گرداب- کرم Stuxnet بدافزاری است که چنان در استفاده از آسیب پذیریهای اصلاح نشده، ماهر است و چنان در کار خود پیچیده عمل میکند که آن دسته از متخصصان امنیتی که در مورد آن تحقیق کردهاند، معتقدند که این بدافزار، کار متخصصانی با پشتوانه قوی و با انگیزه خاص باشد.
آیا Stuxnet قویترین بدافزار تاریخ است؟
نسخه ابتدایی استاکسنت نخستین بار یک و نیم سال پیش از سوی یک شرکت کوچک امنیتی در بلاروس گزارش شد. یک ماه بعد از آن نیز تایید شد که این کرم در حال هدف قرار دادن سیستمهای ویندوز در مدیریت سیستمهای کنترل صعنتی بزرگ است، اما شرکتهای معروف دنیا که علیه بدافزارها کار میکنند در مورد این بدافزار که آن زمان از آسیب پذیریهای سادهتری استفاده میکرد، اطلاع رسانی عمومی نکرده و اقدام خاصی در این باره انجام ندادند.
سیستمهای کنترل صنعتی اغلب با عنوان اسکادا شناخته میشوند و هر چیزی را از سایتهای نیروگاهی گرفته تا خطوط انتقال نفت کنترل میکنند و طبق اعلام رسمی، ایران جدیترین هدف این کرم بوده و بر اساس اولین آمار ارائه شده در دو ماه پیش نزدیک به 60 درصد از تمامی سیستمهای آلوده به این ویروس در ایران قرار داشتند.
به همین دلیل به نظر میرسد این ویروس با اهدافی خاص نیروگاههای اتمی ایران را مورد هدف قرار داده است. استاکس میتواند به طور همزمان از چهار آسیب پذیری برای دسترسی به شبکههای رایانهای استفاده کند. به اعتقاد کارشناسان پیش از این دیده نشده که یک بدافزار به طور همزمان از چهار آسیب پذیری اصلاح نشده استفاده کند.
ساماندهی و پیچیدگی این بدافزار به حدی قابل توجه است که محققان معتقدند کسانی که پشت این بدافزار قرار دارند، قصد دارند به تمام داراییهای شرکت یا شرکتهای هدف خود دست یابد. همچنین محققان امنیتی بر این باورند که تیمی متشکل از افرادی با انواع تخصصها و پیش زمینههای صنعتی و IT این بدافزار را ایجاد کرده و هدایت میکنند.
کارشناسان معتقدند که سطح بالایی از تخصص صنعتی در نوشتن این ویروس مورد استفاده قرارگرفته است و انگیزه عادی یا کسب درآمد در نوشتن آن مطرح نبوده است. به همین دلیل است که گفته می شود یک سازمان یا یک دولت متخاصم علیه ایران ممکن است دست به این اقدام سایبری زده باشد.
به اعتقاد کارشناسان، استاکسنت بسیار پیچیده و در سطح بالایی از تکنولوژی قرار دارد که در نوع خود بی نظیر است. شاید به تعبیری، این کرم جاسوس اولین نمونه ویروسی باشد که به صنعت حمله کرده و خاص صنعت طراحی شده و قویترین بدافزار تاریخ است.
اما با این وجود مسئولان شرکت فناوری اطلاعات کشور معتقدند که این کرم جاسوسی نه تنها تهدیدی برای سیستمهای صنعتی کشور محسوب میشود بلکه تهدیدی برای بیش از یک سوم جمعیت کشور که کاربران اینترنت را تشکیل میدهند نیز هست.
استاکسنت در کمین رایانههای شخصی
معاون شرکت فناوری اطلاعات ایران با تاکید بر اینکه ویروس رایانهای استاکسنت تنها محیط صنعتی را تهدید نمیکند، گفت: «این ویروس نقاط ضعفی را در کامپیوترهای آلوده ایجاد میکند که امکان دسترسی به اطلاعات رایانه کاربران را از راه دور فراهم میسازد.»
