در پست قبلی از شگفتیهای کرم کامپیوتری استاکس نت (Stuxnet)، و تئوری حمله به ایران نوشتم: هنگامیکه واقعیت از فیلم سینمایی عجیبتر است! کرم Stuxnet و حمله به ایران
گفتم که چرا Stuxnet پدیدهای بسیار نو و بدیع در امنیت کامپیوتر به شمار میرود و چرا به احتمال زیاد یک دولت پشت ساخت آن بوده است. در این پست چند نکته دیگر در رابطه با این کرم و اینکه چگونه ممکن است تاسیسات اتمی ایران هدف آن بوده باشد مینویسم.
۱- در بخش صنعتی کرم، حمله منحصرا به سیستمهای WinCC زیمنس انجام میشود.
۲- از انتشار بیرویه کرم روی سیستمهای ویندوزی جلوگیری شده است: یک درایو USB آلوده به این کرم فقط سه سیستم ویندوزی را آلوده میکند. (منبع)
۳- کرم به دنبال پیکربندی خاصی در تجهیزات کنترل صنعتی است تا حمله خود را در زمان و محل مشخص انجام دهد. هر پنج دقیقه یک اثر انگشت بسیار دقیق از قربانی خود میگیرد و در صورتیکه متوجه شود به پیکربندی هدف خود رسیده است، کدی را درون دستگاه تزریق میکند. (منبع)
۴- کرم Stuxnet قرار است ماموریتش را در یک بازه زمانی کوتاه انجام دهد: نویسنده کرم میدانسته که بعد از کشف شدن، کدهای آن تحلیل شده و بنابراین تمام تلاش در مخفی نگهداشتن آن انجام شده است. در عوض شبکه کنترل و فرمان این کرم خیلی پیچیده نیست: چون قرار نبوده بعد از کشف شدن خیلی به کار خود ادامه دهد. (منبع)
۵- شیوه انتشار کرم از طریق USB انتخاب شده است تا دقیقا در یک محل جغرافیایی انتشار یابد.
۶- هزینه بالای انجام شده روی کرم نشان میدهد هدف اهمیت بالایی برای نفوذگر داشته است.
توجه کنید که هکر چقدر دانش فنی دقیق از کارکرد داخل هدف داشته است. میدانسته WinCC زیمنس مورد استفاده است و با اثر انگشت خاص سیستم هدف نیز آشنا بوده است.
شاید بهترین مدرک این باشد که از طرف خود نیروگاه اتمی بوشهر یا سایت نطنز اعلام شود که دستگاههای PLC آنها دارای همان اثر انگشتی هستند که کرم بدنبالش است یا خیر. (البته اعلام رسانهای این موضوع نیز میتواند خطرناک باشد)
تئوری ۱) حمله به نیروگاه بوشهر
۱- اولین بار ویروس روی یک کامپیوتر ایرانی کشف شده است: بله، شرکت VirusBlokAda که اولین بار این کرم را یافت آن را روی کامپیوتر مشتری ایرانیاش یافته بود.
۲- هنگام کشف کرم، ایران، هند و اندونزی بیشترین آلودگی به این ویروس را داشتند. و ایران در بسیاری گزارشها در صدر حدول آلودگی بود. (درباره این آمار، خواندن پست قبلیم را توصیه میکنم)
۳- نیروگاه اتمی بوشهر از سیستم WinCC استفاده میکند و این موضوع در یک عکس فوریه 2009 از سایتهای خبری واضح است! (عکس پیغام خطای لایسنس!) که بدتر، نشان میدهد نرمافزار لایسنس نیز نداشته که اگر عکس معتبر باشد، نشانه بیتوجهی محض به امنیت یک نیروگاه اتمی است.
۴- احتمال میرود آلودگی از طریق شرکت روسی طرف قرارداد با نیروگاه بوشهر منتقل شده باشد. (گاردین)
تشریح بیشتر این نظریه در اینجا
تئوری ۲) حمله به سایت تاسیسات اتمی نطنز
۱- در این تئوری میتوان احتمال داد عکس مورد ۳ در واقع از نطنز برداشته شده است. (یک کاربر ذیل این خبر پیشنهاد کرده که عکس بیشتر به تاسیسات غنیسازی شبیه است تا نیروگاه اتمی)
۲- چندی پیش ویکیلیکز (WikiLeaks) سایتی که اسناد محرمانه فاش شده دولتها را روی وب قرار میدهد؛ اعلام کرد احتمالا یک خرابی در سایت نطنز رخداده است. (+)
۳- همزمان استعفای رييس سازمان انرژي اتمي (+) و کاهش 15 درصدی غنیسازی سایت نطنز رخ دادهاند. (منبع در پایین همین لیست)
۴- عجیبتر این مقاله روزنامه اسرائیلی است که در مورد جنگ سایبری با ایران، به خاطر تاسیسات اتمی است که حتی به USB آلوده نیز اشاره کرده است! این مقاله یک سال قبل از شناسایی اولیه Stuxnet نوشته شده است. و یک روز بعد از استعفای رییس سازمان انرژی اتمی.
