کرم Stuxnet بدافزاری است که چنان در استفاده از آسیب پذیریهای اصلاح نشده ماهر است و چنان در کار خود پیچیده عمل میکند که آن دسته از متخصصان امنیتی که در مورد آن تحقیق کرده اند، معتقدند که ممکن است این بدافزار کار متخصصانی با پشتوانه قوی باشد. این بدافزار هم زمان چهار نقص امنیتی اصلاح نشده ویندوز را مورد سوء استفاده قرار میدهد که سوء استفاده از این تعداد آسیب پذیری برای یک بدافزار بسیار زیاد است.
Stuxnet که نخستین بار در اواسط جولای توسط شرکت کوچک امنیتی VirusBlokAda در بلاروس گزارش شد، یک ماه بعد زمانی که مایکروسافت تایید کرد که این کرم در حال هدف قرار دادن سیستمهای ویندوز در مدیریت سیستمهای کنترل صعنتی بزرگ است، به شهرت رسید.
این سیستمهای کنترلی اغلب با عنوان SCADA (Supervisory Control And Data Acquisition) شناخته میشوند. این سیستمها هر چیزی را، از سایتهای نیروگاهی گرفته تا خطوط انتقال نفت، کنترل میکنند.
محققان ابتدا اعتقاد داشتند که Stuxnet صرفا از یک آسیب پذیری اصلاح نشده در ویندوز سوء استفاده کرده و از طریق درایوهای USB منتشر میشود. به گفته محققان سایمانتک، ایران جدی ترین هدف این کرم بوده و در ماه جولای نزدیک به 60 درصد از تمامی سیستمهای آلوده، در ایران قرار داشتند. در روز دوم آگوست، مایکروسافت یک به روز رسانی فوری برای اصلاح این نقص عرضه کرد. در این زمان Stuxnet به عنوان کرم سوء استفاده کننده از میانبرهای ویندوز شناخته میشد.
اما برخلاف انتظار مایکروسافت، Stuxnet میتوانست همزمان از چهار آسیب پذیری برای دسترسی به شبکه های شرکتها استفاده کند. به گفته محققان، پیش از این دیده نشده است که یک بدافزار به طور همزمان از چهار آسیب پذیری اصلاح نشده استفاده کند. زمانی که این کرم به یک شبکه دسترسی پیدا میکند، به دنبال کامپیوترهای خاصی میگردد که سیستمهای SCADA را که توسط نرم افزاری از شرکت زیمنس کنترل میشوند، مدیریت میکنند.
محققان Kaspersky و سایمانتک با در دست داشتن نمونه ای از Stuxnet، کد این بدافزار را مورد بررسی و تحلیل عمیق قرار دادند تا به اطلاعات بیشتری در مورد آن دست پیدا کنند. این دو شرکت به طور جداگانه کد حمله ای را که سه آسیب پذیری اصلاح نشده دیگر ویندوز را هدف قرار داده بود، پیدا کردند.
به گفته یکی از محققان Kaspersky، نخست ظرف مدت یک هفته تا یک هفته و نیم، حفره print spooler توسط محققان این شرکت پیدا شد. سپس حفره EoP (تغییر حق دسترسی) ویندوز نیز توسط این شرکت امنیتی کشف شد. پس از آن حفره دوم EoP نیز توسط محققان مایکروسافت پیدا شد.
هر دو شرکت نتایج فعالیتهای خود را به مایکروسافت گزارش کردند که باعث شد آسیب پذیری print spooler به سرعت اصلاح شده و وعده اصلاح دو آسیب پذیری کم خطرتر EoP در به روز رسانی امنیتی بعدی نیز داده شود.
اما عجایب Stuxnet به اینجا ختم نمیشود. این کرم همچنین از یک حفره ویندوز که در سال 2008 توسط به روز رسانی MS08-067 اصلاح شده بودنیز استفاده میکند. این نقص امنیتی همان آسیب پذیری مورد استفاده کرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود که به میلیونها سیستم در سراسر جهان آسیب وارد کرد.
زمانی که Stuxnet از طریق USB وارد یک شبکه میشود، با استفاده از آسیب پذیریهای EoP حق دسترسی admin به سایر PC ها را برای خود ایجاد میکند، سیستمهایی را که برنامه های مدیریت WinCC و PCS 7 SCADA اجرا میکنند پیدا میکند، کنترل آنها را با سوء استفاده از یکی از آسیب پذیریهای print spooler یا MS08-067 در اختیار میگیرد، و سپس کلمه عبور پیش فرض زیمنس را برای در اختیار گرفتن نرم افزار SCADA آزمایش میکند. سپس مهاجمان میتوانند نرم افزار PLC (programmable logic control) را مجددا برنامه ریزی کنند تا دستورات جدید را مطابق میل خود صادر نمایند.
