حمله یک ویروس رایانه ای به سیستمهای صنعتی ایران
«استاکس نت» قربانی میگیرد
«رایانههای ایرانی در معرض تاخت و تاز یک ویروس خطرناک» این خبری است که این روزها بر خروجی اکثر خبرگزاریهای خارجی و داخلی قرار گرفته است.
«رایانههای ایرانی در معرض تاخت و تاز یک ویروس خطرناک» این خبری است که این روزها بر خروجی اکثر خبرگزاریهای خارجی و داخلی قرار گرفته است.
در ابتدا گمان میرفت که این یک حمله معمولی مانند هزاران حمله ویروسی است که روزانه میلیونها رایانه در سراسر جهان را مورد هدف قرار میدهد؛ اما گویا این حمله بسیار جدی بوده و برعکس همیشه، بیشتر رایانههای ایران، اندونزی و هندوستان را مورد هجوم خود قرار داده است. همچنین براساس گزارشهای منتشر شده، رایانههای شخصی در ایران بیش از دیگر کشورها به کرم رایانهای خطرناکی به نام SCADAکه به Stuxnet نیز شهرت دارد، آلوده شده است. گفتنی است که هدف این کرم رایانهای سرقت اطلاعات از سیستمهای کنترل صنعتی است. حتی برخی کارشناسان آن را نخستین تروجانی میدانند که اطلاعات صنعتی را به سرقت میبرد.
نخستین ویروس صنعتی
شاید این اولین باری باشد که یک ویروس تا این سطح وسیع از رایانههای کشور را مورد حمله خود قرار میدهد، چرا که بر اساس اطلاعات جمع آوری شده توسط شرکت امنیتی سیمانتک در حدود 60 درصد از سیستمهای رایانهای که به این ویروس آلوده شدهاند، در ایران قرار دارند.به گفته الیاس لووی، مدیر ارشد فنی بخش پاسخگویی ایمنی سیمانتک، با توجه به تاریخ نشانههای دیجیتالی که از این کرم رایانهای به جا مانده، میتوان گفت این نرمافزار از ماه ژانویه سال جاری میان رایانهها در گردش بوده است.Stuxnet ماه گذشته توسط یک شرکت بلاروسی به نام VirusBlockAda کشف شد. این شرکت در آن زمان اعلام کرد این ویروس را روی سیستم نرمافزاری یکی از مشتریان ایرانی خود کشف کرده است.
هدف: سیستمهای کنترل پروژه زیمنس
نام زیمنس و سیستمهای کنترل پروژه به این ویروس گره خورده است. به گفته کارشناسان امنیتی، این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانههای بزرگ تولیدی و صنعتی مورد استفاده قرار میگیرد بوده و تلاش میکند اسرار صنعتی رایانههای این کارخانهها را روی اینترنت بارگذاری (Upload) کند.
در همین حال مشخص نیست، چرا بیشترین موارد آلودگی در ایران دیده شده است، هر چند این احتمال بسیار تقویت شده که این ویروس مخصوص صنایع ایران طراحی شده باشد. سیمانتک در این زمینه اعلام کرده نمیداند، چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگیهای ویروسی قرار دارند. به گفته لووی، تنها میتوان گفت افرادی که این نرمافزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کردهاند.
شرکت زیمنس که نرم افزارهایش تحت حمله این ویروس قرار گرفته، تعداد مشتریان خود را در ایران اعلام نمیکند، اما به تازگی اعلام کرده دوشرکت آلمانی به واسطه این ویروس آلوده شده اند. بر اساس گزارشهای منتشر شده نرم افزار آنتیویروس رایگانی که طی چند روز گذشته روی وب سایت زیمنس قرار گرفته تاکنون هزار و 500 بار دانلود شده است.سیمانتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک به وجود آمده به منظور اتصال به سرورهای کنترل و فرمان کرم رایانهای به سوی رایانههای خود جمعآوری کرده است. طی دورهای سه روزه رایانههایی که در 14 هزار آدرس IP حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان ارتباط برقرار کنند که این نشان میدهد تعداد کمیاز رایانههای خانگی در سرتاسر جهان به این کرم آلوده شده اند. تعداد دقیق رایانههای آلوده میتواند در حدود 15 تا 20 هزار باشد، زیرا بسیاری از شرکتها برای چند رایانه یک آدرس IP در نظر میگیرند.به این دلیل که سیمانتک میتواند آدرسهای IP مورد استفاده سیستمهای رایانهای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، میتواند تعیین کند کدام رایانه آلوده شده است. به گفته
این شرکت، رایانههای آلوده شده به سازمانهای متعددی تعلق داشتند که از نرم افزار و سیستمهای SCADA استفاده میکردند، ویژگی که به روشنی مورد هدف حمله هکرها بوده است.
بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای USB دار انتقال پیدا میکند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا میکند، کدهای آن به جستوجوی سیستمهای زیمنس گشته و خود را روی هر ابزار USB دار دیگری که بیابد، کپی خواهد کرد.به نوشته سیمانتک دلیل اصلی تولید این ویروس مشخص نیست، اما انگیزههای جاسوسی صنعتی، تروریسم صنعتی یا حتی انگیزههای منفی برخی کارکنان و همچنین انگیزههای کشف اطلاعات محرمانه توسط رقبا ممکن است از جمله دلایل ایجاد این ویروس بوده باشد.
