۱۳۸۹ مهر ۷, چهارشنبه

هدف کرم Stuxnet: ایران، نیروگاه اتمی؟ دیگر نشانه‌ها ...

در پست قبلی از شگفتی‌های کرم کامپیوتری استاکس نت (Stuxnet)، و تئوری حمله به ایران نوشتم:‌ هنگامیکه واقعیت از فیلم سینمایی عجیبتر است! کرم Stuxnet و حمله به ایران
گفتم که چرا Stuxnet پدیده‌ای بسیار نو و بدیع در امنیت کامپیوتر به شمار می‌رود و چرا به احتمال زیاد یک دولت پشت ساخت آن بوده است. در این پست چند نکته دیگر در رابطه با این کرم و اینکه چگونه ممکن است تاسیسات اتمی ایران هدف آن بوده باشد می‌نویسم.

کرمی با یک هدف خاص ولی نامعلوم

برخی نشانه‌ها در کرم Stuxnet نشان می‌دهند که برای یک هدف خاص طراحی شده است:
۱- در بخش صنعتی کرم، حمله منحصرا به سیستم‌های WinCC زیمنس انجام می‌شود.
۲- از انتشار بی‌رویه کرم روی سیستم‌های ویندوزی جلوگیری شده است: یک درایو USB آلوده به این کرم فقط سه سیستم ویندوزی را آلوده می‌کند. (منبع)
۳- کرم به دنبال پیکربندی خاصی در تجهیزات کنترل صنعتی است تا حمله خود را در زمان و محل مشخص انجام دهد. هر پنج دقیقه یک اثر انگشت بسیار دقیق از قربانی خود می‌گیرد و در صورتیکه متوجه شود به پیکربندی هدف خود رسیده است، کدی را درون دستگاه تزریق می‌کند. (منبع)
۴- کرم Stuxnet قرار است ماموریتش را در یک بازه زمانی کوتاه انجام دهد: نویسنده کرم می‌دانسته که بعد از کشف شدن، کدهای آن تحلیل شده و بنابراین تمام تلاش در مخفی نگهداشتن آن انجام شده است. در عوض شبکه کنترل و فرمان این کرم خیلی پیچیده نیست: چون قرار نبوده بعد از کشف شدن خیلی به کار خود ادامه دهد. (منبع)
۵- شیوه انتشار کرم از طریق USB انتخاب شده است تا دقیقا در یک محل جغرافیایی انتشار یابد.
۶- هزینه بالای انجام شده روی کرم نشان می‌دهد هدف اهمیت بالایی برای نفوذگر داشته است.
توجه کنید که هکر چقدر دانش فنی دقیق از کارکرد داخل هدف داشته است. می‌دانسته WinCC زیمنس مورد استفاده است و با اثر انگشت خاص سیستم هدف نیز آشنا بوده است.

