بروزرسانی: پست جدید من در مورد استاکس نت و تئوری حمله به تاسیسات اتمی ایران
هنگامیکه کرم کامپیوتری استاکس نت (Stuxnet) نخستین بار در ژوئن 2010، توسط شرکت VirusBlokAda شناسایی شد هیچ کس نمیدانست که با چه پدیده نو و شگفتی مواجه شده است. کرمی که ماهها (و شاید یکسال) بود ناشناخته مانده بود!
درباره عجایب این کرم کامپیوتری همین بس که سیمانتک میگوید: «اگر یک ماه پیش کسی درباره چنین چیزی با ما صحبت میکرد، میگفتیم از لحاظ تئوری ممکن است، ولی بیشتر به سناریوی یک فیلم سینمایی شبیه است» (نقل به مضمون)
با توجه به پیچیدگیهای کرم Stuxnet، اهدافش و سایر نکاتی که در ادامه میآید، بسیاری معتقدند که این نه یک بدافزار معمولی یا تجاری، بلکه در واقع نوعی جنگ بر علیه تاسیسات صنعتی یک کشور بوده است. و ایران، کشوریست که بیشترین آلودگی به این ویروس در آن گزارش شده است. بخوانید و خودتان قضاوت کنید.
۱- اولین کرمی که قادر به برنامهریزی تجهیزات کنترلی صنعتی/نظامی است.
مقصود، تجهیزات صنعتی است که در کارخانهها، نیروگاهها، پالایشگاهها و سایر مراکز مهم صنعتی یا نظامی برای کنترل دستگاهها استفاده میشود. این کرم به صورت بالقوه قادر است کنترل این تجهیزات را بدست گیرد یا اطلاعات آنها را به بیرون مخابره کند.
۲- اولین کرمی که از چهار حفره ناشناخته (zero-day) ویندوز بهره میگرفت.
حفره ناشناخته (zero-day یا 0-day) به آسیبپذیریای گفته میشود که قبل از اینکه شرکت سازنده آن را بشناسد یا بستهای برای آن منتشر کند، مورد استفاده قرار میگیرد. چنین حفرهای بسیار خطرناک است: چرا که دفاع در برابر یک آسیبپذیری ناشناخته ناممکن یا بسیار سخت است.
اما حتی استفاده از یک حفره ناشناخته ویندوز در یک بدافزار هم پدیدهای نادر است، چه برسد به حضور چهار حفره در یک بدافزار که کاملا بیسابقه است!
الف) در مورد یکی از این چهار حفره قبلا نوشته بودم: حفره LNK ویندوز
ب) حفره دیگر در سرویس اشتراک پرینتر است و خطرناکتر از اولی، اجازه آلوده شدن سیستم از راه دور را میدهد. (MS10-061)
ج و د) دو حفره دیگر هنوز بسته امنیتی آنها منتشر نشده است.
عجیبتر اینکه حداقل دو حفره اول روی تمام نسخههای ویندوز از XP و Vista تا Seven و 2008 وجود دارند!
با وجودی که به محض کشف شدن Stuxnet، این کرم به خاطر همان حفره LNK معروف شد و مایکروسافت با عجله بسته امنیتی مربوط به آن را منتشر کرد؛ تا مدتی قبل سه حفره دیگر ناشناخته باقیمانده بودند!!
۳- اولین روتکیت دستگاههای PLC
روتکیت (rootkit) یکی از بدترین انواع بدافزار به شمار میرود که با دستکاری توابع اصلی سیستم، حضور خود را پنهان میکند. در خطرناک بودن این بدافزار همین بس که از لخاظ تئوری میتوان روتکیتی نوشت که حین کار سیستم به هیچ عنوان قابل شناسایی نباشد. (بیشتر درباره rootkit)
و PLC دستگاههای کامپیوتری هستند که برای کنترل صنعتی استفاده میشوند.
۴- استفاده از دو گواهی امضای دیجیتال معتبر
گواهی امضای دیجیتال کاربردهای متفاوتی دارد که یکی از این کاربردها مشخص کردن مبدا یک برنامه است. به این ترتیب که سازنده برنامههای خود را امضا میکند تا همه بدانند مبدا برنامه فلان شرکت معتبر بوده و بنابراین کد مخربی داخل آن وجود ندارد.
کرم Stuxnet هنگامی کشف شد که از یک گواهی معتبر شرکت Realtek استفاده میکرد و به همین علت ماهها از زیر دست آنتیویروسها فرار کرده بود. بعد از باطل کردن گواهی Realtek، نسخه دیگری از کرم، این بار امضا شده با یک گواهی از شرکت JMicron نیز مشاهده شد.
دزدیدن (یا در اختیار داشتن) یک گواهی امضای دیجیتال به نوبه خود برای یک بدافزار رویایی است، چه برسد به دو گواهی!