هشدار به کاربران ایرانی
براساس گزارشهای منتشر شده در اکثر سایتهای معتبر دنیا این بدافزار جاسوسی با سوء استفاده از یک آسیبپذیری جدید و اصلاح نشده در ویندوز، به سرعت در حال گسترش است.
در همین زمینه اسماعیل ذبیحی، مسوول اطلاعرسانی شرکت ایمن رایانه پندار، نماینده انحصاری شرکت پاندا در ایران میگوید: «ریشه گسترش این ویروس این حفره امنیتی مربوط به شرکت مایکروسافت است و اگر این حفره امنیتی وجود نداشت این ویروس تا این حد گسترش پیدا نمیکرد، البته شرکت مایکروسافت اصلاحیه موقت خود را منتشر کرده و اگر کاربران از این اصلاحیه استفاده کنند به مشکلی بر نخواهند خورد.» وی در خصوص گسترش این بدافزار در کشور میگوید: «این ویروس تنها دستگاههای scada را مورد حمله قرار میدهد؛ یعنی سیستمهای کنترل مدیریت پروژه در صنایع بزرگ. و از آنجایی که ایران در صنایع بزرگ از محصولات زیمنس استفاده میکند بنابراین بیشتر دچار آسیب شده است. همچنین از آنجایی که این ویروس به صورت نامحسوس است بدون اینکه صاحبان صنایع متوجه شوند اطلاعات نشت پیدا میکند.» براساس اظهارات وی هنوز مشخص نیست که چرا ایران و شرکت زیمنس در این بین قربانی شدهاند. همچنین به گفته وی 13 درصد آلودگیها از طریق ایمیل و دانلود مستقیم از اینترنت صورت گرفته است و بیشترین عامل پخش این ویروس در ایران از طریق USB بوده است با این حال به گفته ذبیحی تاکنون تنها 2
درصد کامپیوتر کشور به این ویروس آلوده شدهاند.
اما علی رضا صالحی، روابط عمومیشرکت کسپراسکای، بر این باور است که این بد افزار آن طور که رسانهها آن را بزرگ جلوه میدهند، خطرناک نیست و مشکل جدی به وجود نخواهد آورد. وی در ادامه میگوید: «این بدافزار جدید که در واقع یک rootkit است، از یک آسیب پذیری در فایلهای shortcut با پسوند .lnk سوء استفاده میکند.
بدافزار مذکور نرمافزار Siemens WinCC Scada را که روی ویندوز 7 نسخه Enterprise و سیستمهای x86 اجرا میشود، آلوده میسازد. این ویروس از طریق درایوهای USB گسترش پیدا میکند و زمانی که یک آیکون Shortcut روی صفحه نمایش قربانی نشان داده میشود، به صورت اتوماتیک اجرا میشود.» وی در ادامه میافزاید: « هدف بدافزار مذکور گرفتن حق دسترسی مدیریتی و دسترسی به دادههای سیستمهای Scada است که معمولا توسط سازمانهای دارای زیرساختهای حیاتی مورد استفاده قرار میگیرد. این بدافزار از نام کاربری و کلمه عبوری که در نرمافزار Siemens به صورت hard-coded وجود دارد، سوءاستفاده میکند.» همچنین گفته میشود که این بدافزار جدید از یک امضای دیجیتالی مربوط به معتبرترین شرکت سختافزاری یعنی Realtek Semiconductor Corporation برای اعتباردهی به درایورهای خود استفاده میکند.
به گفته صالحی پس از انتشار این بدافزار شرکت کسپر اسکای در ۱۳ جولای، شرکت مکافی در ۱۶ جولای و شرکت سیمانتک در ۱۷ جولای آن را شناسایی و برای آن برنامه لازم را نوشته و انتشار داده اند.به گفته کارشناسان یکی از دلایل اصلی انتشار این بدافزار در کشور به ضعف سیستم امنیتی سازمانهای از جمله سازمانهای صنعتی کشور باز میگردد. در این خصوص صالحی میگوید: « در سه سال اخیر توجه به حوزه امنیت پر رنگتر شده و اغلب شرکتها و سازمانهای مهم و بزرگ به سمت استفاده از آنتی ویروسهای اصل روی آوردهاند. طبیعتا کسانی که از آنتی ویروس استاندارد و اصل استفاده میکنند مشکل چندانی نخواهند داشت، اما آن دسته از سازمانیهایی که از آنتیویروس قفل شکسته استفاده میکنند طبیعتا با مشکل مواجه خواهند شد.» به باور وی این دسته از شرکتها نه تنها در این مورد خاص بلکه در اکثر مواقع دچار مشکل میشوند و تنها راهحلی که این شرکتها یا سازمانها را میتواند در مقابل این حملات پشتیبانی کند این است که در کنار اختصاص دادن بودجه به سایر موارد سازمان خود به بخش امنیت اطلاعات خود نیز توجه ویژهای نشان دهند.
صالحی در ادامه یادآور میشود از آن جایی که این ویروس، آنطور که گفته میشود خطرناک نیست کمتر کاربران خانگی را مورد هدف قرار میدهد، اما کاربران میتوانند با استفاده از آنتیویروسهای اصل و استفاده از اصلاحیه شرکت مایکروسافت ضریب امنیت دستگاه خود را بالا ببرند.
ارسال نظر