استاکس‌نت پیچیده‌تر از آن بود که تنها برای جاسوسی باشد

یکی از تفاوت‌های استاکس‌نت با سایر ویروس‌ها، شیوه مخفیکردن عملیات‌هایش است، آنچه این ویروس را منحصر به فرد می‌کند، شیوه‌ای‌ست کهویروس به وسیله آن عملکردهایش را پنهان می‌سازد سایت"وایرد" در گزارشی مفصل، "استاکس‌نت" را رمزگشایی و اهداف آنرا در حمله به تأسیسات هسته‌ای ایران بررسی کرد. بخش دوم این مقاله به بررسیرایانه های آلوده شده به وسیله استاکس‌نت می پردازد .

استاکس‌نت در مقایسه با سایر ویروس‌ها حجم بی نهایتزیادی داشت
چند لایه مانند ماسک، حفره "روز صفر" که اینویروس از آن استفاده می‌کرد را پوشانده بود و رسیدن به ریشه آن را مشکل می‌کرد.این ویروس همچنین بسیار سنگین بود: 500 کیلوبایت که در مقایسه با ویروس‌های دیگریکه تنها 10 تا 15 کیلوبایت حجم دارند، بسیار حجیم است. چنین ویروس سنگینی معمولاًشامل یک فایل حجیم ایمیج است، مثلا یک صفحه بانکی آنلاین و دروغین که در کامپیوترآلوده باز می‌شود و از کاربر تقاضا می‌کند تا اطلاعات حساب بانکی اش را وارد کند.اما هیچ فایل ایمیجی در استاکس‌نت وجود نداشت و اطلاعات زیادی نیز در آن موجودنبود. به نظر می‌رسید کد این ویروس، یک توده فشرده و کارآمد از اطلاعات و فرمانباشد. "او مورچو" به سرعت به این ویروس علاقه‌مند شد .

اولین برخورد با ویروسی مشابه با استاکس‌نت
اولین برخورد اومورچو با این ویروس در سال 1996 بود. در آنزمان یکی از دانشجویان دانشگاه دوبلین ویروسی را ساخت که به شبکه این دانشگاه حملهکرد . در اواسط ماه مارس، صدها اتاق منتهی بهآزمایشگاه‌های این دانشگاه به دانشجویان اجازه ورود نمی دادند، مگر این که آنها به10 سؤالی که در صفحه کناری‌شان پدیدار می‌شد، جواب می‌دادند. اغلب افراد از اینمشکل به وجود آمده ناراحت شدند، اما او مورچو جذب کد آن شد و آن را تجزیه کرد تابببیند چگونه کار می‌کند. گشودن ساختار هر چیزی در خون او بود. وی در کودکی نیز ازآن کودکانی بود که به جای بازی با ماشین اسباب‌بازی‌اش، آن را تکه‌تکه می‌کرد تاببیند چرخ‌دنده‌هایش چگونه کار می‌کنند. همین کنجکاوی بود که او را به حوزه امنیتیکشید .

شروع کار او مورچو به عنوان متخصص امنیتی
او مورچو پس از فارغ‌التحصیلی از دانشگاه، برای مدت کوتاهیبه عنوان آزمون‌گر نفوذ در یکی از شرکت‌های سازنده کیوسک‌های اینترنتی در آمریکامشغول شد . وی تلاش می‌کرد تا سیستم پرداخت کیوسک راهک کند تا به طور مجانی به اینترنت دسترسی پیدا کند. شرکت، وی را تنها برای انجامچند آزمون استخدام کرد، اما سپس او و سایر آزمون‌گرها را سه ماه دیگر نگه داشت،زیرا آنان مدام راه‌هایی را برای هک کردن سیستم کیوسک پیدا می‌کردند. در سال 2002وی با یک شرکت آنتی‌اسپم همکاری کرد که پس از مدت کمی به شرکت "سیمانتک " پیوست. او مورچو در نهایت به دفتر موفق شرکت در شهر کالوررفت و دوبلین را به مقصد کالیفرنیای جنوبی ترک کرد .