۶- استفاده از حفرههایی در سیستمهای طراحی صنعتی
خب، با توجه به مورد اول این مورد دیگر طبیعی است، ولی توضیحش جالب است. یکی از این حفرهها وجود یک پسورد پیشفرض روی سیستمهای زیمنس است. بدتر آنکه به علت اشتباه فاحش برنامهنویس اگر این پسورد پیشفرض را - برای جلوگیری از انتشار کرم - تغییر دهید، سیستم از کار میافتد!
حفره دیگری در نرمافزار Step 7 استفاده شده است که برای طراحی و برنامهریزی همین تجهیزات صنعتی استفاده میشود. کرم با آلوده کردن پروژهها و فایلهای این نرمافزار، منتظر میماند تا پروژهها به هر کامپیوتر دیگری منتقل شدند آن را نیز آلوده کند. (منبع)
۵- استفاده از دو روتکیت.
علاوه بر روتکیت PLC که اشاره شد، یک روتکیت ویندوز نیز برای پنهان شدن در این سیستم عامل جزئی از این کرم بوده است.
سایر موارد جالب:
۶- هر USB فقط سه کامپیوتر را آلوده میکرد. (ظاهرا تلاش برای پنهان ماندن و نشانهای از اینکه محل خاصی هدف قرار داده شده بوده است)
۷- تمام این «قابلیتها» در نیم مگابایت جا گرفته بود.
۸- قابلیت شبکه P2P برای انتقال دستورات و فرامین از هکرها به ماشینهای آلوده.
با توجه به آنچه گفتیم، مشخص است که این حمله توسط یک تیم بسیار با تجربه و با صرف هزینه و زمان بسیار به نتیجه رسیده است. انجام آن نیاز به آشنایی بالا با ویندوز، و نیز تجهیزات کنترل صنعتی، و نرمافزار طراحی و کنترل آنها داشته است. استفاده از دو گواهی امضای دیجیتال مختلف نیز نشان از سرمایه گذاشته شده در این راه دارد.
البته آمارها را از دو جهت باید دقیقتر نگریست: اولا) انتشار از طریق USB یکی از راههای اصلی نشر کرم بوده و بنابراین آلودگی اصولا به صورت محلی منتشر میشود. ثانیا) هر شرکت آنتیویروس فقط میتواند از جاهایی مطلع باشد که نرمافزارش در آنها در حال استفاده است. بنابراین باید بازار آنتیویروسها را هنگام خواندن امارشان در نظر گرفت.
در هر صورت سه کشور ایران، هند و اندونزی (با ترتیبهای مختلف) در بیشتر آمارهای اعلام شده جایگاه اول را داشتهاند. (symantec, kaspersky, eset)
ولی اینکه آیا هدف ویروس ایران (یا هر یک از سه کشور) بوده است یا خیر مشخص نیست، چرا که میزان آلودگی فاکتورهای مختلفی را در بر گرفته و شاید فقط این کشورها آسیبپذیرتر بودهاند. برخی رسانهها حمله را به اسرائیل نسبت دادهاند (skynews, cnet) در حالیکه برای اظهار نظر در این باره هنوز زود است.
امروز ما یک نشانه از هکرها در اختیار داریم: رشته «b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb» در یکی از فایلهای این کرم وجود داشته که شاید نام پروژه را نزد هکرها مشخص میکند. گواوا (guava) یا زیتون محلی نام گیاهی گرمسیری از رده میرتاسه (myrtus) است، بومی آمریکای مرکزی و جنوبی، کشورهای برزیل، مکزیک و پرو است.
در ضمن آخرین گزارشها نشان میدهد ایران تا حد خوبی موفق به کنترل آلودگی این کرم شده است. (kaspersky)
اگر چه مشخص نیست این کرم واقعا به هدف یا اهدافش رسیده است یا خیر ...
در مورد زمان تولد کرم
ویکیپدیا درباره کرم، و برخی واکنشهای بینالمللی
مشخصات فنی کرم به نقل از سیمانتک
از سری مقالات Myrtus and guava کسپراسکای درباره کرم و هدف آن
از eset آنتی ویروس Nod32 درباره کرم و هدف آن
مطالب مرتبط سجاد و سیستمش:
میانبرنامه - درباره Rootkitها و ناگفتههایی از پرونده 1
میانبرنامه - حفره داغ LNK ویندوز
بروزرسانی: هدف کرم Stuxnet: ایران، نیروگاه اتمی؟ دیگر نشانهها ...
کلمات کلیدی: iran, israel, stuxnet, worm
هنگامیکه کرم کامپیوتری استاکس نت (Stuxnet) نخستین بار در ژوئن 2010، توسط شرکت VirusBlokAda شناسایی شد هیچ کس نمیدانست که با چه پدیده نو و شگفتی مواجه شده است. کرمی که ماهها (و شاید یکسال) بود ناشناخته مانده بود!
