گزارش سایمانتک از Stuxnet
اخیراً یک بدافزار خطرناک به نام Stuxnet در همه کشورهای جهان و به خصوص ایران گسترش پیدا کرده است که هدف آن ایجاد اختلال در شرکت ها و سازمان های مرتبط با زیرساخت های حیاتی همچون نیروگاه ها است. بدافزار مذکور با سوءاستفاده از یک حفره امنیتی در ویندوز گسترش پیدا می کند و به دنبال سیستم هایی است که از نرم افزار WinCC Scada که متعلق به زیمنس است، استفاده می کنند. نرم افزار مذکور معمولاً توسط سازمان های مرتبط با زیرساخت های حیاتی مورد استفاده قرار می گیرد. شرکت سایمانتک در این رابطه اطلاعاتی را منتشر ساخته است که در ادامه می آید. بنا بر اطلاعات ارائه شده توسط سایمانتک، کرم رایانه ای Scada که هدف آن شرکت ها و سازمان های مربوط زیرساخت های حیاتی هستند، نه تنها به سرقت اطلاعات می پردازد، بلکه یک back door را نیز بر روی سیستم قربانی قرار می دهد تا بتواند از راه دور و به طور مخفیانه کنترل عملیات زیرساخت های مذکور را در اختیار گیرد. کرم Stuxnet، شرکت های مربوط به سیستم های کنترل صنعتی در سراسر جهان را آلوده ساخته است، با این وجود بنا بر گزارش های دریافت شده، بیشتر آلودگی ها در ایران و هند مشاهده شده است. همچنین کرم مذکور توانسته است به صنعت انرژی در ایالات متحده آمریکا نیز وارد شود.
با وجود اینکه سایمانتک اطلاعات دقیقی از شرکت های آلوده شده دارد، از افشای اطلاعات در مورد نام و تعداد شرکت های آلوده شده به دلیل مسائل امنیتی خودداری می کند. سایمانتک اطلاعات خود در اینباره را از طریق نظارت بر ارتباطاتی که دستگاه های آلوده با سرور command and control بدافزار Stuxnet برقرار می کرده اند، به دست آورده است. آنها با شرکت های آلوده شده تماس گرفته و به آنها در مورد چگونگی مقابله با این بدافزار آگاهی داده اند. بنا بر نظر محققان امنیتی، بدافزار مذکور یک توسعه جدی در زمینه تهدیدات رایانه ای محسوب می شود و متأسفانه کنترل سیستم های فیزیکی در محیط های کنترل صنعتی را در اختیار هکرها قرار می دهد. این بدافزار که تیتر اخبار ماه گذشته بود، برای سرقت کد و طرح پروژه هایی نوشته شده است که از نرم افزار Siemens Simatic WinCC استفاده می کنند. از نرم افزار مذکور معمولاً برای کنترل سیستم های صنعتی و سیستم های زیرساخت های حیاتی مانند سیستم های آب و برق استفاده می شود. این بدافزار از نام کاربری و کلمه عبوری که در نرم افزار زیمنس به صورت hard-coded وجود دارد سوءاستفاده می کندو همچنین بدافزار مذکور از گواهینامه های معتبر ولی انقضا یافته Realtek Semiconductor Corporation برای اعتباردهی به درایوهایش استفاده می کند. از طرف دیگر مشخص شده است که بدافزار Stuxnet یک کد رمزنگاری شده را بر رویProgrammable Logic Controllers (PLCs) سیستم قربانی بارگذاری می کند که از آن برای کنترل اتوماسیون پروسه های صنعتی استفاده می شود. در حال حاضر هنوز فعالیت های کد مذکور به صورت دقیق مشخص نشده است. یک مهاجم با استفاده از back door می تواند از راه دور به انجام فعالیت هایی همچون دریافت فایل ها، اجرای پردازه ها، پاک کردن فایل ها و فعالیت های مشابه بپردازد. وی همچنین امکان این را دارد که در فعالیت های حیاتی یک کارخانه تداخل ایجاد کند و کارهایی مانند بستن دریچه ها و خاموش کردن سیستم های خروجی را انجام دهد. بنا بر گفته یکی از محققان امنیتی، مهاجمان می توانند برای مثال در یک نیروگاه تولید انرژی، نقشه چگونگی عملکرد ماشین آلات فیزیکی را دریافت کرده و آنها را تحلیل کنند تا دریابند چگونه می توانند تغییرات مورد نظر خود را در آنها اعمال کنند. سپس کد دلخواه خود را وارد ماشین آلات کرده تا شیوه عملکرد آنها را تغییر دهند. کرم Stuxnet با سوءاستفاده از یک حفره امنیتی در ویندوز، خود را منتشر می سازد. حفره امنیتی مذکور که در همه نسخه های ویندوز وجود دارد مربوط به پردازش فایل های میان بر (shortcut) با پسوند .lnk است. این ویروس از طریق درایوهای USB، سیستم های قربانی را آلوده می سازد، با این وجود بنا بر اطلاعات ارائه شده توسط مایکروسافت، این ویروس همچنین می تواند در یک وب سایت، اشتراک های شبکه از راه دور یا در فایل های Word نیز مخفی شده و از این طرق به گسترش آلودگی بپردازد.