۵- سایر ادعاهای نظریهپرداز را در لینک زیر بخوانید.
تشریح کامل این نظریه در اینجا
دو سوال دیگر درباره کرم:
۱- چگونه ممکن است متخصصان امنیتی شرکتهای آنتیویروس چندین ماه این ویروس را نشناسند تا سرانجام توسط یک شرکت گمنام بلاروسی آن را بیابد؟
۲- چگونه پس از کشف و شهرت خاصی که این ویروس به هم زد، باز هم ماهها طول کشید تا مشخص شود تنها حفره ناشناخته مورد استفاده Stuxnet، حفره LNK نبوده و سه حفره ناشناخته دیگر نیز استفاده میکرده است؟
نام دیگر myrtus همان myrtle است. (جمله اول ویکیپدیا) همچنین myrtle نام دیگر Esther است (بازهم از ویکی پدیا):
استر (Esther)، عروس یهودی یک پادشاه ایرانی است که موفق میشود با قانع کردن وی به کشتن هامان وزیر، یهودیان را از کشته شدن نجات دهد. (هامان قصد داشته کلیه یهودیان را فتل عام کند) در عوض به یهودیان اجازه داده میشود دشمنانشان و خانوادههای آنها را بکشند که موجب کشتار بیش از 75 هزار ایرانی میشود. این داستان مبنای جشن پوریم است که هر ساله یهودیان برگزار میکنند.
مقاله PCWorld درباره این کرم و احتمال حمله به ایران
خواندنی درباره احتمال هدف بودن ایران، و اینکه نیروگاه بوشهر هدف بوده است.
باز هم درباره احتمال هدف بودن ایران
پست قبلی من درباره کرم Stuxnet و شگفتیهای آن
گفتم که چرا Stuxnet پدیدهای بسیار نو و بدیع در امنیت کامپیوتر به شمار میرود و چرا به احتمال زیاد یک دولت پشت ساخت آن بوده است. در این پست چند نکته دیگر در رابطه با این کرم و اینکه چگونه ممکن است تاسیسات اتمی ایران هدف آن بوده باشد مینویسم.
کرمی با یک هدف خاص ولی نامعلوم
برخی نشانهها در کرم Stuxnet نشان میدهند که برای یک هدف خاص طراحی شده است:۱- در بخش صنعتی کرم، حمله منحصرا به سیستمهای WinCC زیمنس انجام میشود.
۲- از انتشار بیرویه کرم روی سیستمهای ویندوزی جلوگیری شده است: یک درایو USB آلوده به این کرم فقط سه سیستم ویندوزی را آلوده میکند. (منبع)
۳- کرم به دنبال پیکربندی خاصی در تجهیزات کنترل صنعتی است تا حمله خود را در زمان و محل مشخص انجام دهد. هر پنج دقیقه یک اثر انگشت بسیار دقیق از قربانی خود میگیرد و در صورتیکه متوجه شود به پیکربندی هدف خود رسیده است، کدی را درون دستگاه تزریق میکند. (منبع)
۴- کرم Stuxnet قرار است ماموریتش را در یک بازه زمانی کوتاه انجام دهد: نویسنده کرم میدانسته که بعد از کشف شدن، کدهای آن تحلیل شده و بنابراین تمام تلاش در مخفی نگهداشتن آن انجام شده است. در عوض شبکه کنترل و فرمان این کرم خیلی پیچیده نیست: چون قرار نبوده بعد از کشف شدن خیلی به کار خود ادامه دهد. (منبع)
۵- شیوه انتشار کرم از طریق USB انتخاب شده است تا دقیقا در یک محل جغرافیایی انتشار یابد.
۶- هزینه بالای انجام شده روی کرم نشان میدهد هدف اهمیت بالایی برای نفوذگر داشته است.
توجه کنید که هکر چقدر دانش فنی دقیق از کارکرد داخل هدف داشته است. میدانسته WinCC زیمنس مورد استفاده است و با اثر انگشت خاص سیستم هدف نیز آشنا بوده است.