درباره عجایب این کرم کامپیوتری همین بس که سیمانتک میگوید: «اگر یک ماه پیش کسی درباره چنین چیزی با ما صحبت میکرد، میگفتیم از لحاظ تئوری ممکن است، ولی بیشتر به سناریوی یک فیلم سینمایی شبیه است» (نقل به مضمون)
با توجه به پیچیدگیهای کرم Stuxnet، اهدافش و سایر نکاتی که در ادامه میآید، بسیاری معتقدند که این نه یک بدافزار معمولی یا تجاری، بلکه در واقع نوعی جنگ بر علیه تاسیسات صنعتی یک کشور بوده است. و ایران، کشوریست که بیشترین آلودگی به این ویروس در آن گزارش شده است. بخوانید و خودتان قضاوت کنید.
شگفتیهای کرم Stuxnet
این کرم از جهات مختلفی در تاریخ امنیت کامپیوتر بینظیر است. هر یک از نکات زیر را که میخوانید به تنهایی میتوانست یک کرم را مشهور کند:۱- اولین کرمی که قادر به برنامهریزی تجهیزات کنترلی صنعتی/نظامی است.
مقصود، تجهیزات صنعتی است که در کارخانهها، نیروگاهها، پالایشگاهها و سایر مراکز مهم صنعتی یا نظامی برای کنترل دستگاهها استفاده میشود. این کرم به صورت بالقوه قادر است کنترل این تجهیزات را بدست گیرد یا اطلاعات آنها را به بیرون مخابره کند.
۲- اولین کرمی که از چهار حفره ناشناخته (zero-day) ویندوز بهره میگرفت.
حفره ناشناخته (zero-day یا 0-day) به آسیبپذیریای گفته میشود که قبل از اینکه شرکت سازنده آن را بشناسد یا بستهای برای آن منتشر کند، مورد استفاده قرار میگیرد. چنین حفرهای بسیار خطرناک است: چرا که دفاع در برابر یک آسیبپذیری ناشناخته ناممکن یا بسیار سخت است.
اما حتی استفاده از یک حفره ناشناخته ویندوز در یک بدافزار هم پدیدهای نادر است، چه برسد به حضور چهار حفره در یک بدافزار که کاملا بیسابقه است!
الف) در مورد یکی از این چهار حفره قبلا نوشته بودم: حفره LNK ویندوز
ب) حفره دیگر در سرویس اشتراک پرینتر است و خطرناکتر از اولی، اجازه آلوده شدن سیستم از راه دور را میدهد. (MS10-061)
ج و د) دو حفره دیگر هنوز بسته امنیتی آنها منتشر نشده است.
عجیبتر اینکه حداقل دو حفره اول روی تمام نسخههای ویندوز از XP و Vista تا Seven و 2008 وجود دارند!
با وجودی که به محض کشف شدن Stuxnet، این کرم به خاطر همان حفره LNK معروف شد و مایکروسافت با عجله بسته امنیتی مربوط به آن را منتشر کرد؛ تا مدتی قبل سه حفره دیگر ناشناخته باقیمانده بودند!!
۳- اولین روتکیت دستگاههای PLC
روتکیت (rootkit) یکی از بدترین انواع بدافزار به شمار میرود که با دستکاری توابع اصلی سیستم، حضور خود را پنهان میکند. در خطرناک بودن این بدافزار همین بس که از لخاظ تئوری میتوان روتکیتی نوشت که حین کار سیستم به هیچ عنوان قابل شناسایی نباشد. (بیشتر درباره rootkit)
و PLC دستگاههای کامپیوتری هستند که برای کنترل صنعتی استفاده میشوند.
۴- استفاده از دو گواهی امضای دیجیتال معتبر
گواهی امضای دیجیتال کاربردهای متفاوتی دارد که یکی از این کاربردها مشخص کردن مبدا یک برنامه است. به این ترتیب که سازنده برنامههای خود را امضا میکند تا همه بدانند مبدا برنامه فلان شرکت معتبر بوده و بنابراین کد مخربی داخل آن وجود ندارد.
کرم Stuxnet هنگامی کشف شد که از یک گواهی معتبر شرکت Realtek استفاده میکرد و به همین علت ماهها از زیر دست آنتیویروسها فرار کرده بود. بعد از باطل کردن گواهی Realtek، نسخه دیگری از کرم، این بار امضا شده با یک گواهی از شرکت JMicron نیز مشاهده شد.
دزدیدن (یا در اختیار داشتن) یک گواهی امضای دیجیتال به نوبه خود برای یک بدافزار رویایی است، چه برسد به دو گواهی!