نکته قابل توجه این است که این کد حمله معتبر و قانونی به نظر میرسد، چرا که افرادی که پشت Stuxnet قرار دارند، حداقل دو گواهی دیجیتالی امضا شده را سرقت کرده اند.
به گفته محقق شرکت امنیتی Kaspersky، سازماندهی و پیچیدگی اجرای کل بسته بسیار قابل توجه است. به عقیده وی، هر کسی که پشت این بدافزار قرار دارد، قصد دارد به تمام داراییهای شرکت یا شرکتهای هدف خود دست یابد.
یک محقق امنیتی دیگر نیز معتقد است که تیمی متشکل از افرادی با انواع تخصصها و پیش زمینه ها از Rootkit گرفته تا پایگاه داده، این بدافزار را ایجاد کرده و هدایت میکنند. این بدافزار که تقریبا نیم مگابایت حجم دارد، به چندین زبان از جمله C، C++ و سایر زبانهای شیء گرا نوشته شده است. به گفته وی، تیم ایجاد کننده این بدافزار نیاز به سخت افزار فیزیکی واقعی برای تست داشته اند و به خوبی میدانند که یک کارخانه خاص چگونه کار میکند. بنابراین ایجاد و استفاده از این بدافزار قطعا یک پروژه بزرگ بوده است.
یک راه که این مهاجمان با استفاده از آن ریسک شناسایی شدن را کم کرده اند، قرار دادن یک شمارنده در USB آلوده است که اجازه انتشار بدافزار از طریق یک USB خاص به بیش از سه کامپیوتر را نمیدهد. این بدان معناست که مهاجمان سعی کرده اند با جلوگیری از گسترش بیش از اندازه این بدافزار، آن را در سازمان هدف خود نگاه داشته و به این ترتیب از شناسایی آن جلوگیری نمایند.
زمانی که این بدافزار وارد شبکه یک شرکت میشود، فقط در صورتی از آسیب پذیری MS08-067 استفاده میکند که بداند هدف، بخشی از یک شبکه SCADA است. در اغلب شبکه های SCADA هیچگونه عملیات ثبت (logging) انجام نمیشود و این شبکه ها دارای امنیت محدود بوده و به ندرت اصلاحیه ای در مورد آنها منتشر میشود. همین مساله باعث میشود که سوء استفاده از آسیب پذیری MS08-067 که مدتهاست اصلاح شده است، برای این کار موثر و مفید باشد.
تمام این مسائل، تصویری ترسناک از Stuxnet میسازد. محققان سایمانتک و Kaspersky معتقدند که با توجه به شناسایی کاملی که این کرم انجام میدهد و پیچیدگی کار آن و خطرناک بودن حمله آن، این بدافزار حتی نمیتواند صرفا کار یک گروه حرفه ای جنایتکار سایبری باشد.
محقق امنیتی شرکت سایمانتک معتقد است که این به هیچ عنوان نمیتواند کار یک گروه خصوصی باشد. چرا که مهاجمان صرفا به دنبال اطلاعات برای حذف رقیب نبوده اند. آنها قصد داشته اند PLC ها را مجددا برنامه ریزی کرده و کار سیستمها را به چیزی غیر از آنچه که صاحبان آنها میخواهند، تغییر دهند که این چیزی بیش از جاسوسی صنعتی است. به گفته وی، منابع و هزینه مورد نیاز برای این حمله، آن را خارج از قلمرو یک گروه هک خصوصی قرار میدهد.
این حمله به طور خاص ایران را هدف گرفته بود. محقق امنیتی Kaspersky معتقد است که با در نظر گرفتن تمامی این شرایط، محتملترین سناریو در مورد این بدافزار، یک گروه هک وابسته به سرویسهای جاسوسی حکومتی یک کشور است.
به گفته محقق امنیتی سایمانتک، این یک پروژه بسیار مهم برای افرادی است که در پشت آن قرار دارند که هزینه ها و ریسک بالایی نیز داشته است.
همچنین اگرچه زیمنس ادعا میکند که 14 سایت آلوده به Stuxnet که توسط این شرکت کشف شده اند، توسط این بدافزار خراب نشده و یا تحت تاثیر آن قرار نگرفته اند، اما محققان امنیتی سایمانتک و Kaspersky در این باره مطمئن نیستند.
متخصصان در مورد زمان آغاز به کار این بدافزار اتفاق نظر ندارند. Kaspersky آغاز فعالیت این بدافزار را در جولای 2009 میداند، در حالی که سایمانتک معتقد است که شروع این حملات به ژانویه 2010 برمیگردد. اما همگی معتقدند که این کرم ماهها بدون شناسایی شدن به کار خود ادامه داده است. این محققان فکر میکنند که این بدافزار توانسته باشد پیش از شناسایی شدن، به اهداف خود برسد.
Cert/cc
