یکی از تفاوتهای استاکسنت با سایر ویروسها، شیوه مخفیکردن عملیاتهایش است، آنچه این ویروس را منحصر به فرد میکند، شیوهایست کهویروس به وسیله آن عملکردهایش را پنهان میسازد سایت"وایرد" در گزارشی مفصل، "استاکسنت" را رمزگشایی و اهداف آنرا در حمله به تأسیسات هستهای ایران بررسی کرد. بخش دوم این مقاله به بررسیرایانه های آلوده شده به وسیله استاکسنت می پردازد .
استاکسنت در مقایسه با سایر ویروسها حجم بی نهایتزیادی داشت
چند لایه مانند ماسک، حفره "روز صفر" که اینویروس از آن استفاده میکرد را پوشانده بود و رسیدن به ریشه آن را مشکل میکرد.این ویروس همچنین بسیار سنگین بود: 500 کیلوبایت که در مقایسه با ویروسهای دیگریکه تنها 10 تا 15 کیلوبایت حجم دارند، بسیار حجیم است. چنین ویروس سنگینی معمولاًشامل یک فایل حجیم ایمیج است، مثلا یک صفحه بانکی آنلاین و دروغین که در کامپیوترآلوده باز میشود و از کاربر تقاضا میکند تا اطلاعات حساب بانکی اش را وارد کند.اما هیچ فایل ایمیجی در استاکسنت وجود نداشت و اطلاعات زیادی نیز در آن موجودنبود. به نظر میرسید کد این ویروس، یک توده فشرده و کارآمد از اطلاعات و فرمانباشد. "او مورچو" به سرعت به این ویروس علاقهمند شد .
اولین برخورد با ویروسی مشابه با استاکسنت
اولین برخورد اومورچو با این ویروس در سال 1996 بود. در آنزمان یکی از دانشجویان دانشگاه دوبلین ویروسی را ساخت که به شبکه این دانشگاه حملهکرد . در اواسط ماه مارس، صدها اتاق منتهی بهآزمایشگاههای این دانشگاه به دانشجویان اجازه ورود نمی دادند، مگر این که آنها به10 سؤالی که در صفحه کناریشان پدیدار میشد، جواب میدادند. اغلب افراد از اینمشکل به وجود آمده ناراحت شدند، اما او مورچو جذب کد آن شد و آن را تجزیه کرد تابببیند چگونه کار میکند. گشودن ساختار هر چیزی در خون او بود. وی در کودکی نیز ازآن کودکانی بود که به جای بازی با ماشین اسباببازیاش، آن را تکهتکه میکرد تاببیند چرخدندههایش چگونه کار میکنند. همین کنجکاوی بود که او را به حوزه امنیتیکشید .
شروع کار او مورچو به عنوان متخصص امنیتی
او مورچو پس از فارغالتحصیلی از دانشگاه، برای مدت کوتاهیبه عنوان آزمونگر نفوذ در یکی از شرکتهای سازنده کیوسکهای اینترنتی در آمریکامشغول شد . وی تلاش میکرد تا سیستم پرداخت کیوسک راهک کند تا به طور مجانی به اینترنت دسترسی پیدا کند. شرکت، وی را تنها برای انجامچند آزمون استخدام کرد، اما سپس او و سایر آزمونگرها را سه ماه دیگر نگه داشت،زیرا آنان مدام راههایی را برای هک کردن سیستم کیوسک پیدا میکردند. در سال 2002وی با یک شرکت آنتیاسپم همکاری کرد که پس از مدت کمی به شرکت "سیمانتک " پیوست. او مورچو در نهایت به دفتر موفق شرکت در شهر کالوررفت و دوبلین را به مقصد کالیفرنیای جنوبی ترک کرد .
