی به نام VirusBlockAda کشف شد. این شرکت در آن زمان اعلام کرد این ویروس را روی سیستم نرم‌افزاری یکی از مشتریان ایرانی خود کشف کرده است.
هدف: سیستم‌های کنترل پروژه زیمنس
نام زیمنس و سیستم‌های کنترل پروژه به این ویروس گره خورده است. به گفته کارشناسان امنیتی، این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانه‌های بزرگ تولیدی و صنعتی مورد استفاده قرار می‌گیرد بوده و تلاش می‌کند اسرار صنعتی رایانه‌های این کارخانه‌ها را روی اینترنت بارگذاری (Upload) کند.
در همین حال مشخص نیست، چرا بیشترین موارد آلودگی در ایران دیده شده است، هر چند این احتمال بسیار تقویت شده که این ویروس مخصوص صنایع ایران طراحی شده باشد. سیمانتک در این زمینه اعلام کرده نمی‌داند، چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگی‌های ویروسی قرار دارند. به گفته لووی، تنها می‌توان گفت افرادی که این نرم‌افزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کرده‌اند.
شرکت زیمنس که نرم افزارهایش تحت حمله این ویروس قرار گرفته، تعداد مشتریان خود را در ایران اعلام نمی‌کند، اما به تازگی اعلام کرده دوشرکت آلمانی به واسطه این ویروس آلوده شده اند. بر اساس گزارش‌های منتشر شده نرم افزار آنتی‌ویروس رایگانی که طی چند روز گذشته روی وب سایت زیمنس قرار گرفته تاکنون هزار و 500 بار دانلود شده است.سیمانتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک به وجود آمده به منظور اتصال به سرورهای کنترل و فرمان کرم رایانه‌ای به سوی رایانه‌های خود جمع‌آوری کرده است. طی دوره‌ای سه روزه رایانه‌هایی که در 14 هزار آدرس IP حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان ارتباط برقرار کنند که این نشان می‌دهد تعداد کمی‌از رایانه‌های خانگی در سرتاسر جهان به این کرم آلوده شده اند. تعداد دقیق رایانه‌های آلوده می‌تواند در حدود 15 تا 20 هزار باشد، زیرا بسیاری از شرکت‌ها برای چند رایانه یک آدرس IP در نظر می‌گیرند.به این دلیل که سیمانتک می‌تواند آدرس‌های IP مورد استفاده سیستم‌های رایانه‌ای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، می‌تواند تعیین کند کدام رایانه آلوده شده است. به گفته این شرکت، رایانه‌های آلوده شده به سازمان‌های متعددی تعلق داشتند که از نرم افزار و سیستم‌های SCADA استفاده می‌کردند، ویژگی که به روشنی مورد هدف حمله هکرها بوده است.
بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای USB دار انتقال پیدا می‌کند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا می‌کند، کدهای آن به جست‌وجوی سیستم‌های زیمنس گشته و خود را روی هر ابزار USB دار دیگری که بیابد، کپی خواهد کرد.به نوشته سیمانتک دلیل اصلی تولید این ویروس مشخص نیست، اما انگیزه‌های جاسوسی صنعتی، تروریسم صنعتی یا حتی انگیزه‌های منفی برخی کارکنان و همچنین انگیزه‌های کشف اطلاعات محرمانه توسط رقبا ممکن است از جمله دلایل ایجاد این ویروس بوده باشد.
هشدار به کاربران ایرانی
براساس گزارش‌های منتشر شده در اکثر سایت‌های معتبر دنیا این بدافزار جاسوسی با سوء استفاده از یک آسیب‌پذیری جدید و اصلاح نشده در ویندوز، به سرعت در حال گسترش است.
