IRCRE201009046
كرم Stuxnet بدافزاري است كه چنان در استفاده از آسيب پذيريهاي اصلاح نشده ماهر است و چنان در كار خود پيچيده عمل ميكند كه آن دسته از متخصصان امنيتي كه در مورد آن تحقيق كرده اند، معتقدند كه ممكن است اين بدافزار كار متخصصاني با پشتوانه قوي باشد. اين بدافزار هم زمان چهار نقص امنيتي اصلاح نشده ويندوز را مورد سوء استفاده قرار ميدهد كه سوء استفاده از اين تعداد آسيب پذيري براي يك بدافزار بسيار زياد است.
Stuxnet كه نخستين بار در اواسط جولاي توسط شركت كوچك امنيتي VirusBlokAda در بلاروس گزارش شد، يك ماه بعد زماني كه مايكروسافت تاييد كرد كه اين كرم در حال هدف قرار دادن سيستمهاي ويندوز در مديريت سيستمهاي كنترل صعنتي بزرگ است، به شهرت رسيد.
اين سيستمهاي كنترلي اغلب با عنوان SCADA (Supervisory Control And Data Acquisition) شناخته ميشوند. اين سيستمها هر چيزي را، از سايتهای نيروگاهي گرفته تا خطوط انتقال نفت، كنترل ميكنند.
محققان ابتدا اعتقاد داشتند كه Stuxnet صرفا از يك آسيب پذيري اصلاح نشده در ويندوز سوء استفاده كرده و از طريق درايوهاي USB منتشر ميشود. به گفته محققان سايمانتك، ايران جدي ترين هدف اين كرم بوده و در ماه جولاي نزديك به 60 درصد از تمامي سيستمهاي آلوده، در ايران قرار داشتند. در روز دوم آگوست، مايكروسافت يك به روز رساني فوري براي اصلاح اين نقص عرضه كرد. در اين زمان Stuxnet به عنوان كرم سوء استفاده كننده از ميانبرهاي ويندوز شناخته ميشد.
اما برخلاف انتظار مايكروسافت، Stuxnet ميتوانست همزمان از چهار آسيب پذيري براي دسترسي به شبكه هاي شركتها استفاده كند. به گفته محققان، پيش از اين ديده نشده است كه يك بدافزار به طور همزمان از چهار آسيب پذيري اصلاح نشده استفاده كند. زماني كه اين كرم به يك شبكه دسترسي پيدا ميكند، به دنبال كامپيوترهاي خاصي ميگردد كه سيستمهاي SCADA را كه توسط نرم افزاري از شركت زيمنس كنترل ميشوند، مديريت ميكنند.
محققان Kaspersky و سايمانتك با در دست داشتن نمونه اي از Stuxnet، كد اين بدافزار را مورد بررسي و تحليل عميق قرار دادند تا به اطلاعات بيشتري در مورد آن دست پيدا كنند. اين دو شركت به طور جداگانه كد حمله اي را كه سه آسيب پذيري اصلاح نشده ديگر ويندوز را هدف قرار داده بود، پيدا كردند.
به گفته يكي از محققان Kaspersky، نخست ظرف مدت يك هفته تا يك هفته و نيم، حفره print spooler توسط محققان اين شركت پيدا شد. سپس حفره EoP (تغيير حق دسترسي) ويندوز نيز توسط اين شركت امنيتي كشف شد. پس از آن حفره دوم EoP نيز توسط محققان مايكروسافت پيدا شد.
محققان سايمانتك نيز به طور جداگانه آسيب پذيري print spooler و دو آسيب پذيري EoP را در ماه آگوست پيدا كردند.
هر دو شركت نتايج فعاليتهاي خود را به مايكروسافت گزارش كردند كه باعث شد آسيب پذيري print spooler به سرعت اصلاح شده و وعده اصلاح دو آسيب پذيري كم خطرتر EoP در به روز رساني امنيتي بعدي نيز داده شود.
اما عجايب Stuxnet به اينجا ختم نميشود. اين كرم همچنين از يك حفره ويندوز كه در سال 2008 توسط به روز رساني MS08-067 اصلاح شده بودنيز استفاده ميكند. اين نقص امنيتي همان آسيب پذيري مورد استفاده كرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود كه به ميليونها سيستم در سراسر جهان آسيب وارد كرد.
زماني كه Stuxnet از طريق USB وارد يك شبكه ميشود، با استفاده از آسيب پذيريهاي EoP حق دسترسي admin به ساير PC ها را براي خود ايجاد ميكند، سيستمهايي را كه برنامه هاي مديريت WinCC و PCS 7 SCADA اجرا ميكنند پيدا ميكند، كنترل آنها را با سوء استفاده از يكي از آسيب پذيريهاي print spooler يا MS08-067 در اختيار ميگيرد، و سپس كلمه عبور پيش فرض زيمنس را براي در اختيار گرفتن نرم افزار SCADA آزمايش ميكند. سپس مهاجمان ميتوانند نرم افزار PLC (programmable logic control) را مجددا برنامه ريزي كنند تا دستورات جديد را مطابق ميل خود صادر نمايند.