او مورچو، در یک نگاه ویروسهای معمولی را شناسایی میکرد
اما استاکسنت با سایر ویروسها تفاوت داشت اگر شما هم بهاندازه او مورچو ویروس و کرم دیده باشید، با یک نگاه به یک نرمافزار مخرب تشخیصمیدهید که از چه نوعی است، حال مهم نیست که این نرمافزار بدون دقت درست شده باشدو یا با دقت و نظم ایجاد شده باشد. استاکس نت شامل اجزای مختلفی بود که هر کدام دریک محل خاص قرار داشتند و این باعث میشد که اجرای عملکردها و اصلاح آن در صورتنیاز ممکن شود .
تفاوت استاکسنت با سایر ویروس ها
یکی از تفاوتهای عمده استاکسنت با سایر ویروسها، شیوه مخفی کردن عملیاتهایش بود آن چه در مورد اینویروس بیش از هر چیز مشخص بود، شیوهای بود که ویروس به وسیله آن این عملکردها رامخفی میکرد. عملکرهای ویندوز معمولاً زمانی که لازم باشد، از یک فایل DLL که روی هارد دیسک ذخیره شده است، بارگذاری میشوند.بنابراین انجام این کار با استفاده از فایلهای مخرب، نشانهای را به دست آنتیویروسمیدهد. استاکسنت فایل DLL رمزگشایی شده خودرا، به جای هارد دیسک، تنها در حافظه رم ذخیره و آن را به عنوان یک فایل مجازی بااسمی که به شکل خاص تعیین شده بود، ایجاد میکرد .
استاکسنت نسل جدیدی از روش مخفی کردن فایلهای آلوده رابه وجود آورد
این ویروس سپس API ویندوز (رابط بینسیستم عامل و برنامههایی که روی آن نصب میشوند) را به گونهای برنامهریزی میکردکه هر گاه برنامهای بخواهد عملکردی را از یک لایبرری با آن نام خاص بارگذاری کند،به جای هارد دیسک درون حافظه، رم آن را بیابد. استاکسنت در اصل، نسل کاملاً جدیدیاز فایلهای مخفی را ایجاد کرده بود که روی هارد دیسک ذخیره نمیشدند و به همیندلیل نیز یافتن آنها تقریباً غیر ممکن بود .
روش استاکسنت در مخفی کردن فایلهای مخربش منحصر به فردبود
او مورچو در تمام سالهایی که نرمافزارهای مخرب را تحلیلکرده بود، تا به حال با این تکنیک برخورد نکرده بود. وی در یکی از مصاحبههایاخیرش در دفتر سیمانتک اظهار کرد : « حتی ویروسهای پیچیدهای که ما میبینیم هیچ کدام این کار را نمیکنند .»
دلایل جدید نشان میداد که استاکسنت یک ویروس کاملاًحرفهای است
مدام دلایل جدیدی پیدا میشد که نشان میداد استاکسنت یکویروس بسیار حرفهای است. با این حال، او مورچو از میان 500 کیلوبایت کد ویروس،تنها اولین کیلوبایت آن را بررسی کرده بود. مشخص بود که برای مقابله با این ویروسبه یک تیم نیاز است. سؤال این بود: آیا آنها "باید" با این ویروس مقابلهمیکردند؟
وظیفه آنتیویروس، تنها تشخیص و جلوگیری از ویروس و پاکسازیسیستمهای آلوده شده است
اگر سیمانتک، پروژه استاکسنت را در همین جا رها کرده و بهپروژههای دیگر میپرداخت، هیچ کس این شرکت را سرزنش نمیکرد. وظیفه اصلی شرکتهایآنتی ویروس، تشخیص است: یعنی متوقف کردن آلودگیهای رایانهای پیش از آن که واردرایانهها شوند و پاک کردن سیستمهایی که پیشتر به آن آلودگی دچار شدهاند. در اینمیان، [بررسی] کاری که نرمافزار مخرب روی رایانهای که به آن آلوده شده استانجام میدهد، در اولویت دوم است .
کد استاکسنت پیچیدهتر از آن بود که تنها برای جاسوسیایجاد شده باشد
به نظر میرسید کد این ویروس بسیار پیچیدهتر و حرفهایتراز آن باشد که صرفاً برای جاسوسی ایجاد شده باشد. این ویروس یک پازل بسیار هیجانآوربود و او موچو میخواست آن را حل کند. وی گفت: «همه چیز این ویروس مو را به تن آدمراست میکرد، این ویروس چیزی است که ما باید درون آن را نگاه کنیم .»
