درباره Stuxnet بیشتر بدانید

كرم Stuxnet بدافزاری است كه چنان در استفاده از آسیب پذیری­های اصلاح نشده ماهر است و چنان در كار خود پیچیده عمل می­كند كه آن دسته از متخصصان امنیتی كه در مورد آن تحقیق كرده اند، معتقدند كه ممكن است این بدافزار كار متخصصانی با پشتوانه قوی باشد. این بدافزار هم زمان چهار نقص امنیتی اصلاح نشده ویندوز را مورد سوء استفاده قرار می­دهد كه سوء استفاده از این تعداد آسیب پذیری برای یك بدافزار بسیار زیاد است.

Stuxnet كه نخستین بار در اواسط جولای توسط شركت كوچك امنیتی VirusBlokAda در بلاروس گزارش شد، یك ماه بعد زمانی كه مایكروسافت تایید كرد كه این كرم در حال هدف قرار دادن سیستم­های ویندوز در مدیریت سیستم­های كنترل صعنتی بزرگ است، به شهرت رسید.

این سیستم­های كنترلی اغلب با عنوان SCADA (Supervisory Control And Data Acquisition) شناخته می­شوند. این سیستم­ها هر چیزی را، از سایت­های نیروگاهی گرفته تا خطوط انتقال نفت، كنترل می­كنند.

محققان ابتدا اعتقاد داشتند كه Stuxnet صرفا از یك آسیب پذیری اصلاح نشده در ویندوز سوء استفاده كرده و از طریق درایوهای USB منتشر می­شود. به گفته محققان سایمانتك، ایران جدی ترین هدف این كرم بوده و در ماه جولای نزدیك به 60 درصد از تمامی سیستم­های آلوده، در ایران قرار داشتند. در روز دوم آگوست، مایكروسافت یك به روز رسانی فوری برای اصلاح این نقص عرضه كرد. در این زمان Stuxnet به عنوان كرم سوء استفاده كننده از میان­برهای ویندوز شناخته می­شد.

اما برخلاف انتظار مایكروسافت، Stuxnet می­توانست همزمان از چهار آسیب پذیری برای دسترسی به شبكه های شركت­ها استفاده كند. به گفته محققان، پیش از این دیده نشده است كه یك بدافزار به طور همزمان از چهار آسیب پذیری اصلاح نشده استفاده كند. زمانی كه این كرم به یك شبكه دسترسی پیدا می­كند، به دنبال كامپیوترهای خاصی می­گردد كه سیستم­های SCADA را كه توسط نرم افزاری از شركت زیمنس كنترل می­شوند، مدیریت می­كنند.

محققان Kaspersky و سایمانتك با در دست داشتن نمونه ای از Stuxnet، كد این بدافزار را مورد بررسی و تحلیل عمیق قرار دادند تا به اطلاعات بیشتری در مورد آن دست پیدا كنند. این دو شركت به طور جداگانه كد حمله ای را كه سه آسیب پذیری اصلاح نشده دیگر ویندوز را هدف قرار داده بود، پیدا كردند.

به گفته یكی از محققان Kaspersky، نخست ظرف مدت یك هفته تا یك هفته و نیم، حفره print spooler توسط محققان این شركت پیدا شد. سپس حفره EoP (تغییر حق دسترسی) ویندوز نیز توسط این شركت امنیتی كشف شد. پس از آن حفره دوم EoP نیز توسط محققان مایكروسافت پیدا شد.

هر دو شركت نتایج فعالیت­های خود را به مایكروسافت گزارش كردند كه باعث شد آسیب پذیری print spooler به سرعت اصلاح شده و وعده اصلاح دو آسیب پذیری كم خطرتر EoP در به روز رسانی امنیتی بعدی نیز داده شود.

اما عجایب Stuxnet به اینجا ختم نمی­شود. این كرم همچنین از یك حفره ویندوز كه در سال 2008 توسط به روز رسانی MS08-067 اصلاح شده بودنیز استفاده می­كند. این نقص امنیتی همان آسیب پذیری مورد استفاده كرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود كه به میلیون­ها سیستم در سراسر جهان آسیب وارد كرد.

زمانی كه Stuxnet از طریق USB وارد یك شبكه می­شود، با استفاده از آسیب پذیری­های EoP حق دسترسی admin به سایر PC ها را برای خود ایجاد می­كند، سیستم­هایی را كه برنامه های مدیریت WinCC و PCS 7 SCADA اجرا می­كنند پیدا می­كند، كنترل آنها را با سوء استفاده از یكی از آسیب پذیری­های print spooler یا MS08-067 در اختیار می­گیرد، و سپس كلمه عبور پیش فرض زیمنس را برای در اختیار گرفتن نرم افزار SCADA آزمایش می­كند. سپس مهاجمان می­توانند نرم افزار PLC (programmable logic control) را مجددا برنامه ریزی كنند تا دستورات جدید را مطابق میل خود صادر نمایند.