حمید علیپور، اظهار داشت: «کرم استاکسنت بسیار خطرناک است و به رغم اینکه محیطهای صنعتی را مورد حمله قرار میدهد، کاربرانی که در منزل از رایانه استفاده میکنند و یا شرکتهای دولتی و خصوصی نیز در معرض تهدید این ویروس قرار دارند.»
وی با تاکید بر اینکه معمولا مهاجمین به اطلاعات، اجازه دسترسی به راههای نفودی که در رایانهها باز کردهاند را نمیدهند و با سرورهای میانی و روشهای کد شده سعی میکنند این راههای نفوذ را حفاظت کرده تا تنها خود از این کامپیوترهای آلوده استفاده کنند، اضافه کرد: «اما آنچه که در این ویروس تعجب آور است این است که راههای نفوذ در دسترس است و هر فردی که کوچکترین اطلاعاتی از هک و جاسوسی الکترونیک داشته باشد میتواند از کامپیوتر آلوده سوء استفاده کند.»
معاون شرکت فناوری اطلاعات گفت: «این بدین معنا است که دری روی رایانههای آلوده باز شده که از طریق اینترنت امکان حمله به رایانه توسط گروهی به جز مهاجمین استاکسنت را فراهم کرده است.»
علیپور گفت: «اگرچه تهدید اولیه این ویروس در ایران بوده اما با توجه به رشد و نفوذی که در سطح دنیا داشته این بدافزار از کنترل خارج شده و در جاهای دیگر دنیا هم در حال توسعه یافتن است.»
نحوه عملکرد و روشهای مقابله با ویروس رایانهای استاکسنت
معاون شرکت فناوری اطلاعات در پاسخ به این سوال که این جاسوس رایانهای چه اطلاعاتی از کاربران خانگی را به سرقت خواهد برد، گفـت: «به نظر نمیرسد هدف اولیه نویسنده این بدافزار سرقت اطلاعات کارتهای اعتباری کاربران خانگی بوده باشد اما این امکان به وجود آمده که هر کامپیوتر آلوده به این ویروس نه تنها از سوی نویسنده این بدافزار بلکه توسط هر فردی که اطلاعات آن را در اینترنت خوانده و نحوه استفاده از آن را یاد گرفته باشد مورد سوء استفاده قرار گیرد.»
وی تصریح کرد: «جزئیات فعلی این بدافزار در وب سایت ماهر "مرکز مدیریت امداد و هماهنگی عملیات رخداد رایانهای" به نشانی www.certcc.ir آمده و مجموعهای از اخبار و اطلاعات و مقالات در بخش توصیههای امنیتی این سایت خاص این ویروس گذاشته شده است.»
علیپور با تاکید بر اینکه نحوه پاکسازی رایانهها در سایت ماهر توضیح داده شده و تمامی اطلاعات به روز رسانی میشود تا کاربران عام در جریان قرار گیرند، ادامه داد: «در زمان حاضر اکثر نرم افزارهای ضد بدافزار و ویروس کشهای مختلف قابلیت پاکسازی ویروس استاکسنت را دارند و اگر کاربران از نرم افزارهای به روز شده ضد ویروس که قابلیت شناسایی داشته باشد استفاده میکنند میتوانند با این بدافزار مقابله کنند.»
کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند
وی با بیان اینکه لیست بدافزارهایی که قابلیت شناسایی آنها وجود دارد روی سایت مرکز ماهر قرار دارد، گفت: «برخی از نرم افزارهای ویروسکش برای کاربران خانگی قابل دانلود و رایگان است.»
معاون شرکت فناوری اطلاعات با اشاره به دیگر نکات لازم برای رعایت کاربران خاطرنشان کرد: «کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند. کسانی که سیستم عامل لینوکس دارند این موضوع را رعایت میکنند اما کاربرانی که از سیستم عامل ویندوز استفاده میکنند باید این موارد را بیشتر رعایت کنند.»