او مورچو، در یک نگاه ویروس‌های معمولی را شناسایی می‌کرد
اما استاکس‌نت با سایر ویروس‌ها تفاوت داشت اگر شما هم بهاندازه او مورچو ویروس و کرم دیده باشید، با یک نگاه به یک نرم‌افزار مخرب تشخیصمی‌دهید که از چه نوعی است، حال مهم نیست که این نرم‌افزار بدون دقت درست شده باشدو یا با دقت و نظم ایجاد شده باشد. استاکس نت شامل اجزای مختلفی بود که هر کدام دریک محل خاص قرار داشتند و این باعث می‌شد که اجرای عملکردها و اصلاح آن در صورتنیاز ممکن شود .

تفاوت استاکس‌نت با سایر ویروس ها
یکی از تفاوت‌های عمده استاکس‌نت با سایر ویروس‌ها، شیوه مخفی کردن عملیات‌هایش بود آن چه در مورد اینویروس بیش از هر چیز مشخص بود، شیوه‌ای بود که ویروس به وسیله آن این عملکردها رامخفی می‌کرد. عملکرهای ویندوز معمولاً زمانی که لازم باشد، از یک فایل DLL که روی هارد دیسک ذخیره شده است، بارگذاری می‌شوند.بنابراین انجام این کار با استفاده از فایل‌های مخرب، نشانه‌ای را به دست آنتی‌ویروسمی‌دهد. استاکس‌نت فایل DLL رمزگشایی شده خودرا، به جای هارد دیسک، تنها در حافظه رم ذخیره و آن را به عنوان یک فایل مجازی بااسمی که به شکل خاص تعیین شده بود، ایجاد می‌کرد .

استاکس‌نت نسل جدیدی از روش مخفی کردن فایل‌های آلوده رابه وجود آورد
این ویروس سپس API ویندوز (رابط بینسیستم عامل و برنامه‌هایی که روی آن نصب می‌شوند) را به گونه‌ای برنامه‌ریزی می‌کردکه هر گاه برنامه‌ای بخواهد عملکردی را از یک لایبرری با آن نام خاص بارگذاری کند،به جای هارد دیسک درون حافظه، رم آن را بیابد. استاکس‌نت در اصل، نسل کاملاً جدیدیاز فایل‌های مخفی را ایجاد کرده بود که روی هارد دیسک ذخیره نمی‌شدند و به همیندلیل نیز یافتن آن‌ها تقریباً غیر ممکن بود .

روش استاکس‌نت در مخفی کردن فایل‌های مخربش منحصر به فردبود
او مورچو در تمام سال‌هایی که نرم‌افزارهای مخرب را تحلیلکرده بود، تا به حال با این تکنیک برخورد نکرده بود. وی در یکی از مصاحبه‌هایاخیرش در دفتر سیمانتک اظهار کرد : « حتی ویروس‌های پیچیده‌ای که ما می‌بینیم هیچ کدام این کار را نمی‌کنند .»

دلایل جدید نشان می‌داد که استاکس‌نت یک ویروس کاملاًحرفه‌ای است
مدام دلایل جدیدی پیدا می‌شد که نشان می‌داد استاکس‌نت یکویروس بسیار حرفه‌ای است. با این حال، او مورچو از میان 500 کیلوبایت کد ویروس،تنها اولین کیلوبایت آن را بررسی کرده بود. مشخص بود که برای مقابله با این ویروسبه یک تیم نیاز است. سؤال این بود: آیا آنها "باید" با این ویروس مقابلهمی‌کردند؟

وظیفه آنتی‌ویروس، تنها تشخیص و جلوگیری از ویروس و پاک‌سازیسیستم‌های آلوده شده است
اگر سیمانتک، پروژه استاکس‌نت را در همین جا رها کرده و بهپروژه‌های دیگر می‌پرداخت، هیچ کس این شرکت را سرزنش نمی‌کرد. وظیفه اصلی شرکت‌هایآنتی ویروس، تشخیص است: یعنی متوقف کردن آلودگی‌های رایانه‌ای پیش از آن که واردرایانه‌ها شوند و پاک کردن سیستم‌هایی که پیشتر به آن آلودگی دچار شده‌اند. در اینمیان، [بررسی] کاری که نرم‌افزار مخرب روی رایانه‌ای که به آن آلوده شده‌ استانجام می‌دهد، در اولویت دوم است .