چرا ایران؟ و چرا نیروگاه اتمی بوشهر یا سایت نطنز؟
این بخش از بحث صرفا یک فرضیه است و هنوز مدرک کاملی برای آن وجود ندارد.شاید بهترین مدرک این باشد که از طرف خود نیروگاه اتمی بوشهر یا سایت نطنز اعلام شود که دستگاههای PLC آنها دارای همان اثر انگشتی هستند که کرم بدنبالش است یا خیر. (البته اعلام رسانهای این موضوع نیز میتواند خطرناک باشد)
تئوری ۱) حمله به نیروگاه بوشهر
۱- اولین بار ویروس روی یک کامپیوتر ایرانی کشف شده است: بله، شرکت VirusBlokAda که اولین بار این کرم را یافت آن را روی کامپیوتر مشتری ایرانیاش یافته بود.
۲- هنگام کشف کرم، ایران، هند و اندونزی بیشترین آلودگی به این ویروس را داشتند. و ایران در بسیاری گزارشها در صدر حدول آلودگی بود. (درباره این آمار، خواندن پست قبلیم را توصیه میکنم)
۳- نیروگاه اتمی بوشهر از سیستم WinCC استفاده میکند و این موضوع در یک عکس فوریه 2009 از سایتهای خبری واضح است! (عکس پیغام خطای لایسنس!) که بدتر، نشان میدهد نرمافزار لایسنس نیز نداشته که اگر عکس معتبر باشد، نشانه بیتوجهی محض به امنیت یک نیروگاه اتمی است.
۴- احتمال میرود آلودگی از طریق شرکت روسی طرف قرارداد با نیروگاه بوشهر منتقل شده باشد. (گاردین)
تشریح بیشتر این نظریه در اینجا
تئوری ۲) حمله به سایت تاسیسات اتمی نطنز
۱- در این تئوری میتوان احتمال داد عکس مورد ۳ در واقع از نطنز برداشته شده است. (یک کاربر ذیل این خبر پیشنهاد کرده که عکس بیشتر به تاسیسات غنیسازی شبیه است تا نیروگاه اتمی)
۲- چندی پیش ویکیلیکز (WikiLeaks) سایتی که اسناد محرمانه فاش شده دولتها را روی وب قرار میدهد؛ اعلام کرد احتمالا یک خرابی در سایت نطنز رخداده است. (+)
۳- همزمان استعفای رييس سازمان انرژي اتمي (+) و کاهش 15 درصدی غنیسازی سایت نطنز رخ دادهاند. (منبع در پایین همین لیست)
۴- عجیبتر این مقاله روزنامه اسرائیلی است که در مورد جنگ سایبری با ایران، به خاطر تاسیسات اتمی است که حتی به USB آلوده نیز اشاره کرده است! این مقاله یک سال قبل از شناسایی اولیه Stuxnet نوشته شده است. و یک روز بعد از استعفای رییس سازمان انرژی اتمی.
۵- سایر ادعاهای نظریهپرداز را در لینک زیر بخوانید.
تشریح کامل این نظریه در اینجا
آیا Stuxnet به هدفش دستیافته است؟
برخی - با تکیه بر زمانی بودن حمله - استدلال میکنند حمله موفقیت آمیز بوده است و تاخیر در راهاندازی نیروگاه بوشهر، یا کاهش 15 درصدی تولید سایت نطنز نشانهای از موفقیت حمله است. اما اگر چنین است، چرا نفوذگران دو ماه پیش یک گواهی دیجیتال جدید را رو کردند؟دو سوال دیگر درباره کرم:
۱- چگونه ممکن است متخصصان امنیتی شرکتهای آنتیویروس چندین ماه این ویروس را نشناسند تا سرانجام توسط یک شرکت گمنام بلاروسی آن را بیابد؟
۲- چگونه پس از کشف و شهرت خاصی که این ویروس به هم زد، باز هم ماهها طول کشید تا مشخص شود تنها حفره ناشناخته مورد استفاده Stuxnet، حفره LNK نبوده و سه حفره ناشناخته دیگر نیز استفاده میکرده است؟
نگاهی دقیقتر به ردپای نفوذگر: منظور از Myrtus و Guava چیست؟
چه کسی میداند؟ صحبت کردن در این وادی آنقدر مشکل و بدون مدرک است که معمولا کسی واردش نمیشود و آن را به تخیل خواننده وامیگذارد. با توجه به اینکه اصلیت نفوذگر و فرهنگ و تفکر وی مشخص نیست و با توجه به اینکه معمولا برای پروژههای اینچنینی از نامی استفاده میشود که ارتباط دوری با موضوع داشته و آن را فاش نکند، مشخص است که چقدر حتی اشاره به این موضوع برای نویسنده سخت است. اما به ناچار به یک «احتمال» هولناک اشاره میکنم، و خواننده را تشویق میکنم آن را تنها توضیح ندانسته خود در پیش خود قضاوت کند:نام دیگر myrtus همان myrtle است. (جمله اول ویکیپدیا) همچنین myrtle نام دیگر Esther است (بازهم از ویکی پدیا):
استر (Esther)، عروس یهودی یک پادشاه ایرانی است که موفق میشود با قانع کردن وی به کشتن هامان وزیر، یهودیان را از کشته شدن نجات دهد. (هامان قصد داشته کلیه یهودیان را فتل عام کند) در عوض به یهودیان اجازه داده میشود دشمنانشان و خانوادههای آنها را بکشند که موجب کشتار بیش از 75 هزار ایرانی میشود. این داستان مبنای جشن پوریم است که هر ساله یهودیان برگزار میکنند.
بیشتر درباره کرم استاکس نت (Stuxnet)
تحلیل جالب و فنی عملیات کرم روی PLC و احتمال حمله به ایرانمقاله PCWorld درباره این کرم و احتمال حمله به ایران
خواندنی درباره احتمال هدف بودن ایران، و اینکه نیروگاه بوشهر هدف بوده است.
باز هم درباره احتمال هدف بودن ایران
پست قبلی من درباره کرم Stuxnet و شگفتیهای آن
دیگه تمومه! سجاد بیا یه ویروس بنویسیم!! ؛)
پاسخحذفاره. برو تا بریم :)
پاسخحذفجالبه.من توی voa هم در موردش شنیدم.منبعشون هم همین وبلاگ بود.شما احیانا با شبکه اونها دادو ستدی دارید؟:)
پاسخحذفشما voa میبینید پس!؟ :)
پاسخحذفمن که محدودیتی روی دیدن وبلاگ نگذاشتم. وظیفه من جز ابلاغ نیست. حالا اگه این حرفها اینقدر جذب کننده است که حتی روی voa هم تاثیر گذاشته باید خوشحال بود.
;)
حالا توی کدوم برنامهاش این رو گفت؟
اومدم بگم من شما رو لينك كردم من و لينك كنيد ديدم بلاگتون سياسي شده :)) ترسيدم... ولي بازم خوب ماهم جز دوستان بالگي لينك كنيد :( البته به اسم بلاگ نه اسم شخصي
پاسخحذفسجاد بودار شده کارِت ها! اون از یک کلاغت، این هم از این وبلاگت. voa روت زوم کرده، و از منابع مورد اعتمادشون شدی ;-)
پاسخحذفحرف حق همه جا برد داره خب! ;)
پاسخحذفجدیدا این فرضیه مطرح شده که این ویروس شاید اصلا هدفش برنامه فضایی هند بوده و کار دوستان چینی! زیرا که ماهواره هند که اخیرا سقوط کرد از سیستم زیمنس استفاده می کرده است و هند و چین رقیب های سرسخت بر سر برنامه فضایی هستند.این مطلب را اولین بار ظاهرا گاردین نوشته.اینجا بیشتر در موردش بخون:
پاسخحذفhttp://www.securecomputing.net.au/News/233892,stuxnet-pinned-for-killing-indian-satellite.aspx
بله. فعلا هر فرضیهای محتمله :)
پاسخحذفهر کی این کرم رو نوشته دقیقا با کد هدفش آشنا بوده و هزینهی زیادی رو هم حاضر شده انجام بده، با علم به اینکه این کرم رو فقط یکبار میشه استفاده کرد و بعدش کل هزینه دود میشه. بنابراین هدف باید خیلی خیلی مهم بوده باشه براش.
ضمنا بعد از نوشتن مطالب بالا یک تاریخ هم در کد stuxnet پیدا شده که (برعکس myrtus) نویسنده «عمدا» به کد اضافه کرده: تاریخ 19790509 که برخی (مثل محقق سیمانتک) اون رو ۹ می ۱۹۷۹ تاریخ اعدام یک تاجر یهودی در ایران میدونند. (و البته، اخطار میکنند که شاید فقط برای رد گم کردن باشه)
این هم نوشتهی بروس اشنیر در مورد این کرم و رد فرضیات حول و حوش اون:
http://www.schneier.com/crypto-gram-1010.html#6
فرضیه ی اینکه اسراییل پشت ماجرا هست هم یه جورایی رد شد چون این جونور به متحدان اسراییل هم آسیب های جدی رسونده.
پاسخحذفالبته به نظر من کار خود اسراییله.
هفته پیش این استاد ما یک ساعت درمورد استاکس نت حرف زد کل بحثش هم این بود که هند با این همه گردن کلفتیش توی آی تی به اندازه ایران نتونسته این کرم رو کنترل کنه.
مطلبت خیلی خیلی جالب بود.ادامه ش بده