چکیده: یکی از مخرب ترین ویروس های شناخته شده از زمان ظهور ویروس های مخرب کامپیوتری، ویروس استاکسنت می باشد. این ویروس اولین ویروس شناخته شده می باشد که هدف آن تخریب عملکرد شبکه های صنعتی بوده است. بیشتر محقیق معتقد هستند که این ویروس مخرب توسط آمریکا و اسراییل برای حمله به تاسیسات هسته ای ایران و از کار نداختن سیستم کنترل نیروگاه نطنز طراحی شده اما هنوز این مسئله به صورت قانونی به اثبات نرسیده است.

از زمان اکتشاف استاکسنت در سال ۲۰۱۰، برای اولین بار محققین قربانیان اصلی این ویروس را به عموم اعلام کردند: پنج شرکت ایرانی فعال در اتوماسیون صنعتی.

استاکسنت به عنوان اولین اسلحه سایبری شناخته شده تلقی می‌گردد. گفته می‌شود توسط ایالات متحده و اسرائیل به منظور حمله به برنامه هسته‌ای ایران و کاهش سرعت آن ساخته شده است.

براساس تخمین‌های صورت گرفته این ویروس، که از هر دو قابلیت جاسوسی و کارشکنی برخوردار است، تا هزار سانتریفیوژ غنی‌سازی اورانیوم را در نیروگاه هسته‌ای نزدیک شهر نطنز در ایران را نابود کرده است. درنهایت از کنترل خارج شد و صدها هزار سیستم را در سراسر جهان آلوده کرد و سرانجام در ژوئن ۲۰۱۰ کشف شد.

stuxnet diversity

محققین امنیتی کسپراسکای لب و سیمنتک گزارش دادند  باوجود این که شاید تاسیسات هسته‌ای نطنز هدف اصلی و نهایی خالقین استاکسنت بوده است، قربانیان اولیه پنج شرکت ایرانی بودند که به احتمال قوی در برنامه هسته‌ای کشور دست داشته‌اند. گزارشات مصادف شد با انتشار کتاب “شمارش معکوس تا روز صفر”، کتابی درباره استاکسنت به نویسندگی کیم زتر، که بخش‌هایی از آن براساس مصاحبه‌های صورت گرفته با محققین فعال در این زمینه بود.

هربار که استاکسنت وارد رایانه‌ای می‌شود اطلاعات آن را در یک فایل قابل اجرا ذخیره می‌کند. این اطلاعات عبارتند از: نام رایانه، آدرس آی‌پی آن و گروه یا دامنه‌ای که به آن متعلق است. هنگامی که ویروسی به یک رایانه جدید وارد می‌شود اطلاعاتی درباره سیستم جدید به فایل اصلی آن نیز اضافه می‌کند، درواقع Digital breadcrumbs  ایجاد می‌نماید.

محقق سیمنتک، Liam O Murchu در یک مطلب وبلاگ می‌گوید :

“براساس تحلیل صورت گرفته از فایل‌های لاگ بردکرام، هر استاکسنتی که تا به حال دیده‌ایم منشا بیرونی و خارج از شهر نطنز داشته است. درحقیقت، همانطور که کیم زتر می‌گوید، رد هر نمونه به شرکت‌های خاص درگیر در سیستم‌های کنترل صنعتی برمی‌گردد. این مدرک فنی نشان می‌دهد که استاکسنت از نطنز فرار نکرد تا شرکت‌های بیرونی را آلوده کند بلکه در نطنز پخش شد”

محققین کسپراسکای لب به همین نتیجه دست یافتند و حتی شرکت‌های آلوده شده را “بیمار صفر” نامیدند.

نسخه ۲۰۰۹ استاکسنت، تحت عنوان استاکسنت.A، در ۲۲ ژوئن سال ۲۰۰۹ کامپایل شد، این تاریخ از روی تاریخ نمونه‌های گردآوری شده گرفته شده است. یک روز بعد رایانه‌ای که طبق گفته محققین کسپراسکای به شرکتی تحت عنوان مهندسی فولاد تکنیک تعلق داشت را آلوده کرد. این شرکت در ایران، اصفهان واقع شده است.