ادامه تحلیل کد استاکسنت به وسیله محققان سیمانتک
در کشورهای مختلف او مورچو مراحل ابتدایی ارزیابیاش را ازکدهای ویروس به اتمام رساند و یک پک بهروزرسانی را برای تیم تحقیقاتی سیمانتک درتوکیو فرستاد. سیمانتک در اروپا، آمریکا و ژاپن آزمایشگاههایی دارد تا به اینترتیب محققانش در مناطق جغرافیایی مختلف همواره در دسترس باشند و بتوانند بهتهدیدهای مهم حمله کنند. محققان این شرکت، مانند کشتیگیرهایی که پرچم تیم خود رابه دست کشتیگیر بعدی میدهند، زمانی که طرح خود را در مکانی به پایان می رسانند ودر مکانی دیگر آغاز می کنند، تهدیدهای جدید را به یکدیگر معرفی کنند. تیم توکیو آخرهفته را صرف ترسیم بخشهای مختلف استاکسنت کرد تا چارچوبی کلی از آن چه با آنمقابله میکند، داشته باشد . او مورچو دوشنبه کارتیم توکیو را همراه با "اریک چین"، مدیر صنعتی پاسخ امنیتی سیمانتک، و"نیکولاس فالیر"، مهندس ارشد نرمافزار و تحلیلگر کد در دفتر سیمانتکدر پاریس، ادامه داد .
استاکسنت پس از آلوده کردن سیستم ها به آشیانه خبر میداد
استاکسنت پس از آلوده کردن سیستم گزارشهایی را به"خانه" میفرستاد آنان تشخیص دادند که هر گاه استاکسنت رایانهای راآلوده میکند، به خانه زنگ میزند تا اطلاعاتی را در مورد رایانه آلوده شده گزارشدهد. این اطلاعات شامل آدرسهای داخلی و خارجی آیپی، نام رایانه، سیستم عامل ونسخه آن بود و همچنین این که آیا نرمافزار "زیمنس سیماتیک وینسیسی استپ7" یا به شکل خلاصه "استپ 7"، بر روی این رایانه نصب است یا خیر.سرورهای کنترل و فرماندهی به مهاجمها اجازه میدادند تا استاکسنت را روی رایانههایآلوده بهروزرسانی کنند و عملکردهای جدید و یا حتی فایلهای مخرب بیشتری را دررایانه آلوده به این ویروس اضافه کنند .
سیمانتک یک گودال اطلاعاتی را سر راه گزارشهای استاکسنتبه خانه گذاشت. ارائهدهندگان خدمات DNS ، پیشتر ترافیک ورودیرا برای جلوگیری از استفاده مهاجمها قطع کرده بودند . سیمانتک فکر بهتری داشت. این شرکت با ارائه دهندگان خدمات به استاکسنتتماس گرفت و آنان را راضی کرد تا مسیر هرگونه ترافیک این ویروس را به یک گودال (دراین مورد کامپیوتری که مخصوص دریافت ترافیک مخرب بود) که سیمانتک آن را کنترل میکرد،هدایت کند. از صبح روز سهشنبه، سیمانتک گزارشهایی از رایانههایی دریافت میکردکه به استاکسنت آلوده شده بودند. این شرکت، اطلاعات مربوط را در اختیار سایر شرکتهایامنیتی نیز قرار داد .
استاکسنت توانست در زمانی کوتاه بیش از 100 هزار رایانهرا آلوده کند
علیرغم انتشار الگوهای پیشگیرنده از سوی سیمانتک، استاکسنتدر مدتی کوتاه بیش از 100 هزار رایانه را آلوده کرد در عرض یک هفته پس از ایجاداین گودال، حدود 38 هزار رایانه در دهها کشور به سیمانتک گزارش دادند. در مدتی نهچندان زیاد، این تعداد از مرز صد هزار رایانه گذشت. استاکسنت با وجود الگوهایی کهشرکتهای آنتیویروس برای مقابله با آن منتشر کرده بودند، به سرعت در حال گسترشبود .