مایکروسافت یک اصلاحیه فوری را برای برطرف ساختن نقص امنیتی مذکور منتشر کرده است، ولی تنها نصب اصلاحیه، نمی تواند از سیستم هایی که از نرم افزار زیمنس استفاده می کنند، محافظت به عمل آورد زیرا این بدافزار قادر است کد خود را در سیستم های مذکور مخفی کرده و بدون اینکه کسی متوجه شود، در فعالیت های کارخانه و یا نیروگاه مداخله کند. آنها همچنین می توانند فعالیت های جدیدی را برای یک خط لوله و یا یک نیروگاه تعریف کنند که ممکن است صاحبان سیستم متوجه آن نشوند. به همین دلیل سیستم هایی که آلوده شده اند باید کاملاً مورد بازرسی قرار گیرند تا اطمینان حاصل شود به همان شیوه ای که مورد انتظار است، کار می کنند. واضح است که انجام بازرسی مذکور بسیار سخت و زمان بر و در عین حال ضروری است. در واقع علاوه بر نصب اصلاحیه لازم است، پاکسازی کامل در مورد رایانه های آلوده نیز انجام شود. محققان امنیتی سایمانتک می دانند که بدافزار Stuxnet قابلیت انجام چه کارهایی را دارد ولی نمی دانند که این بدافزار دقیقاً چه کاری را بر روی سیستم های آلوده انجام می دهد. برای مثال آنها می دانند که بدافزار مذکور داده ها را مورد وارسی قرار می دهد و همچنین با توجه به تاریخ، فعالیت های متفاوتی را انجام می دهد ولی هنوز در مورد فعالیت های مذکور چیزی نمی دانند. یکی از محققان امنیتی درباره انتشار این بدافزار عقیده دارد که این وضعیت نشان دهنده مشکلاتی فراتر از تنها یک کرم رایانه ای است و مشخص کننده مشکلات امنیتی عمده ای در بخش صنعت است. به نظر وی مردم درک نمی کنند که نمی توانند تنها به راه حل های امنیتی مورد استفاده در دنیای فناوری اطلاعات برای حفظ داده ها در دنیای کنترل صنعتی اکتفا کنند، برای مثال آنتی ویروس ها نتوانستند و نمی توانستند وجود این تهدید ویژه را تشخیص دهند. او می گوید:" آنتی ویروس ها یک احساس امنیت کاذب را ایجاد می کنند، زیرا این ضعف خود را از دید عموم می پوشانند." بنا بر نظر سایمانتک، بدافزار مذکور یک پروژه بزرگ است و یک شرکت جاسوسی صنعتی و یا یک دولت در ورای این حملات قرار دارد زیرا حملات مذکور پیچیده محسوب می شوند. افرادی که در ورای بدافزار مذکور قرار دارند هزینه های زیادی را صرف به دست آوردن کد سوءاستفاده آسیب پذیری جدید و اصلاح نشده در ویندوز، برنامه نویسان ماهر و دانش در مورد سیستم های کنترل صنعتی و همچنین فریب رایانه های قربانی برای پذیرش امضاهای دیجیتالی جعلی کرده اند. در حال حاضر شواهدی مبنی بر اینکه دقیقاً چه کسانی در ورای حملات مذکور قرار دارند، وجود ندارد. بنا به گفته سایمانتک تحلیل بدافزار مذکور همچنان ادامه دارد و به محض اینکه اطلاعات جدیدی در اینباره کشف شود در اختیار عموم قرار داده می شود. برای کسب اطلاعات بیشتر در مورد این بدافزار به راهنمایی امنیتی "راهنما و ابزار رفع بدافزار Stuxnet" مراجعه کرده و فایل ضمیمه را مطالعه فرمایید.
