ویروس استاکس چگونه وارد ایران شده است؟

مجید جویا: استاکس‌نت، اولین کرم در نوع خود است که می‌تواند به زیرساخت‌های حساسی مانند نیروگاه‌های برق و شبکه‌های قدرت حمله کند؛ چیزی که کارشناسان سال‌ها بود که منتظر ظهورش بودند.

در روز 26 سپتامبر / 4 شهریور، خبرگزاری جمهوری اسلامی گزارش داد که کامپیوترهای نیروگاه هسته‌ای بوشهر مورد حمله کرم استاکس‌نت قرار گرفته و به آن آلوده شده‌اند. نیوساینتیست در گزارشی به این کرم و اهمیت آن پرداخته است.

هیاهو بر سر یک کرم؟ چرا؟
ویروس‌های کامپیوتری، کرم‌ها و تروژان‌ها عمدتا به کامپیوترهای شخصی و یا سرورهایی حمله می‌کنند که تجارت الکترونیک را می‌گردانند. آنها می‌توانند فایل‌ها یا متون کلیدی را پاک کنند و حتی مانع دسترسی به وب‌سایت‌ها شوند، ولی هیچ‌گاه زندگی بشر را به مخاطره نیانداخته‌اند.

اما استاکس‌نت از نوع دیگری است. تا این زمان، این اولین بدافزاری است که توانایی نفوذ به داخل انواع کامپیوترهایی را دارد که دستگاه‌های موجود در قلب صنعت را کنترل می‌کنند، و به حمله‌کننده این امکان را می‌دهند تا کنترل سیستم‌های حیاتی مانند پمپ‌ها، موتورها، هشدار دهنده‌ها و شیرها را در یک محیط صنعتی در دست بگیرند.

در بدترین حالت ممکن، سیستم‌های ایمنی یک نیروگاه هسته‌ای را می‌توان خاموش کرد، در یک تصفیه‌خانه فاضلاب آب سالم را با آب آلوده مخلوط کرد، شیرهای یک خط لوله نفت باز کرد و زمین یا دریا را آلوده کرد.

پاتریک فیتزجرالد، مدیر ارشد بخش هوش مخرب در سیمنتک می‌گوید: «در اختیار گرفتن کنترل سیستم‌های صنعتی مانند یک سد، تصفیه‌خانه یا یک نیروگاه برق توسط حمله‌کننده، کاملا غیرمعمول است و چنین حالتی را به یک خطر بسیار جدی با تاثیرات جهانی بسیار عمیق بدل می‌کند. این واقعه همه چیز را تغییر داد».

چرا برای حمله به یک کارخانه و یا نیروگاه به نوع متفاوتی از کرم‌های اینترنتی نیاز داریم؟
ماشین‌های صنعتی به طور مستقیم با آن نوع از کامپیوترهایی که ما از انها استفاده می‌کنیم، کنترل نمی‌شوند. تجهیزات مورد استفاده در یک فرایند صنعتی توسط سیستم جداگانه اختصاصی به نام کنترل‌گر منطقی برنامه‌پذیر، پی.ال.سی (Programmable Logic Controller) اداره می‌شوند که با نرم‌افزارهای اسکادا (Supervisory Control And Data Acquisition) کار می‌کنند.

با اجرای اسکادا، پی.‌ال.‌سی فرایند را با مرزهای ایمنی مشخص کنترل می‌کند، موتورها را روشن و خاموش می‌کند، مخازن را خاموش می‌کند و با استفاده از بازخورد داده‌ها، فرایند را بدون نیاز به دخالت انسان بهینه می‌کند؛ چیزی که ماهیت اصلی سیتم‌های اتوماسیون را تشکیل می‌دهد.

پس چگونه یک کرم به داخل سیستم می‌رود؟
این کار ساده‌ای‌ نیست، چرا که این نرم‌افزارها بر روی کامپیوترهای معمولی کار نمی‌کنند. شرکت‌هایی که پی‌ال‌سی‌ها را می‌فروشند، هر یک از زبان برنامه‌نویسی خاص خود استفاده می‌کنند؛ و این مسئله‌ای است که کار نفوذ به داخل آنها را برای هکرها سخت کرده است.

با این حال با استفاده از کامپیوترهای معمولی تحت ویندوز که خود این پی‌ال‌سی‌ها را کنترل می‌کنند، راهی برای نفوذ به داخل آنها وجود دارد. یک هکر خارجی با استفاده از 4 نقطه آسیب‌پذیر در ویندوز مایکروسافت موفق شد کد بدافزار استاکس‌نت را در پی‌ال‌سی‌های تولیدی زیمنس آلمان تزریق کند، شرکتی که بیشترین سهم این بازار را در دست خود دارد.

این کار امکان‌پذیر است، زیرا پی‌ال‌سی‌ها ابزاری نیستند که به خوبی محافظت شده باشند. آن‌ها برای مدت چندین سال در جای اصلی خود کار می‌کنند و دسترسی الکترونیکی به آنها از طریق رمزهای عبور معروف آنها است که به ندرت تغییر می‌کنند. حتی هنگامی که وجود استاکس‌نت برملا شد، زیمنس برای پیشنهاد تغییر رمز عبور مردد بود. این کار می‌توانست به آشفتگی گسترده‌ای در سیستم‌ها منجر شود، چرا که سیستم‌های قدیمی‌تر با استفاده از رمزهای عبور قدیمی می‌خواستند با سیستم جدید ارتباط برقرار کنند.