۶- استفاده از حفرههایی در سیستمهای طراحی صنعتی
خب، با توجه به مورد اول این مورد دیگر طبیعی است، ولی توضیحش جالب است. یکی از این حفرهها وجود یک پسورد پیشفرض روی سیستمهای زیمنس است. بدتر آنکه به علت اشتباه فاحش برنامهنویس اگر این پسورد پیشفرض را - برای جلوگیری از انتشار کرم - تغییر دهید، سیستم از کار میافتد!
حفره دیگری در نرمافزار Step 7 استفاده شده است که برای طراحی و برنامهریزی همین تجهیزات صنعتی استفاده میشود. کرم با آلوده کردن پروژهها و فایلهای این نرمافزار، منتظر میماند تا پروژهها به هر کامپیوتر دیگری منتقل شدند آن را نیز آلوده کند. (منبع)
۵- استفاده از دو روتکیت.
علاوه بر روتکیت PLC که اشاره شد، یک روتکیت ویندوز نیز برای پنهان شدن در این سیستم عامل جزئی از این کرم بوده است.
سایر موارد جالب:
۶- هر USB فقط سه کامپیوتر را آلوده میکرد. (ظاهرا تلاش برای پنهان ماندن و نشانهای از اینکه محل خاصی هدف قرار داده شده بوده است)
۷- تمام این «قابلیتها» در نیم مگابایت جا گرفته بود.
۸- قابلیت شبکه P2P برای انتقال دستورات و فرامین از هکرها به ماشینهای آلوده.
با توجه به آنچه گفتیم، مشخص است که این حمله توسط یک تیم بسیار با تجربه و با صرف هزینه و زمان بسیار به نتیجه رسیده است. انجام آن نیاز به آشنایی بالا با ویندوز، و نیز تجهیزات کنترل صنعتی، و نرمافزار طراحی و کنترل آنها داشته است. استفاده از دو گواهی امضای دیجیتال مختلف نیز نشان از سرمایه گذاشته شده در این راه دارد.
تئوری حمله به ایران؟
مطابق اولین آمارهای منتشره توسط شرکتهای آنتیویروس، ایران در صدر آلودگی به این ویروس قرار داشت. (آمار سیمانتک: 60%)البته آمارها را از دو جهت باید دقیقتر نگریست: اولا) انتشار از طریق USB یکی از راههای اصلی نشر کرم بوده و بنابراین آلودگی اصولا به صورت محلی منتشر میشود. ثانیا) هر شرکت آنتیویروس فقط میتواند از جاهایی مطلع باشد که نرمافزارش در آنها در حال استفاده است. بنابراین باید بازار آنتیویروسها را هنگام خواندن امارشان در نظر گرفت.
در هر صورت سه کشور ایران، هند و اندونزی (با ترتیبهای مختلف) در بیشتر آمارهای اعلام شده جایگاه اول را داشتهاند. (symantec, kaspersky, eset)
ولی اینکه آیا هدف ویروس ایران (یا هر یک از سه کشور) بوده است یا خیر مشخص نیست، چرا که میزان آلودگی فاکتورهای مختلفی را در بر گرفته و شاید فقط این کشورها آسیبپذیرتر بودهاند. برخی رسانهها حمله را به اسرائیل نسبت دادهاند (skynews, cnet) در حالیکه برای اظهار نظر در این باره هنوز زود است.
امروز ما یک نشانه از هکرها در اختیار داریم: رشته «b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb» در یکی از فایلهای این کرم وجود داشته که شاید نام پروژه را نزد هکرها مشخص میکند. گواوا (guava) یا زیتون محلی نام گیاهی گرمسیری از رده میرتاسه (myrtus) است، بومی آمریکای مرکزی و جنوبی، کشورهای برزیل، مکزیک و پرو است.
در ضمن آخرین گزارشها نشان میدهد ایران تا حد خوبی موفق به کنترل آلودگی این کرم شده است. (kaspersky)
اگر چه مشخص نیست این کرم واقعا به هدف یا اهدافش رسیده است یا خیر ...
خواندنی در این باره
مقاله فنی و جالب Infoworldدر مورد زمان تولد کرم
ویکیپدیا درباره کرم، و برخی واکنشهای بینالمللی
مشخصات فنی کرم به نقل از سیمانتک
از سری مقالات Myrtus and guava کسپراسکای درباره کرم و هدف آن
از eset آنتی ویروس Nod32 درباره کرم و هدف آن
مطالب مرتبط سجاد و سیستمش:
میانبرنامه - درباره Rootkitها و ناگفتههایی از پرونده 1
میانبرنامه - حفره داغ LNK ویندوز
بروزرسانی: هدف کرم Stuxnet: ایران، نیروگاه اتمی؟ دیگر نشانهها ...
کلمات کلیدی: iran, israel, stuxnet, worm
:) خیلی باحال بود!
پاسخحذفممنون :)
پاسخحذف