نكته قابل توجه اين است كه اين كد حمله معتبر و قانوني به نظر ميرسد، چرا كه افرادي كه پشت Stuxnet قرار دارند، حداقل دو گواهي ديجيتالي امضا شده را سرقت كرده اند.
به گفته محقق شركت امنيتي Kaspersky، سازماندهي و پيچيدگي اجراي كل بسته بسيار قابل توجه است. به عقيده وي، هر كسي كه پشت اين بدافزار قرار دارد، قصد دارد به تمام داراييهاي شركت يا شركتهاي هدف خود دست يابد.
يك محقق امنيتي ديگر نيز معتقد است كه تيمي متشكل از افرادي با انواع تخصصها و پيش زمينه ها از Rootkit گرفته تا پايگاه داده، اين بدافزار را ايجاد كرده و هدايت ميكنند. اين بدافزار كه تقريبا نيم مگابايت حجم دارد، به چندين زبان از جمله C، C++ و ساير زبانهاي شيء گرا نوشته شده است. به گفته وي، تيم ايجاد كننده اين بدافزار نياز به سخت افزار فيزيكي واقعي براي تست داشته اند و به خوبي ميدانند كه يك كارخانه خاص چگونه كار ميكند. بنابراين ايجاد و استفاده از اين بدافزار قطعا يك پروژه بزرگ بوده است.
يك راه كه اين مهاجمان با استفاده از آن ريسك شناسايي شدن را كم كرده اند، قرار دادن يك شمارنده در USB آلوده است كه اجازه انتشار بدافزار از طريق يك USB خاص به بيش از سه كامپيوتر را نميدهد. اين بدان معناست كه مهاجمان سعي كرده اند با جلوگيري از گسترش بيش از اندازه اين بدافزار، آن را در سازمان هدف خود نگاه داشته و به اين ترتيب از شناسايي آن جلوگيري نمايند.
زماني كه اين بدافزار وارد شبكه يك شركت ميشود، فقط در صورتي از آسيب پذيري MS08-067 استفاده ميكند كه بداند هدف، بخشي از يك شبكه SCADA است. در اغلب شبكه هاي SCADA هيچگونه عمليات ثبت (logging) انجام نميشود و اين شبكه ها داراي امنيت محدود بوده و به ندرت اصلاحيه اي در مورد آنها منتشر ميشود. همين مساله باعث ميشود كه سوء استفاده از آسيب پذيري MS08-067 كه مدتهاست اصلاح شده است، براي اين كار موثر و مفيد باشد.
تمام اين مسائل، تصويري ترسناك از Stuxnet ميسازد. محققان سايمانتك و Kaspersky معتقدند كه با توجه به شناسايي كاملي كه اين كرم انجام ميدهد و پيچيدگي كار آن و خطرناك بودن حمله آن، اين بدافزار حتي نميتواند صرفا كار يك گروه حرفه اي جنايتكار سايبري باشد.
محقق امنيتي شركت سايمانتك معتقد است كه اين به هيچ عنوان نميتواند كار يك گروه خصوصي باشد. چرا كه مهاجمان صرفا به دنبال اطلاعات براي حذف رقيب نبوده اند. آنها قصد داشته اند PLC ها را مجددا برنامه ريزي كرده و كار سيستمها را به چيزي غير از آنچه كه صاحبان آنها ميخواهند، تغيير دهند كه اين چيزي بيش از جاسوسي صنعتي است. به گفته وي، منابع و هزينه مورد نياز براي اين حمله، آن را خارج از قلمرو يك گروه هك خصوصي قرار ميدهد.
اين حمله به طور خاص ايران را هدف گرفته بود. محقق امنيتي Kaspersky معتقد است كه با در نظر گرفتن تمامي اين شرايط، محتملترين سناريو در مورد اين بدافزار، يك گروه هك وابسته به سرويسهاي جاسوسي حكومتي يك كشور است.
به گفته محقق امنيتي سايمانتك، اين يك پروژه بسيار مهم براي افرادي است كه در پشت آن قرار دارند كه هزينه ها و ريسك بالايي نيز داشته است.
همچنين اگرچه زيمنس ادعا ميكند كه 14 سايت آلوده به Stuxnet كه توسط اين شركت كشف شده اند، توسط اين بدافزار خراب نشده و يا تحت تاثير آن قرار نگرفته اند، اما محققان امنيتي سايمانتك و Kaspersky در اين باره مطمئن نيستند.
متخصصان در مورد زمان آغاز به كار اين بدافزار اتفاق نظر ندارند. Kaspersky آغاز فعاليت اين بدافزار را در جولاي 2009 ميداند، در حالي كه سايمانتك معتقد است كه شروع اين حملات به ژانويه 2010 برميگردد. اما همگي معتقدند كه اين كرم ماهها بدون شناسايي شدن به كار خود ادامه داده است. اين محققان فكر ميكنند كه اين بدافزار توانسته باشد پيش از شناسايي شدن، به اهداف خود برسد.
- 18