در همین زمینه اسماعیل ذبیحی، مسوول اطلاع‌رسانی شرکت ایمن رایانه پندار، نماینده انحصاری شرکت پاندا در ایران می‌گوید: «‌ریشه گسترش این ویروس این حفره امنیتی مربوط به شرکت مایکروسافت است و اگر این حفره امنیتی وجود نداشت این ویروس تا این حد گسترش پیدا نمی‌کرد، البته شرکت مایکروسافت اصلاحیه موقت خود را منتشر کرده و اگر کاربران از این اصلاحیه استفاده کنند به مشکلی بر نخواهند خورد.» وی در خصوص گسترش این بدافزار در کشور می‌گوید: «این ویروس تنها دستگاه‌های scada را مورد حمله قرار می‌دهد؛ یعنی سیستم‌های کنترل مدیریت پروژه در صنایع بزرگ. و از آنجایی که ایران در صنایع بزرگ از محصولات زیمنس استفاده می‌کند بنابراین بیشتر دچار آسیب شده است.‌ همچنین از آنجایی که این ویروس به صورت نامحسوس است بدون اینکه صاحبان صنایع متوجه شوند اطلاعات نشت پیدا می‌کند.» براساس اظهارات وی هنوز مشخص نیست که چرا ایران و شرکت زیمنس در این بین قربانی شده‌اند. همچنین به گفته وی 13 درصد آلودگی‌ها از طریق ایمیل و دانلود مستقیم از اینترنت صورت گرفته است و بیشترین عامل پخش این ویروس در ایران از طریق USB بوده است با این حال به گفته ذبیحی تاکنون تنها 2 درصد کامپیوتر کشور به این ویروس آلوده شده‌اند.
اما علی رضا صالحی، روابط عمومی‌‌شرکت کسپراسکای، بر این باور است که این بد افزار آن طور که رسانه‌ها آن را بزرگ جلوه می‌دهند، خطرناک نیست و مشکل جدی به وجود نخواهد آورد. وی در ادامه می‌گوید: «این بدافزار جدید که در واقع یک rootkit است، از یک آسیب پذیری در فایل‌های shortcut با پسوند .lnk سوء استفاده می‌کند.
بدافزار مذکور نرم‌افزار Siemens WinCC Scada را که روی ویندوز 7 نسخه Enterprise و سیستم‌های x86 اجرا می‌شود، آلوده می‌سازد. این ویروس از طریق درایوهای USB گسترش پیدا می‌کند و زمانی که یک آیکون Shortcut روی صفحه نمایش قربانی نشان داده می‌شود، به صورت اتوماتیک اجرا می‌شود.» وی در ادامه می‌افزاید: «‌ هدف بدافزار مذکور گرفتن حق دسترسی مدیریتی و دسترسی به داده‌های سیستم‌های Scada است که معمولا توسط سازمان‌های دارای زیرساخت‌های حیاتی مورد استفاده قرار می‌گیرد. این بدافزار از نام کاربری و کلمه عبوری که در نرم‌افزار Siemens به صورت hard-coded وجود دارد، سوءاستفاده می‌کند.» همچنین گفته می‌شود که این بدافزار جدید از یک امضای دیجیتالی مربوط به معتبرترین شرکت سخت‌افزاری یعنی Realtek Semiconductor Corporation برای اعتباردهی به درایورهای خود استفاده می‌کند.
به گفته صالحی پس از انتشار این بدافزار شرکت کسپر اسکای در ۱۳ جولای، شرکت مکافی در ۱۶ جولای و شرکت سیمانتک در ۱۷ جولای آن را شناسایی و برای آن برنامه لازم را نوشته و انتشار داده اند.به گفته کارشناسان یکی از دلایل اصلی انتشار این بدافزار در کشور به ضعف سیستم امنیتی سازمان‌های از جمله سازمان‌های صنعتی کشور باز می‌گردد. در این خصوص صالحی می‌گوید: ‌« در سه سال اخیر توجه به حوزه امنیت پر رنگ‌تر شده و اغلب شرکت‌ها و سازمان‌های مهم و بزرگ به سمت استفاده از آنتی ویروس‌های اصل روی آورده‌اند. طبیعتا کسانی که از آنتی ویروس استاندارد و اصل استفاده می‌کنند مشکل چندانی نخواهند داشت، اما آن دسته از سازمانی‌هایی که از آنتی‌ویروس قفل شکسته استفاده می‌کنند طبیعتا با مشکل مواجه خواهند شد.» به باور وی این دسته از شرکت‌ها نه تنها در این مورد خاص بلکه در اکثر مواقع دچار مشکل می‌شوند و تنها راه‌حلی که این شرکت‌ها یا سازمان‌ها را می‌تواند در مقابل این حملات پشتیبانی کند این است که در کنار اختصاص دادن بودجه به سایر موارد سازمان خود به بخش امنیت اطلاعات خود نیز توجه ویژه‌ای نشان دهند.
صالحی در ادامه یادآور می‌شود از آن جایی که این ویروس، آن‌طور که گفته می‌شود خطرناک نیست کمتر کاربران خانگی را مورد هدف قرار می‌دهد، اما کاربران می‌توانند با استفاده از آنتی‌ویروس‌های اصل و استفاده از اصلاحیه شرکت مایکروسافت ضریب امنیت دستگاه خود را بالا ببرند.