چرا ایران؟ و چرا نیروگاه اتمی بوشهر یا سایت نطنز؟

این بخش از بحث صرفا یک فرضیه است و هنوز مدرک کاملی برای آن وجود ندارد.
شاید بهترین مدرک این باشد که از طرف خود نیروگاه اتمی بوشهر یا سایت نطنز اعلام شود که دستگاه‌های PLC آنها دارای همان اثر انگشتی هستند که کرم بدنبالش است یا خیر. (البته اعلام رسانه‌ای این موضوع نیز می‌تواند خطرناک باشد)
تئوری ۱) حمله به نیروگاه بوشهر
۱- اولین بار ویروس روی یک کامپیوتر ایرانی کشف شده است: بله، شرکت VirusBlokAda که اولین بار این کرم را یافت آن را روی کامپیوتر مشتری ایرانی‌اش یافته بود.
۲- هنگام کشف کرم، ایران، هند و اندونزی بیشترین آلودگی به این ویروس را داشتند. و ایران در بسیاری گزارش‌ها در صدر حدول آلودگی بود. (درباره این آمار، خواندن پست قبلیم را توصیه می‌کنم)
۳- نیروگاه اتمی بوشهر از سیستم WinCC استفاده می‌کند و این موضوع در یک عکس فوریه 2009 از سایت‌های خبری واضح است! (عکس پیغام خطای لایسنس!) که بدتر، نشان می‌دهد نرم‌افزار لایسنس نیز نداشته که اگر عکس معتبر باشد، نشانه بی‌توجهی محض به امنیت یک نیروگاه اتمی است.
۴- احتمال می‌رود آلودگی از طریق شرکت روسی طرف قرارداد با نیروگاه بوشهر منتقل شده باشد. (گاردین)
تشریح بیشتر این نظریه در اینجا
تئوری ۲) حمله به سایت تاسیسات اتمی نطنز
۱- در این تئوری می‌توان احتمال داد عکس مورد ۳ در واقع از نطنز برداشته شده است. (یک کاربر ذیل این خبر پیشنهاد کرده که عکس بیشتر به تاسیسات غنی‌سازی شبیه است تا نیروگاه اتمی)
۲- چندی پیش ویکی‌لیکز (WikiLeaks) سایتی که اسناد محرمانه فاش شده دولت‌ها را روی وب قرار می‌دهد؛ اعلام کرد احتمالا یک خرابی در سایت نطنز رخداده است. (+)
۳- همزمان استعفای رييس سازمان انرژي اتمي (+) و کاهش 15 درصدی غنی‌سازی سایت نطنز رخ داده‌اند. (منبع در پایین همین لیست)
۴- عجیب‌تر این مقاله روزنامه اسرائیلی است که در مورد جنگ سایبری با ایران، به خاطر تاسیسات اتمی است که حتی به USB آلوده نیز اشاره کرده است! این مقاله یک سال قبل از شناسایی اولیه Stuxnet نوشته شده است. و یک روز بعد از استعفای رییس سازمان انرژی اتمی.
۵- سایر ادعاهای نظریه‌پرداز را در لینک زیر بخوانید.
تشریح کامل این نظریه در اینجا

آیا Stuxnet به هدفش دستیافته است؟

برخی - با تکیه بر زمانی بودن حمله - استدلال می‌کنند حمله موفقیت آمیز بوده است و تاخیر در راه‌اندازی نیروگاه بوشهر، یا کاهش 15 درصدی تولید سایت نطنز نشانه‌ای از موفقیت حمله است. اما اگر چنین است، چرا نفوذگران دو ماه پیش یک گواهی دیجیتال جدید را رو کردند؟
دو سوال دیگر درباره کرم:
۱- چگونه ممکن است متخصصان امنیتی شرکت‌های آنتی‌ویروس چندین ماه این ویروس را نشناسند تا سرانجام توسط یک شرکت گمنام بلاروسی آن را بیابد؟
۲- چگونه پس از کشف و شهرت خاصی که این ویروس به هم زد، باز هم ماه‌ها طول کشید تا مشخص شود تنها حفره ناشناخته مورد استفاده Stuxnet، حفره LNK نبوده و سه حفره ناشناخته دیگر نیز استفاده می‌کرده است؟

نگاهی دقیقتر به ردپای نفوذگر: منظور از Myrtus و Guava چیست؟


image: wikipedia
چه کسی می‌داند؟ صحبت کردن در این وادی آنقدر مشکل و بدون مدرک است که معمولا کسی واردش نمی‌شود و آن را به تخیل خواننده وامی‌گذارد. با توجه به اینکه اصلیت نفوذگر و فرهنگ و تفکر وی مشخص نیست و با توجه به اینکه معمولا برای پروژه‌های اینچنینی از نامی استفاده می‌شود که ارتباط دوری با موضوع داشته و آن را فاش نکند، مشخص است که چقدر حتی اشاره به این موضوع برای نویسنده سخت است. اما به ناچار به یک «احتمال» هولناک اشاره می‌کنم، و خواننده را تشویق می‌کنم آن را تنها توضیح ندانسته خود در پیش خود قضاوت کند:
نام دیگر myrtus همان myrtle است. (جمله اول ویکی‌پدیا) همچنین myrtle نام دیگر Esther است (بازهم از ویکی پدیا):
استر (Esther)، عروس یهودی یک پادشاه ایرانی است که موفق می‌شود با قانع کردن وی به کشتن هامان وزیر، یهودیان را از کشته شدن نجات دهد. (هامان قصد داشته کلیه یهودیان را فتل عام کند) در عوض به یهودیان اجازه داده می‌شود دشمنانشان و خانواده‌های آن‌ها را بکشند که موجب کشتار بیش از 75 هزار ایرانی می‌شود. این داستان مبنای جشن پوریم است که هر ساله یهودیان برگزار می‌کنند.

