دنیای اقتصاد:5 مرداد 1389 -
«رایانههای ایرانی در معرض تاخت و تاز یک ویروس خطرناک» این خبری است که
این روزها بر خروجی اکثر خبرگزاریهای خارجی و داخلی قرار گرفته است.
در ابتدا گمان میرفت که این یک حمله معمولی مانند هزاران حمله ویروسی است
که روزانه میلیونها رایانه در سراسر جهان را مورد هدف قرار میدهد؛ اما
گویا این حمله بسیار جدی بوده و برعکس همیشه، بیشتر رایانههای ایران،
اندونزی و هندوستان را مورد هجوم خود قرار داده است. همچنین براساس
گزارشهای منتشر شده، رايانههاي شخصي در ايران بيش از ديگر کشورها به کرم
رايانهاي خطرناکی به نام SCADAکه به Stuxnet نیز شهرت دارد، آلوده شده
است. گفتنی است که هدف این کرم رایانهای سرقت اطلاعات از سیستمهای کنترل
صنعتی است. حتی برخی کارشناسان آن را نخستین تروجانی ميدانند که اطلاعات
صنعتی را به سرقت ميبرد.
نخستین ویروس صنعتی
شاید این اولین باری باشد که یک ویروس تا این سطح وسیع از رایانههای کشور
را مورد حمله خود قرار میدهد، چرا که بر اساس اطلاعات جمع آوری شده توسط
شرکت امنیتی سیمانتک در حدود 60 درصد از سیستمهای رایانهای که به این
ویروس آلوده شدهاند، در ایران قرار دارند.به گفته الیاس لووی، مدیر ارشد
فنی بخش پاسخگویی ایمنی سیمانتک، با توجه به تاریخ نشانههای دیجیتالی که
از این کرم رایانهای به جا مانده، ميتوان گفت این نرمافزار از ماه
ژانویه سال جاری میان رایانهها در گردش بوده است.Stuxnet ماه گذشته توسط
یک شرکت بلاروسی به نام VirusBlockAda کشف شد. این شرکت در آن زمان اعلام
کرد این ویروس را روی سیستم نرمافزاری یکی از مشتریان ایرانی خود کشف
کرده است.
هدف: سیستمهای کنترل پروژه زیمنس
نام زیمنس و سیستمهای کنترل پروژه به این ویروس گره خورده است. به گفته
کارشناسان امنیتی، این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا
در کارخانههای بزرگ تولیدی و صنعتی مورد استفاده قرار ميگیرد بوده و
تلاش ميکند اسرار صنعتی رایانههای این کارخانهها را روی اینترنت
بارگذاری (Upload) کند.
در همین حال مشخص نیست، چرا بیشترین موارد آلودگی در ایران دیده شده است،
هر چند این احتمال بسیار تقویت شده که این ویروس مخصوص صنایع ایران طراحی
شده باشد. سیمانتک در این زمینه اعلام کرده نميداند، چرا ایران و دیگر
کشورها به این اندازه تحت تاثیر آلودگیهای ویروسی قرار دارند. به گفته
لووی، تنها ميتوان گفت افرادی که این نرمافزارهای خاص را ساخته اند، آن
را ویژه حمله به این نقاط جغرافیایی خاص طراحی کردهاند.
شرکت زیمنس که نرم افزارهایش تحت حمله این ویروس قرار گرفته، تعداد
مشتریان خود را در ایران اعلام نميکند، اما به تازگی اعلام کرده دوشرکت
آلمانی به واسطه این ویروس آلوده شده اند. بر اساس گزارشهای منتشر شده
نرم افزار آنتیویروس رایگانی که طی چند روز گذشته روی وب سایت زیمنس قرار
گرفته تاکنون هزار و 500 بار دانلود شده است.سیمانتک اطلاعات خود را به
واسطه همکاری با صنایع و تغییر مسیر ترافیک به وجود آمده به منظور اتصال
به سرورهای کنترل و فرمان کرم رایانهای به سوی رایانههای خود جمعآوری
کرده است.
طی دورهای سه روزه رایانههایی که در 14 هزار آدرس IP حضور
داشتند تلاش کردند با این سرورهای کنترل و فرمان ارتباط برقرار کنند که
این نشان ميدهد تعداد کمياز رایانههای خانگی در سرتاسر جهان به این کرم
آلوده شده اند. تعداد دقیق رایانههای آلوده ميتواند در حدود 15 تا 20
هزار باشد، زیرا بسیاری از شرکتها برای چند رایانه یک آدرس IP در نظر
ميگیرند.به این دلیل که سيمانتك ميتواند آدرسهای IP مورد استفاده
سیستمهای رایانهای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند،
ميتواند تعیین کند کدام رایانه آلوده شده است. به گفته این شرکت،
رایانههای آلوده شده به سازمانهای متعددی تعلق داشتند که از نرم افزار و
سیستمهای SCADA استفاده ميکردند، ویژگی که به روشنی مورد هدف حمله هکرها
بوده است.
بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای USB دار انتقال پیدا
ميکند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا ميکند،
کدهای آن به جستوجوی سیستمهای زیمنس گشته و خود را روی هر ابزار USB دار
دیگری که بیابد، کپی خواهد کرد.به نوشته سیمانتک دلیل اصلی تولید این
ویروس مشخص نیست، اما انگیزههای جاسوسی صنعتی، تروریسم صنعتی یا حتی
انگیزههای منفی برخی کارکنان و همچنین انگیزههای کشف اطلاعات محرمانه
توسط رقبا ممکن است از جمله دلایل ایجاد این ویروس بوده باشد.
