«رايانه هاي ايراني در معرض تاخت و تاز يك ويروس خطرناك» اين خبري است كه اين روزها بر خروجي اكثر خبرگزاري هاي خارجي و داخلي قرار گرفته است.
در ابتدا گمان ميرفت كه اين يك حمله ی معمولي مانند هزاران حمله ی ويروسي است كه روزانه ميليونها رايانه در سراسر جهان را مورد هدف قرار ميدهد؛ اما گويا اين حمله بسيار جدي بوده و برعكس هميشه، بيشتر رايانه هاي ايران، اندونزي و هندوستان را مورد هجوم خود قرار داده است. همچنين براساس گزارش هاي منتشر شده، رايانه هاي شخصي در ايران بيش از ديگر كشورها به كرم رايانهاي خطرناكي به نام SCADA كه به Stuxnet نيز شهرت دارد، آلوده شده است. گفتني است كه هدف اين كرم رايانه اي سرقت اطلاعات از سيستم هاي كنترل صنعتي است. حتي برخي كارشناسان آن را نخستين تروجاني ميدانند كه اطلاعات صنعتي را به سرقت ميبرد.
نخستين ويروس صنعتي
شايد اين اولين باري باشد كه يك ويروس تا اين سطح وسيع از رايانه هاي كشور را مورد حمله خود قرار ميدهد، چرا كه بر اساس اطلاعات جمع آوري شده توسط شركت امنيتي سيمانتك در حدود 60 درصد از سيستمهاي رايانهاي كه به اين ويروس آلوده شده اند، در ايران قرار دارند. به گفته الياس لووي، مدير ارشد فني بخش پاسخگويي ايمني سيمانتك، با توجه به تاريخ نشانه هاي ديجيتالي كه از اين كرم رايان هاي به جا مانده، ميتوان گفت اين نرم افزار از ماه ژانويه سال جاري ميان رايانه ها در گردش بوده است. Stuxnet ماه گذشته توسط يك شركت بلاروسي به نام VirusBlockAda كشف شد. اين شركت در آن زمان اعلام كرد اين ويروس را روي سيستم نرم افزاري يكي از مشتريان ايراني خود كشف كرده است.
هدف: سيستم هاي كنترل پروژه زيمنس
نام زيمنس و سيستم هاي كنترل پروژه به اين ويروس گره خورده است. به گفته كارشناسان امنيتي، اين كرم به دنبال سيستم مديريتي SCADA زيمنس كه معمولا در كارخانه هاي بزرگ توليدي و صنعتي مورد استفاده قرار ميگيرد بوده و تلاش ميكند اسرار صنعتي رايانه هاي اين كارخانه ها را روي اينترنت بارگذاري (Upload) كند.
در همين حال مشخص نيست، چرا بيشترين موارد آلودگي در ايران ديده شده است، هر چند اين احتمال بسيار تقويت شده كه اين ويروس مخصوص صنايع ايران طراحي شده باشد. سيمانتك در اين زمينه اعلام كرده نميداند، چرا ايران و ديگر كشورها به اين اندازه تحت تاثير آلودگي هاي ويروسي قرار دارند. به گفته لووي، تنها ميتوان گفت افرادي كه اين نرم افزارهاي خاص را ساخته اند، آن را ويژه حمله به اين نقاط جغرافيايي خاص طراحي كردهاند.
شركت زيمنس كه نرم افزارهايش تحت حمله اين ويروس قرار گرفته، تعداد مشتريان خود را در ايران اعلام نميكند، اما به تازگي اعلام كرده دو شركت آلماني به واسطه اين ويروس آلوده شده اند. بر اساس گزارش هاي منتشر شده نرم افزار آنتي ويروس رايگاني كه طي چند روز گذشته روي وب سايت زيمنس قرار گرفته تاكنون هزار و 500 بار دانلود شده است.سيمانتك اطلاعات خود را به واسطه همكاري با صنايع و تغيير مسير ترافيك به وجود آمده به منظور اتصال به سرورهاي كنترل و فرمان كرم رايانه اي به سوي رايانه هاي خود جمع آوري كرده است. طي دورهاي سه روزه رايانه هايي كه در 14 هزار آدرس IP حضور داشتند تلاش كردند با اين سرورهاي كنترل و فرمان ارتباط برقرار كنند كه اين نشان ميدهد تعداد كمي از رايانه هاي خانگي در سرتاسر جهان به اين كرم آلوده شده اند. تعداد دقيق رايانه هاي آلوده ميتواند در حدود 15 تا 20 هزار باشد، زيرا بسياري از شركت ها براي چند رايانه يك آدرس IP در نظر ميگيرند.به اين دليل كه سيمانتك ميتواند آدرسهاي IP مورد استفاده سيستم هاي رايانه اي را براي اتصال به سرورهاي كنترل و فرمان مشاهده كند، ميتواند تعيين كند كدام رايانه آلوده شده است. به گفته اين شركت، رايانه هاي آلوده شده به سازمان هاي متعددي تعلق داشتند كه از نرم افزار و سيستمهاي SCADA استفاده ميكردند، ويژگي كه به روشني مورد هدف حمله هكرها بوده است.
بر اساس گزارش PCworld، كرم Stuxnet توسط ابزارهاي USB دار انتقال پيدا ميكند، زماني كه ابزاري آلوده به اين شكل به رايانه اتصال پيدا ميكند، كدهاي آن به جست و جوي سيستم هاي زيمنس گشته و خود را روي هر ابزار USB دار ديگري كه بيابد، كپي خواهد كرد.به نوشته سيمانتك دليل اصلي توليد اين ويروس مشخص نيست، اما انگيزه هاي جاسوسي صنعتي، تروريسم صنعتي يا حتي انگيزه هاي منفي برخي كاركنان و همچنين انگيزههاي كشف اطلاعات محرمانه توسط رقبا ممكن است از جمله دلايل ايجاد اين ويروس بوده باشد.