بیشتر درباره کرم استاکس نت (Stuxnet)

تحلیل جالب و فنی عملیات کرم روی PLC و احتمال حمله به ایران
مقاله PCWorld درباره این کرم و احتمال حمله به ایران
خواندنی درباره احتمال هدف بودن ایران، و اینکه نیروگاه بوشهر هدف بوده است.
باز هم درباره احتمال هدف بودن ایران
پست قبلی من درباره کرم Stuxnet و شگفتی‌های آن

۱۰ نظر:

  1. دیگه تمومه! سجاد بیا یه ویروس بنویسیم!! ؛)

    پاسخحذف
  2. جالبه.من توی voa هم در موردش شنیدم.منبعشون هم همین وبلاگ بود.شما احیانا با شبکه اونها دادو ستدی دارید؟:)

    پاسخحذف
  3. شما voa می‌بینید پس!؟ :)
    من که محدودیتی روی دیدن وبلاگ نگذاشتم. وظیفه من جز ابلاغ نیست. حالا اگه این حرفها اینقدر جذب کننده است که حتی روی voa هم تاثیر گذاشته باید خوشحال بود.
    ;)

    حالا توی کدوم برنامه‌اش این رو گفت؟

    پاسخحذف
  4. اومدم بگم من شما رو لينك كردم من و لينك كنيد ديدم بلاگتون سياسي شده :)) ترسيدم... ولي بازم خوب ماهم جز دوستان بالگي لينك كنيد :( البته به اسم بلاگ نه اسم شخصي

    پاسخحذف
  5. سجاد بودار شده کارِت ها! اون از یک کلاغت، این هم از این وبلاگت. voa روت زوم کرده، و از منابع مورد اعتمادشون شدی ;-)

    پاسخحذف
  6. حرف حق همه جا برد داره خب! ;)

    پاسخحذف
  7. جدیدا این فرضیه مطرح شده که این ویروس شاید اصلا هدفش برنامه فضایی هند بوده و کار دوستان چینی! زیرا که ماهواره هند که اخیرا سقوط کرد از سیستم زیمنس استفاده می کرده است و هند و چین رقیب های سرسخت بر سر برنامه فضایی هستند.این مطلب را اولین بار ظاهرا گاردین نوشته.اینجا بیشتر در موردش بخون:
    http://www.securecomputing.net.au/News/233892,stuxnet-pinned-for-killing-indian-satellite.aspx

    پاسخحذف
  8. بله. فعلا هر فرضیه‌ای محتمله :)

    هر کی این کرم رو نوشته دقیقا با کد هدفش آشنا بوده و هزینه‌ی زیادی رو هم حاضر شده انجام بده، با علم به اینکه این کرم رو فقط یکبار می‌شه استفاده کرد و بعدش کل هزینه دود می‌شه. بنابراین هدف باید خیلی خیلی مهم بوده باشه براش.

    ضمنا بعد از نوشتن مطالب بالا یک تاریخ هم در کد stuxnet پیدا شده که (برعکس myrtus) نویسنده «عمدا» به کد اضافه کرده: تاریخ 19790509 که برخی (مثل محقق سیمانتک) اون رو ۹ می ۱۹۷۹ تاریخ اعدام یک تاجر یهودی در ایران می‌دونند. (و البته، اخطار می‌کنند که شاید فقط برای رد گم کردن باشه)

    این هم نوشته‌ی بروس اشنیر در مورد این کرم و رد فرضیات حول و حوش اون:
    http://www.schneier.com/crypto-gram-1010.html#6

    پاسخحذف
  9. فرضیه ی اینکه اسراییل پشت ماجرا هست هم یه جورایی رد شد چون این جونور به متحدان اسراییل هم آسیب های جدی رسونده.
    البته به نظر من کار خود اسراییله.
    هفته پیش این استاد ما یک ساعت درمورد استاکس نت حرف زد کل بحثش هم این بود که هند با این همه گردن کلفتیش توی آی تی به اندازه ایران نتونسته این کرم رو کنترل کنه.

    مطلبت خیلی خیلی جالب بود.ادامه ش بده

    پاسخحذف