کد استاکس‌نت پیچیده‌تر از آن بود که تنها برای جاسوسیایجاد شده باشد
به نظر می‌رسید کد این ویروس بسیار پیچیده‌تر و حرفه‌ای‌تراز آن باشد که صرفاً برای جاسوسی ایجاد شده باشد. این ویروس یک پازل بسیار هیجان‌آوربود و او موچو می‌خواست آن را حل کند. وی گفت: «همه چیز این ویروس مو را به تن آدمراست می‌کرد، این ویروس چیزی است که ما باید درون آن را نگاه کنیم .»

ادامه تحلیل کد استاکس‌نت به وسیله محققان سیمانتک
در کشورهای مختلف او مورچو مراحل ابتدایی ارزیابی‌اش را ازکدهای ویروس به اتمام رساند و یک پک به‌روزرسانی را برای تیم تحقیقاتی سیمانتک درتوکیو فرستاد. سیمانتک در اروپا، آمریکا و ژاپن آزمایشگاه‌هایی دارد تا به اینترتیب محققانش در مناطق جغرافیایی مختلف همواره در دسترس باشند و بتوانند بهتهدیدهای مهم حمله کنند. محققان این شرکت، مانند کشتی‌گیرهایی که پرچم تیم خود رابه دست کشتی‌گیر بعدی می‌دهند، زمانی که طرح خود را در مکانی به پایان می رسانند ودر مکانی دیگر آغاز می کنند، تهدیدهای جدید را به یکدیگر معرفی کنند. تیم توکیو آخرهفته را صرف ترسیم بخش‌های مختلف استاکس‌نت کرد تا چارچوبی کلی از آن چه با آنمقابله می‌کند، داشته باشد . او مورچو دوشنبه کارتیم توکیو را همراه با "اریک چین"، مدیر صنعتی پاسخ امنیتی سیمانتک، و"نیکولاس فالیر"، مهندس ارشد نرم‌افزار و تحلیل‌گر کد در دفتر سیمانتکدر پاریس، ادامه داد .

استاکس‌نت پس از آلوده کردن سیستم ها به آشیانه خبر می‌داد
استاکس‌نت پس از آلوده کردن سیستم گزارش‌هایی را به"خانه" می‌فرستاد آنان تشخیص دادند که هر گاه استاکس‌نت رایانه‌ای راآلوده می‌کند، به خانه زنگ می‌زند تا اطلاعاتی را در مورد رایانه آلوده شده گزارشدهد. این اطلاعات شامل آدرس‌های داخلی و خارجی آی‌پی، نام رایانه، سیستم عامل ونسخه آن بود و همچنین این که آیا نرم‌افزار "زیمنس سیماتیک وین‌سی‌سی استپ7" یا به شکل خلاصه "استپ 7"، بر روی این رایانه نصب است یا خیر.سرورهای کنترل و فرماندهی به مهاجم‌ها اجازه می‌دادند تا استاکس‌نت را روی رایانه‌هایآلوده به‌روزرسانی کنند و عملکردهای جدید و یا حتی فایل‌های مخرب بیشتری را دررایانه آلوده به این ویروس اضافه کنند .

سیمانتک یک گودال اطلاعاتی را سر راه گزارش‌های استاکس‌نتبه خانه گذاشت. ارائه‌دهندگان خدمات DNS ، پیشتر ترافیک ورودیرا برای جلوگیری از استفاده مهاجم‌ها قطع کرده بودند . سیمانتک فکر بهتری داشت. این شرکت با ارائه دهندگان خدمات به استاکس‌نتتماس گرفت و آنان را راضی کرد تا مسیر هرگونه ترافیک این ویروس را به یک گودال (دراین مورد کامپیوتری که مخصوص دریافت ترافیک مخرب بود) که سیمانتک آن را کنترل می‌کرد،هدایت کند. از صبح روز سه‌شنبه، سیمانتک گزارش‌هایی از رایانه‌هایی دریافت می‌کردکه به استاکس‌نت آلوده شده بودند. این شرکت، اطلاعات مربوط را در اختیار سایر شرکت‌هایامنیتی نیز قرار داد .

استاکس‌نت توانست در زمانی کوتاه بیش از 100 هزار رایانهرا آلوده کند
علی‌رغم انتشار الگوهای پیش‌گیرنده از سوی سیمانتک، استاکس‌نتدر مدتی کوتاه بیش از 100 هزار رایانه را آلوده کرد در عرض یک هفته پس از ایجاداین گودال، حدود 38 هزار رایانه در ده‌ها کشور به سیمانتک گزارش دادند. در مدتی نهچندان زیاد، این تعداد از مرز صد هزار رایانه گذشت. استاکس‌نت با وجود الگوهایی کهشرکت‌های آنتی‌ویروس برای مقابله با آن منتشر کرده بودند، به سرعت در حال گسترشبود .