نكته قابل توجه این است كه این كد حمله معتبر و قانونی به نظر می­رسد، چرا كه افرادی كه پشت Stuxnet قرار دارند، حداقل دو گواهی دیجیتالی امضا شده را سرقت كرده اند.

به گفته محقق شركت امنیتی Kaspersky، سازماندهی و پیچیدگی اجرای كل بسته بسیار قابل توجه است. به عقیده وی، هر كسی كه پشت این بدافزار قرار دارد، قصد دارد به تمام دارایی­های شركت یا شركت­های هدف خود دست یابد.

یك محقق امنیتی دیگر نیز معتقد است كه تیمی متشكل از افرادی با انواع تخصص­ها و پیش زمینه ها از Rootkit گرفته تا پایگاه داده، این بدافزار را ایجاد كرده و هدایت می­كنند. این بدافزار كه تقریبا نیم مگابایت حجم دارد، به چندین زبان از جمله C، C++ و سایر زبان­های شیء گرا نوشته شده است. به گفته وی، تیم ایجاد كننده این بدافزار نیاز به سخت افزار فیزیكی واقعی برای تست داشته اند و به خوبی می­دانند كه یك كارخانه خاص چگونه كار می­كند. بنابراین ایجاد و استفاده از این بدافزار قطعا یك پروژه بزرگ بوده است.

یك راه كه این مهاجمان با استفاده از آن ریسك شناسایی شدن را كم كرده اند، قرار دادن یك شمارنده در USB آلوده است كه اجازه انتشار بدافزار از طریق یك USB خاص به بیش از سه كامپیوتر را نمی­دهد. این بدان معناست كه مهاجمان سعی كرده اند با جلوگیری از گسترش بیش از اندازه این بدافزار، آن را در سازمان هدف خود نگاه داشته و به این ترتیب از شناسایی آن جلوگیری نمایند.

زمانی كه این بدافزار وارد شبكه یك شركت می­شود، فقط در صورتی از آسیب پذیری MS08-067 استفاده می­كند كه بداند هدف، بخشی از یك شبكه SCADA است. در اغلب شبكه های SCADA هیچگونه عملیات ثبت (logging) انجام نمی­شود و این شبكه ها دارای امنیت محدود بوده و به ندرت اصلاحیه ای در مورد آنها منتشر می­شود. همین مساله باعث می­شود كه سوء استفاده از آسیب پذیری MS08-067 كه مدت­هاست اصلاح شده است، برای این كار موثر و مفید باشد.

تمام این مسائل، تصویری ترسناك از Stuxnet می­سازد. محققان سایمانتك و Kaspersky معتقدند كه با توجه به شناسایی كاملی كه این كرم انجام می­دهد و پیچیدگی كار آن و خطرناك بودن حمله آن، این بدافزار حتی نمی­تواند صرفا كار یك گروه حرفه ای جنایتكار سایبری باشد.

محقق امنیتی شركت سایمانتك معتقد است كه این به هیچ عنوان نمی­تواند كار یك گروه خصوصی باشد. چرا كه مهاجمان صرفا به دنبال اطلاعات برای حذف رقیب نبوده اند. آنها قصد داشته اند PLC ها را مجددا برنامه ریزی كرده و كار سیستم­ها را به چیزی غیر از آنچه كه صاحبان آنها می­خواهند، تغییر دهند كه این چیزی بیش از جاسوسی صنعتی است. به گفته وی، منابع و هزینه مورد نیاز برای این حمله، آن را خارج از قلمرو یك گروه هك خصوصی قرار می­دهد.

این حمله به طور خاص ایران را هدف گرفته بود. محقق امنیتی Kaspersky معتقد است كه با در نظر گرفتن تمامی این شرایط، محتمل­ترین سناریو در مورد این بدافزار، یك گروه هك وابسته به سرویس­های جاسوسی حكومتی یك كشور است.

به گفته محقق امنیتی سایمانتك، این یك پروژه بسیار مهم برای افرادی است كه در پشت آن قرار دارند كه هزینه ها و ریسك بالایی نیز داشته است.

همچنین اگرچه زیمنس ادعا می­كند كه 14 سایت آلوده به Stuxnet كه توسط این شركت كشف شده اند، توسط این بدافزار خراب نشده و یا تحت تاثیر آن قرار نگرفته اند، اما محققان امنیتی سایمانتك و Kaspersky در این باره مطمئن نیستند.

متخصصان در مورد زمان آغاز به كار این بدافزار اتفاق نظر ندارند. Kaspersky آغاز فعالیت این بدافزار را در جولای 2009 می­داند، در حالی كه سایمانتك معتقد است كه شروع این حملات به ژانویه 2010 برمی­گردد. اما همگی معتقدند كه این كرم ماه­ها بدون شناسایی شدن به كار خود ادامه داده است. این محققان فكر می­كنند كه این بدافزار توانسته باشد پیش از شناسایی شدن، به اهداف خود برسد.