هشدار به كاربران ايراني
براساس گزارش هاي منتشر شده در اكثر سايت هاي معتبر دنيا اين بدافزار جاسوسي با سوء استفاده از يك آسيب پذيري جديد و اصلاح نشده در ويندوز، به سرعت در حال گسترش است.
در همين زمينه اسماعيل ذبيحي، مسوول اطلاع رساني شركت ايمن رايانه پندار، نماينده انحصاري شركت پاندا در ايران ميگويد: «ريشه گسترش اين ويروس اين حفره امنيتي مربوط به شركت مايكروسافت است و اگر اين حفره امنيتي وجود نداشت اين ويروس تا اين حد گسترش پيدا نميكرد، البته شركت مايكروسافت اصلاحيه موقت خود را منتشر كرده و اگر كاربران از اين اصلاحيه استفاده كنند به مشكلي بر نخواهند خورد.» وي در خصوص گسترش اين بدافزار در كشور ميگويد: «اين ويروس تنها دستگاه هاي scada را مورد حمله قرار ميدهد؛ يعني سيستم هاي كنترل مديريت پروژه در صنايع بزرگ. و از آنجايي كه ايران در صنايع بزرگ از محصولات زيمنس استفاده ميكند بنابراين بيشتر دچار آسيب شده است. همچنين از آنجايي كه اين ويروس به صورت نامحسوس است بدون اينكه صاحبان صنايع متوجه شوند اطلاعات نشت پيدا ميكند.» براساس اظهارات وي هنوز مشخص نيست كه چرا ايران و شركت زيمنس در اين بين قرباني شده اند. همچنين به گفته وي 13 درصد آلودگي ها از طريق ايميل و دانلود مستقيم از اينترنت صورت گرفته است و بيشترين عامل پخش اين ويروس در ايران از طريق USB بوده است با اين حال به گفته ذبيحي تاكنون تنها 2 درصد كامپيوتر كشور به اين ويروس آلوده شده اند.
اما علي رضا صالحي، روابط عمومي شركت كسپراسكاي، بر اين باور است كه اين بد افزار آن طور كه رسانه ها آن را بزرگ جلوه ميدهند، خطرناك نيست و مشكل جدي به وجود نخواهد آورد. وي در ادامه ميگويد: «اين بدافزار جديد كه در واقع يك rootkit است، از يك آسيب پذيري در فايلهاي shortcut با پسوند .lnk سوء استفاده ميكند.
بدافزار مذكور نرمافزار Siemens WinCC Scada را كه روي ويندوز 7 نسخه Enterprise و سيستم هاي x86 اجرا ميشود، آلوده ميسازد. اين ويروس از طريق درايوهاي USB گسترش پيدا ميكند و زماني كه يك آيكون Shortcut روي صفحه نمايش قرباني نشان داده ميشود، به صورت اتوماتيك اجرا ميشود.» وي در ادامه ميافزايد: « هدف بدافزار مذكور گرفتن حق دسترسي مديريتي و دسترسي به داده هاي سيستم هاي Scada است كه معمولا توسط سازمانهاي داراي زيرساختهاي حياتي مورد استفاده قرار ميگيرد. اين بدافزار از نام كاربري و كلمه عبوري كه در نرمافزار Siemens به صورت hard-coded وجود دارد، سوءاستفاده ميكند.» همچنين گفته ميشود كه اين بدافزار جديد از يك امضاي ديجيتالي مربوط به معتبرترين شركت سختافزاري يعني Realtek Semiconductor Corporation براي اعتباردهي به درايورهاي خود استفاده ميكند.
به گفته صالحي پس از انتشار اين بدافزار شركت كسپر اسكاي در 13 جولاي، شركت مكافي در 16 جولاي و شركت سيمانتك در 17 جولاي آن را شناسايي و براي آن برنامه لازم را نوشته و انتشار داده اند.به گفته كارشناسان يكي از دلايل اصلي انتشار اين بدافزار در كشور به ضعف سيستم امنيتي سازمانهاي از جمله سازمانه اي صنعتي كشور باز ميگردد. در اين خصوص صالحي ميگويد: « در سه سال اخير توجه به حوزه امنيت پر رنگتر شده و اغلب شركتها و سازمان هاي مهم و بزرگ به سمت استفاده از آنتي ويروس هاي اصل روي آوردهاند. طبيعتا كساني كه از آنتي ويروس استاندارد و اصل استفاده ميكنند مشكل چنداني نخواهند داشت، اما آن دسته از سازمانيهايي كه از آنتي ويروس قفل شكسته استفاده ميكنند طبيعتا با مشكل مواجه خواهند شد.» به باور وي اين دسته از شركتها نه تنها در اين مورد خاص بلكه در اكثر مواقع دچار مشكل ميشوند و تنها راه حلي كه اين شركت ها يا سازمان ها را ميتواند در مقابل اين حملات پشتيباني كند اين است كه در كنار اختصاص دادن بودجه به ساير موارد سازمان خود به بخش امنيت اطلاعات خود نيز توجه ويژه اي نشان دهند.
صالحي در ادامه يادآور ميشود از آن جايي كه اين ويروس، آنطور كه گفته ميشود خطرناك نيست كمتر كاربران خانگي را مورد هدف قرار ميدهد، اما كاربران ميتوانند با استفاده از آنتي ويروس هاي اصل و استفاده از اصلاحيه شركت مايكروسافت ضريب امنيت دستگاه خود را بالا ببرند.