هشدار به کاربران ایرانی
براساس گزارشهای منتشر شده در اکثر سایتهای معتبر دنیا این بدافزار
جاسوسي با سوء استفاده از يك آسيبپذيري جديد و اصلاح نشده در ويندوز، به
سرعت در حال گسترش است.
در همین زمینه اسماعیل ذبیحی، مسوول اطلاعرسانی شرکت ایمن رایانه پندار،
نماینده انحصاری شرکت پاندا در ایران میگوید: «ریشه گسترش اين ويروس این
حفره امنیتی مربوط به شرکت مایکروسافت است و اگر این حفره امنیتی وجود
نداشت این ویروس تا این حد گسترش پیدا نمیکرد، البته شرکت مایکروسافت
اصلاحیه موقت خود را منتشر کرده و اگر کاربران از این اصلاحیه استفاده
کنند به مشکلی بر نخواهند خورد.»
وی در خصوص گسترش این بدافزار در کشور
میگوید: «این ویروس تنها دستگاههای scada را مورد حمله قرار میدهد؛
یعنی سیستمهای کنترل مدیریت پروژه در صنایع بزرگ. و از آنجایی که ایران
در صنایع بزرگ از محصولات زیمنس استفاده میکند بنابراین بیشتر دچار آسیب
شده است. همچنین از آنجایی که این ویروس به صورت نامحسوس است بدون اینکه
صاحبان صنایع متوجه شوند اطلاعات نشت پیدا میکند.»
بر اساس اظهارات وی
هنوز مشخص نیست که چرا ایران و شرکت زیمنس در این بین قربانی شدهاند.
همچنین به گفته وی 13 درصد آلودگیها از طریق ایمیل و دانلود مستقیم از
اینترنت صورت گرفته است و بیشترین عامل پخش این ویروس در ایران از طریق
USB بوده است با این حال به گفته ذبیحی تاکنون تنها 2 درصد کامپيوتر کشور
به این ویروس آلوده شدهاند.
اما علی رضا صالحی، روابط عموميشرکت کسپراسکای، بر این باور است که این
بد افزار آن طور که رسانهها آن را بزرگ جلوه میدهند، خطرناک نیست و مشکل
جدی به وجود نخواهد آورد. وی در ادامه میگوید: «اين بدافزار جديد كه در
واقع يك rootkit است، از يك آسيب پذيري در فايلهاي shortcut با پسوند
.lnk سوء استفاده ميكند.
بدافزار مذكور نرمافزار Siemens WinCC Scada را كه روي ويندوز 7 نسخه
Enterprise و سيستمهاي x86 اجرا ميشود، آلوده ميسازد. اين ويروس از
طريق درايوهاي USB گسترش پيدا ميكند و زماني كه يك آيكون Shortcut روي
صفحه نمايش قرباني نشان داده ميشود، به صورت اتوماتيك اجرا ميشود.»
وی
در ادامه میافزاید: « هدف بدافزار مذكور گرفتن حق دسترسي مديريتي و
دسترسي به دادههاي سيستمهاي Scada است كه معمولا توسط سازمانهاي داراي
زيرساختهاي حياتي مورد استفاده قرار ميگيرد. اين بدافزار از نام كاربري
و كلمه عبوري كه در نرمافزار Siemens به صورت hard-coded وجود دارد،
سوءاستفاده ميكند.»
همچنین گفته میشود که این بدافزار جدید از یک امضای
دیجیتالی مربوط به معتبرترین شرکت سختافزاری یعنی Realtek Semiconductor
Corporation براي اعتباردهي به درايورهاي خود استفاده ميكند.
به گفته صالحی پس از انتشار این بدافزار شرکت کسپر اسکای در 13 جولای،
شرکت مکافی در 16 جولای و شرکت سیمانتک در 17 جولای آن را شناسایی و برای
آن برنامه لازم را نوشته و انتشار داده اند.به گفته کارشناسان یکی از
دلایل اصلی انتشار این بدافزار در کشور به ضعف سیستم امنیتی سازمانهای از
جمله سازمانهای صنعتی کشور باز میگردد.
در این خصوص صالحی میگوید: «
در سه سال اخیر توجه به حوزه امنیت پر رنگتر شده و اغلب شرکتها و
سازمانهای مهم و بزرگ به سمت استفاده از آنتی ویروسهاي اصل روی
آوردهاند. طبیعتا کسانی که از آنتی ویروس استاندارد و اصل استفاده
میکنند مشکل چندانی نخواهند داشت، اما آن دسته از سازمانیهايي که از
آنتیویروس قفل شکسته استفاده میکنند طبیعتا با مشکل مواجه خواهند شد.»
به باور وی این دسته از شرکتها نه تنها در این مورد خاص بلکه در اکثر
مواقع دچار مشکل میشوند و تنها راهحلی که این شرکتها یا سازمانها را
میتواند در مقابل این حملات پشتیبانی کند این است که در کنار اختصاص دادن
بودجه به سایر موارد سازمان خود به بخش امنيت اطلاعات خود نیز توجه
ویژهای نشان دهند.
صالحی در ادامه یادآور میشود از آن جایی که این ویروس، آنطور که گفته
میشود خطرناک نیست کمتر کاربران خانگی را مورد هدف قرار میدهد، اما
کاربران میتوانند با استفاده از آنتیویروسهای اصل و استفاده از اصلاحیه
شرکت مایکروسافت ضریب امنيت دستگاه خود را بالا ببرند.