از میان 38 هزار مورد اولیه آلودگی، 22 هزار مورد گزارشآلودگی به ایران مربوط می‌ شد
پس از آن که اریک چین و او مورچو نقشه مکان‌های جغرافیاییآلودگی‌ها را ترسیم کردند، الگوی عجیبی به دست آمد. از میان 38 هزار مورد آلودگیاولیه، 22 هزار مورد در ایران اتفاق افتاده بود. اندونزی با فاصله زیادی (تقریباً 6700 مورد) دوم بود و هند نیز با تقریباً 3700 مورد آلودگی درجای سوم قرار داشت. آمریکا کمتر از 400 مورد آلودگی داشت. تنها تعداد کمی ازرایانه‌های آلوده شده، نرم‌افزار "زیمنس استپ 7" را داشتند: تنها 217رایانه در ایران و 16 عدد در آمریکا .

واضح بود که استاکس‌نت بر ایران تمرکز داشت
پراکندگی آلودگی‌ها تفاوت چشمگیری با الگوهای پیشین مواردآلودگی در سطح جهان ( مثلاً در مورد کرمقدرتمند "کانفیکر " (Confikor) داشت.در الگوهای پیشین آلودگی، ایران ـاگر اصلاً موردی از آلودگی در آن اتفاق می‌افتادـدر رتبه‌های بالا قرار نمی‌گرفت. در این آلودگی‌ها کره جنوبی و آمریکا همواره دربالای لیست بودند که البته با توجه به بیشترین تعداد کاربران اینترنتی در این دوکشور، جای تعجب نداشت، اما حتی در آلودگی‌هایی که مرکز آن‌ها خاورمیانه بود، بازهم ایران آمار آلودگی بالایی نداشت. واضح بود که جمهوری اسلامی در مرکز آلودگیاستاکس‌نت قرار داشت . حرفه‌ای بودن کد، به علاوه تأییدیه‌های دزدی و اکنون نیز قرارداشتن ایران در مرکز حمله این آلودگی، حاکی از آن بود که استاکس‌نت ممکن است کارارتش سایبری یک دولت باشد، حتی شاید ارتش سایبری آمریکا .

سیمانتک خود را وارد یک عملیات سری کرده بود
ممکن بود محققان سیمانتک با ایجاد گودال بر سر راه گزارش‌هایاستاکس‌نت، در یکی از عملیات‌های سری دولت آمریکا دخالت کنند این موضوع باعث شد کهایجاد گودال به وسیله شرکت سیمانتک به یک اقدام شجاعت‌آمیز تبدیل شود. محققان باایجاد مانع بر سر راه داده‌هایی که مهاجم‌ها انتظار دریافتش را داشتند، ممکن بوددر حال دخالت در یک عملیات مخفی دولت آمریکا باشند. وقتی از اریک چین سؤال شد کهآیا در این مورد نگران است یا خیر، وی جواب داد: «برای ما آدم خوب و آدم بد وجودندارد.» سپس کمی فکر کرد و ادامه داد: «راستش، آدم‌های بد کسانی هستند که کدهایمخرب می‌نویسند و باعث می‌شوند رایانه‌ها آلوده شوند و در نتیجه عواقب ناخواسته یاعواقب خواسته‌ای به وجود آید .»

ابتدا تصور می‌شد دلیل شیوع آلودگی در ایران، به‌روزنبودن نرم‌افزارهای امنیتی در این کشور باشد
چین اخیراً اظهار کرد: «ما تقریباً تمام مدت به این فکر می‌کردیمکه شاید این ویروس تنها به این دلیل در ایران گسترش یافته است که ایرانیان نرم‌افزارهایامنیتی به‌روزی ندارند و اگر هم این ویروس به آمریکا حمله کند، ممکن است یکی ازتأسیسات پاک‌سازی آب و یا سیستم کنترل قطارها و یا چیزی مانند این‌ها را آلودهکند. بنابراین ما در حقیقت، با تمام قوا، تلاش می‌کردیم تا بفهمیم این ویروس چهنوع سیستم‌هایی را آلوده می‌کند