از میان 38 هزار مورد اولیه آلودگی، 22 هزار مورد گزارشآلودگی به ایران مربوط می شد
پس از آن که اریک چین و او مورچو نقشه مکانهای جغرافیاییآلودگیها را ترسیم کردند، الگوی عجیبی به دست آمد. از میان 38 هزار مورد آلودگیاولیه، 22 هزار مورد در ایران اتفاق افتاده بود. اندونزی با فاصله زیادی (تقریباً 6700 مورد) دوم بود و هند نیز با تقریباً 3700 مورد آلودگی درجای سوم قرار داشت. آمریکا کمتر از 400 مورد آلودگی داشت. تنها تعداد کمی ازرایانههای آلوده شده، نرمافزار "زیمنس استپ 7" را داشتند: تنها 217رایانه در ایران و 16 عدد در آمریکا .
واضح بود که استاکسنت بر ایران تمرکز داشت
پراکندگی آلودگیها تفاوت چشمگیری با الگوهای پیشین مواردآلودگی در سطح جهان ( مثلاً در مورد کرمقدرتمند "کانفیکر " (Confikor) داشت.در الگوهای پیشین آلودگی، ایران ـاگر اصلاً موردی از آلودگی در آن اتفاق میافتادـدر رتبههای بالا قرار نمیگرفت. در این آلودگیها کره جنوبی و آمریکا همواره دربالای لیست بودند که البته با توجه به بیشترین تعداد کاربران اینترنتی در این دوکشور، جای تعجب نداشت، اما حتی در آلودگیهایی که مرکز آنها خاورمیانه بود، بازهم ایران آمار آلودگی بالایی نداشت. واضح بود که جمهوری اسلامی در مرکز آلودگیاستاکسنت قرار داشت . حرفهای بودن کد، به علاوه تأییدیههای دزدی و اکنون نیز قرارداشتن ایران در مرکز حمله این آلودگی، حاکی از آن بود که استاکسنت ممکن است کارارتش سایبری یک دولت باشد، حتی شاید ارتش سایبری آمریکا .
سیمانتک خود را وارد یک عملیات سری کرده بود
ممکن بود محققان سیمانتک با ایجاد گودال بر سر راه گزارشهایاستاکسنت، در یکی از عملیاتهای سری دولت آمریکا دخالت کنند این موضوع باعث شد کهایجاد گودال به وسیله شرکت سیمانتک به یک اقدام شجاعتآمیز تبدیل شود. محققان باایجاد مانع بر سر راه دادههایی که مهاجمها انتظار دریافتش را داشتند، ممکن بوددر حال دخالت در یک عملیات مخفی دولت آمریکا باشند. وقتی از اریک چین سؤال شد کهآیا در این مورد نگران است یا خیر، وی جواب داد: «برای ما آدم خوب و آدم بد وجودندارد.» سپس کمی فکر کرد و ادامه داد: «راستش، آدمهای بد کسانی هستند که کدهایمخرب مینویسند و باعث میشوند رایانهها آلوده شوند و در نتیجه عواقب ناخواسته یاعواقب خواستهای به وجود آید .»
ابتدا تصور میشد دلیل شیوع آلودگی در ایران، بهروزنبودن نرمافزارهای امنیتی در این کشور باشد
چین اخیراً اظهار کرد: «ما تقریباً تمام مدت به این فکر میکردیمکه شاید این ویروس تنها به این دلیل در ایران گسترش یافته است که ایرانیان نرمافزارهایامنیتی بهروزی ندارند و اگر هم این ویروس به آمریکا حمله کند، ممکن است یکی ازتأسیسات پاکسازی آب و یا سیستم کنترل قطارها و یا چیزی مانند اینها را آلودهکند. بنابراین ما در حقیقت، با تمام قوا، تلاش میکردیم تا بفهمیم این ویروس چهنوع سیستمهایی را آلوده میکند
تــــابــــلــــو اعــــلـانــــات