اولین قربانیان استاکس‌نت در کجا بودند؟
به گفته فیتزجرالد به نظر می‌رسد که این کرم، اولین بار در ایران و از طریق یک کارت حافظه ساده یو‌اس‌بی وارد یک کامپیوتر شده باشد. گروه وی در دوبلین ایرلند، از ماه ژوئن، زمانی که این کرم اولین بار توسط یک گروه امنیتی در بلاروس کشف شد، در حال تحلیل و ارزیابی آن هستند.

اولین نقطه آسیب‌پذیر از 4 نقطه آسیب‌پذیر ویندوز، به کد قابل اجرا بر روی یک یو‌اس‌بی این امکان را می‌دهد که به روی کامپیوتر کپی شود. شاید این یواس‌بی به یک کارمند ایرانی نیروگاه داده شده باشد؛ یا خیلی ساده‌تر، در جایی رها شده باشد تا یک فرد کنجکاو از آن استفاده کند! (چه کسی از یک فلش‌مموری بدش می‌آید؟!)

فیتزجرالد می‌گوید: «این کرم سپس با استفاده از نقطه آسیب‌پذیر دوم، از ماشینی به ماشین دیگر بر روی شبکه منتشر می‌شود، و وقتی کامپیوتری را پیدا کند که از اسکادای زیمنس استفاده می‌کند، از طریق اینترنت به حمله‌کننده خارجی خبر می‌دهد».
«دو نقطه آسیب‌پذیر دیگر ویندوز به این کرم اجازه می‌دهد تا سطوح دیگر خود را اجرا کند و به حمله‌کننده امکان بدهد تا کد کامپیوتری با فرمت پی.‌ال.‌سی زیمنس را که با زبانی به نام STL نوشته شده، به پی‌.ال.‌سی تزریق کند. این کد جدید است که می‌تواند به عملکرد خطرناک سیستم منجر شود: شاید هشدارهای سیستم را خاموش کند، یا سطوح دمایی ایمن سیستم را تغییر دهد».

چگونه بفهمیم که استاکس‌نت در کجا فعال است؟
سیمنتک بر مخابره داده‌ها با 2 دامین اینترنتی که این کرم اطلاعات خود را با آن مبادله می‌کند، نظارت می‌کند. گروه فیتزجرالد با علامت‌گذاری جغرافیایی آی‌پی کامپیوترهای آلوده به استاکس‌نت در جریان مبادله داده‌ها با حمله‌کننده، دریافت که 58.8 درصد از کامپیوترهای آلوده در ایران؛ 18.2 درصد در اندونزی، 8.3 در هند، 2.6 درصد در آذربایجان، و 1.6 درصد در آمریکا واقع شده‌اند.

چه کسی کرم را نوشته است؟
هنوز هیچ‌کس پاسخ این سوال را نمی‌داند. ولی کار هر کس که بوده، کاری بسیار سطح بالا و حرفه‌ای انجام داده که برای استفاده از 4 نقطه آسیب‌پذیر ویندوز و همچنین به راه انداختن یک مجموعه از پی.‌ال‌.سی/ اسکادا برای آزمایش آن، نیاز به چیزی دارد که فیتزجرالد آن را « طیف گسترده‌ای از مهارت‌ها» می‌داند.

این امر سبب شده که برخی از مفسران بگویند که احتمالا یک سازمان دولتی با مجموعه گسترده‌ای از منابع تکنیکی در پس استاکس‌نت قرار دارند. اما یادمان نرود که گردش مالی دنیای جرایم کامپیوتری به میلیاردها دلار بالغ می‌شود و بنابراین امکان اخاذی را نیز نباید از نظر دور داشت.

آیا دفاع در برابر استاکس‌نت امکان پذیر است؟
استاکس‌نت شامل یک فایل 600 کیلوبایتی است که هنوز به طور کامل تحلیل نشده؛ اما به گفته بوری ریونر، مدیر فناوری‌های جدید در شرکت امنیت کامپیوتری جهانی EMC، «سرمایه‌گذاری گسترده بر روی امنیت» توسط سازندگان اسکادا/ پی.‌ال.‌سی در شرایط فعلی بسیار حیاتی است. و افراد شاغل در صنایع حساس نیز باید مراقب حمله‌های با استفاده از مهندسی اجتماعی باشند؛ از اهدای حافظه‌های یو‌اس‌بی توسط افراد مختلف گرفته تا حتی کلیک بر روی یک لینک غیرمطمئن که از طریق ای‌میل یا شبکه‌های اجتماعی برای شما ارسال شده است.

رینور اشاره می‌کند که دنیا برای شبکه‌های قدرت هوشمند، به سوی کنترل گسترده‌تر بر روی شبکه‌هایی مانند اینترنت می‌رود: «این امر می‌تواند خطرناک باشد، چرا که چنین شبکه‌هایی به هدف آسان‌تری برای هکرها تبدیل می‌شوند. امنیت شبکه‌های هوشمند باید از همان نقطه آغاز در آنها جاسازی شود».