این شرکت سیستم‌های اتوماسیونی برای تاسیسات صنعتی ایران می‌سازد و به طور مستقیم با سیستم‌های کنترل صنعتی در ارتباط است،

محققین کسپراسکای :

“بدون شک، شرکت داده و اطلاعات، نقشه‌ها و برنامه‌هایی برای بسیاری از نهادهای تجاری صنعتی بزرگ ایران در شبکه خود دارد. می‌بایست به خاطر داشت که، استاکسنت علاوه بر صدمه زدن به محرک‌ها، از قابلیت جاسوسی نیز برخوردار بوده و اطلاعاتی درباره پروژه‌های STEP 7 از سیستم‌های آلوده بدست آورد.”

در ۷ام جولای ۲۰۰۹، استاکسنت رایانه‌های شرکت ایرانی دیگری تحت عنوان “گروه صنعتی ندا” را آلوده کرد، که طبق گفته وبسایت ایران واچ، در لیست تحریم‌های ایالات متحده قرار داشت. این تحریم توسط وزارت عدلیه به دلیل تولید غیرقانونی و صادرات اجناسی با احتمال کاربرد نظامی اعمال گردید.

در همین روز، استاکسنت رایانه‌های دامنه‌ای تحت عنوان CGI را آلوده کرد. محققین کسپراسکای مطمئن هستند که آن سیستم‌ها به شرکتی دیگر در زمینه اتوماسیون صنعتی تحت عنوان جهان کنترل-گستر تعلق دارند.

فروشنده اتوماسیون صنعتی ایرانی دیگری که در سال ۲۰۰۹ با استاکسنت. اِی آلوده شد، شرکت Behpajooh Co. Elec & Comp. Engineering بود. این شرکت دوباره با استاکسنت.بی در سال ۲۰۱۰ آلوده شد و برای اپیدمی جهانی استاکسنت در سال ۲۰۱۰ بیمار صفر تلقی می‌گردد.

محققین گفتند :

“در ۲۴ آوریل ۲۰۱۰ استاکسنت از شبکه شرکتی به پژوه به شبکه دیگری پخش شد، نام دامنه آن MSCCO بود. طی جستجویی برای تمامی گزینه‌های موجود، به این نتیجه رسیدیم که به احتمال قوی در این حمله قربانی اصلی شرکت فولاد مبارکه (MSC) بود، بزرگترین فولادساز ایران و یکی از بزرگترین صنایع این کشور که در نزدیکی اصفهان واقع شده است، جایی که دو قربانی پیشین – به پژوه و فولاد تکنیک – واقع شده‌اند.

محققین کسپراسکای :

“بدون شک آلوده شدن مجموعه‌ صنعتی که متصل به ده‌ها نهاد تجاری دیگر در ایران است و از تعداد کثیری رایانه در تاسیسات تولیدی خود استفاده می‌کند، واکنش زنجیره‌ای دربر داشت و منتهی به پخش شدن این ویروس در بین هزاران سیستم دیگر در طی دو الی سه ماه شد.”

شرکت دیگری که در سال ۲۰۱۰ توسط استاکسنت.بی آلوده شد، کالای الکتریک بود که در دامنه‌ای تحت عنوان KALA قرار داشت که در نمونه‌های بدافزار ثبت گردیده بود. این هدف ایده‌آل استاکسنت بود، چرا که تولید‌کننده اصلی سانتریفیوژ‌های غنی‌سازی اورانیوم ایران IR-1 است.

محققین کسپراسکای بیان کردند :

“بنابراین، به نظر بسیار منطقی می‌آید که از بین سازمان‌های دیگر این سازمان به عنوان اولین زنجیر در زنجیره آلوده‌سازی برای رساندن ویروس به هدف نهاییش انتخاب شده بود. درحقیقت جای تعجب است که این سازمان در میان اهداف حملات سال ۲۰۰۹ نبود”

مهاجمین مسئول استاکسنت یک مشکل اساسی داشتند – چگونه باید رایانه‌های تاسیساتی که هیچ ارتباط اینترنتی ندارد، همچون نطنز، را آلوده کرد. محققین کسپراسکای گفتند: “هدف‌گیری شرکت‌های “مهم” راه‌حل اصلی بود و جواب هم داد.”

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید