گزارش سايمانتک از Stuxnet

گزارش سايمانتک از Stuxnet

تاریخ ایجاد

IRCRE201008041
اخيراً يك بدافزار خطرناك به نام Stuxnet در همه كشورهاي جهان و به خصوص ايران گسترش پيدا كرده است كه هدف آن ايجاد اختلال در شركت ها و سازمان هاي مرتبط با زيرساخت هاي حياتي همچون نيروگاه ها است. بدافزار مذكور با سوءاستفاده از يك حفره امنيتي در ويندوز گسترش پيدا مي كند و به دنبال سيستم هايي است كه از نرم افزار WinCC Scada كه متعلق به زيمنس است، استفاده مي كنند. نرم افزار مذكور معمولاً توسط سازمان هاي مرتبط با زيرساخت هاي حياتي مورد استفاده قرار مي گيرد. شركت سايمانتك در اين رابطه اطلاعاتي را منتشر ساخته است كه در ادامه مي آيد. بنا بر اطلاعات ارائه شده توسط سايمانتك، كرم رايانه اي Scada كه هدف آن شركت ها و سازمان هاي مربوط زيرساخت هاي حياتي هستند، نه تنها به سرقت اطلاعات مي پردازد، بلكه يك back door را نيز بر روي سيستم قرباني قرار مي دهد تا بتواند از راه دور و به طور مخفيانه كنترل عمليات زيرساخت هاي مذكور را در اختيار گيرد. كرم Stuxnet، شركت هاي مربوط به سيستم هاي كنترل صنعتي در سراسر جهان را آلوده ساخته است، با اين وجود بنا بر گزارش هاي دريافت شده، بيشتر آلودگي ها در ايران و هند مشاهده شده است. همچنين كرم مذكور توانسته است به صنعت انرژي در ايالات متحده آمريكا نيز وارد شود.
با وجود اينكه سايمانتك اطلاعات دقيقي از شركت هاي آلوده شده دارد، از افشاي اطلاعات در مورد نام و تعداد شركت هاي آلوده شده به دليل مسائل امنيتي خودداري مي كند. سايمانتك اطلاعات خود در اينباره را از طريق نظارت بر ارتباطاتي كه دستگاه هاي آلوده با سرور command and control بدافزار Stuxnet برقرار مي كرده اند، به دست آورده است. آنها با شركت هاي آلوده شده تماس گرفته و به آنها در مورد چگونگي مقابله با اين بدافزار آگاهي داده اند. بنا بر نظر محققان امنيتي، بدافزار مذكور يك توسعه جدي در زمينه تهديدات رايانه اي محسوب مي شود و متأسفانه كنترل سيستم هاي فيزيكي در محيط هاي كنترل صنعتي را در اختيار هكرها قرار مي دهد. اين بدافزار كه تيتر اخبار ماه گذشته بود، براي سرقت كد و طرح پروژه هايي نوشته شده است كه از نرم افزار Siemens Simatic WinCC استفاده مي كنند. از نرم افزار مذكور معمولاً براي كنترل سيستم هاي صنعتي و سيستم هاي زيرساخت هاي حياتي مانند سيستم هاي آب و برق استفاده مي شود. اين بدافزار از نام كاربري و كلمه عبوري كه در نرم افزار زيمنس به صورت hard-coded وجود دارد سوءاستفاده مي كندو همچنين بدافزار مذكور از گواهينامه هاي معتبر ولي انقضا يافته Realtek Semiconductor Corporation براي اعتباردهي به درايوهايش استفاده مي كند. از طرف ديگر مشخص شده است كه بدافزار Stuxnet يك كد رمزنگاري شده را بر رويProgrammable Logic Controllers (PLCs) سيستم قرباني بارگذاري مي كند كه از آن براي كنترل اتوماسيون پروسه هاي صنعتي استفاده مي شود. در حال حاضر هنوز فعاليت هاي كد مذكور به صورت دقيق مشخص نشده است. يك مهاجم با استفاده از back door مي تواند از راه دور به انجام فعاليت هايي همچون دريافت فايل ها، اجراي پردازه ها، پاك كردن فايل ها و فعاليت هاي مشابه بپردازد. وي همچنين امكان اين را دارد كه در فعاليت هاي حياتي يك كارخانه تداخل ايجاد كند و كارهايي مانند بستن دريچه ها و خاموش كردن سيستم هاي خروجي را انجام دهد. بنا بر گفته يكي از محققان امنيتي، مهاجمان مي توانند براي مثال در يك نيروگاه توليد انرژي، نقشه چگونگي عملكرد ماشين آلات فيزيكي را دريافت كرده و آنها را تحليل كنند تا دريابند چگونه مي توانند تغييرات مورد نظر خود را در آنها اعمال كنند. سپس كد دلخواه خود را وارد ماشين آلات كرده تا شيوه عملكرد آنها را تغيير دهند. كرم Stuxnet با سوءاستفاده از يك حفره امنيتي در ويندوز، خود را منتشر مي سازد. حفره امنيتي مذكور كه در همه نسخه هاي ويندوز وجود دارد مربوط به پردازش فايل هاي ميان بر (shortcut) با پسوند .lnk است. اين ويروس از طريق درايوهاي USB، سيستم هاي قرباني را آلوده مي سازد، با اين وجود بنا بر اطلاعات ارائه شده توسط مايكروسافت، اين ويروس همچنين مي تواند در يك وب سايت، اشتراك هاي شبكه از راه دور يا در فايل هاي Word نيز مخفي شده و از اين طرق به گسترش آلودگي بپردازد.
مايكروسافت يك اصلاحيه فوري را براي برطرف ساختن نقص امنيتي مذكور منتشر كرده است، ولي تنها نصب اصلاحيه، نمي تواند از سيستم هايي كه از نرم افزار زيمنس استفاده مي كنند، محافظت به عمل آورد زيرا اين بدافزار قادر است كد خود را در سيستم هاي مذكور مخفي كرده و بدون اينكه كسي متوجه شود، در فعاليت هاي كارخانه و يا نيروگاه مداخله كند. آنها همچنين مي توانند فعاليت هاي جديدي را براي يك خط لوله و يا يك نيروگاه تعريف كنند كه ممكن است صاحبان سيستم متوجه آن نشوند. به همين دليل سيستم هايي كه آلوده شده اند بايد كاملاً مورد بازرسي قرار گيرند تا اطمينان حاصل شود به همان شيوه اي كه مورد انتظار است، كار مي كنند. واضح است كه انجام بازرسي مذكور بسيار سخت و زمان بر و در عين حال ضروري است. در واقع علاوه بر نصب اصلاحيه لازم است، پاكسازي كامل در مورد رايانه هاي آلوده نيز انجام شود. محققان امنيتي سايمانتك مي دانند كه بدافزار Stuxnet قابليت انجام چه كارهايي را دارد ولي نمي دانند كه اين بدافزار دقيقاً چه كاري را بر روي سيستم هاي آلوده انجام مي دهد. براي مثال آنها مي دانند كه بدافزار مذكور داده ها را مورد وارسي قرار مي دهد و همچنين با توجه به تاريخ، فعاليت هاي متفاوتي را انجام مي دهد ولي هنوز در مورد فعاليت هاي مذكور چيزي نمي دانند. يكي از محققان امنيتي درباره انتشار اين بدافزار عقيده دارد كه اين وضعيت نشان دهنده مشكلاتي فراتر از تنها يك كرم رايانه اي است و مشخص كننده مشكلات امنيتي عمده اي در بخش صنعت است. به نظر وي مردم درك نمي كنند كه نمي توانند تنها به راه حل هاي امنيتي مورد استفاده در دنياي فناوري اطلاعات براي حفظ داده ها در دنياي كنترل صنعتي اكتفا كنند، براي مثال آنتي ويروس ها نتوانستند و نمي توانستند وجود اين تهديد ويژه را تشخيص دهند. او مي گويد:" آنتي ويروس ها يك احساس امنيت كاذب را ايجاد مي كنند، زيرا اين ضعف خود را از ديد عموم مي پوشانند." بنا بر نظر سايمانتك، بدافزار مذكور يك پروژه بزرگ است و يك شركت جاسوسي صنعتي و يا يك دولت در وراي اين حملات قرار دارد زيرا حملات مذكور پيچيده محسوب مي شوند. افرادي كه در وراي بدافزار مذكور قرار دارند هزينه هاي زيادي را صرف به دست آوردن كد سوءاستفاده آسيب پذيري جديد و اصلاح نشده در ويندوز، برنامه نويسان ماهر و دانش در مورد سيستم هاي كنترل صنعتي و همچنين فريب رايانه هاي قرباني براي پذيرش امضاهاي ديجيتالي جعلي كرده اند. در حال حاضر شواهدي مبني بر اينكه دقيقاً چه كساني در وراي حملات مذكور قرار دارند، وجود ندارد. بنا به گفته سايمانتك تحليل بدافزار مذكور همچنان ادامه دارد و به محض اينكه اطلاعات جديدي در اينباره كشف شود در اختيار عموم قرار داده مي شود.

برچسب‌ها