کاربران دو کلمه عبور (User) برای سیستم خود ایجاد کنند
وی ادامه داد: «متاسفانه کاربران ویندوز که اکثر کاربران کشور ما را تشکیل میدهند عادت دارند که یا به اسم (User) مدیر سیستم وارد کامپیوتر شوند و یا با کلمه عبوری (User) که برای خود ایجاد کردهاند، اختیارات مدیر سیستم را میدهند. این موضوع بسیار خطرناک است. به همین دلیل به کاربران توصیه میشود دو کلمه عبور برای سیستم خود ایجاد کنند که به یکی از آنها اختیارات سطح بالای دسترسی و مدیر سیستم را بدهند و به کلمه عبور دیگر این اختیار را ندهند.»
توصیهای برای زمان اتصال به اینترنت یا استفاده از فلش و کول دیسک
وی ادامه داد: «توصیه امنیتی این است که کاربران در حالت عادی به خصوص وقتی میخواهند به اینترنت وصل شوند و یا حافظه جانبی مثل فلش و کول دیسک و هارد اکسترنال به سیستم وصل کنند با حداقل سطح دسترسی لازم برای کار با کامپیوتر(User مهمان که به صورت پیش فرض در ویندوز تعریف شده)، وارد سیستم شوند و زمانی که لازم است نرم افزاری نصب شود یا سطح دسترسی بالاتر در حد مدیر سیستم باشد باUserمدیر و با احتیاط بالاتر وارد سیستم شوند.»
علیپور اضافه کرد: «به این ترتیب ویروسها نمیتوانند درایورهای خود را روی سیستم نصب کنند و حداکثر اگر کامپیوتر را آلوده کرده باشند با یک خاموش روشن شدن سیستم این ویروس پاک میشود. چون ویروس نتوانسته خود را در نقاط کلیدی سیستم کپی کند.»
وی گفت: «در مورد استاکسنت اگر کلمه عبور (User) مدیریت سیستم نباشد کامپیوتر اگر آلوده نشده باشد امکان آلوده شدن آن نیست. چون این ویروس درایورهایی را روی سیستم نصب میکند که برای نصب آنها نیاز به اختیارات مدیر سیستم دارد. پس کاربران این توصیه امنیتی را جدی بگیرند.»
علیپور گفت: «نشانهها و علائم مورد حمله قرار گرفتن سیستمها روی سایت مرکز ماهر موجود است و ضمن اینکه یک فایل اجرایی کوچک توسط مراکز آپای دانشگاه شریف و امیرکبیر نوشته شده و روی وبسایت ماهر قابل دانلود شدن است.»
کنترل ویروس و کاهش سطح آلودگی تا دو ماه آینده
معاون شرکت دیتا با بیان اینکه طبق آمارهای اعلام شده 8 هزار IP آلوده به این ویروس در داخل ایران شناسایی شده است، گفت: «با وجودی که سیستمهای داخل کشور ترجمه آدرس میشوند و آدرسهای خصوصی به جای آدرس عمومی استفاده کاربرد دارند به طور قطع تعداد آلودگی بسیار بیشتر از این رقم است.»
وی با تاکید بر اینکه در حال مشاهده، شناسایی و کنترل کامپیوترهای آلوده به این بدافزار هستیم، گفت: «سعی داریم در برنامه ریزی انجام شده آن را کاهش دهیم.»
نسخههای خطرناکتر استاکسنت در راه هستند
علیپور اضافه کرد: «برنامه حذف این ویروس برای مدت دو ماه بود که با توجه به اینکه این ویروس در حال تغییر و تحول است و نسخههای جدیدتر و خطرناکتر آن نیز در حال انتشار است این زمان تغییر یافت. اما در صورتی که دیگر شاهد تغییراتی در این ویروس نباشیم امیدواریم بتوانیم برنامه دو ماهه را برای آن پیاده سازی کنیم و آلودگی را به سطح قابل قبولی کاهش دهیم.»
وی تصریح کرد: «سطح آلودگی در کنترل و کاهش قرار دارد و اقداماتی برای پاکسازی آغاز شده، اما باید توجه داشت که ویروس کار را رها نکرده و نسخههای جدیدتری را به سمت اهداف خود میفرستد.»
به گفته این مقام مسئول تمامی اقدامات در کشور برای پاکسازی و کنترل این ویروس هماهنگ و مشترک و با مرکزیت مرکز ماهر به عنوان CERT هماهنگ کننده در جریان است.
منبع: مهر