شیوه ارائه - نیمسال اول 9596 - ن قرائی - ویروس (بد افزار) اکستاکس نت
ویروس (بد افزار) اکستاکس نت
نجمه قرائی1
1 دانشگاه فناوری های نوین قوچان، قوچان،
n.gharai13942gmail.com
چکیده
کرم یا بد افزار استاکسنت اطلاعات سیستم های کنترل صنعتی وسیستم های اطلاعاتی وهسته ایی را به سرقت برده و آنها را بر روی اینترنت قرارمی دهد و هر کسی میتواند به این اطلاعات دسترسی پیدا کند.کرم استاکس نت از طریق هرنوع شبکه و یواس بی، به پی ال سی یا بخش اصلی مدار سیستم های کنترل صنعتی نفوذ و با وارد کردن کدهای خود، برنامه جدیدی در پی ال سی جایگزین می کند. بنابراین می تواند کنترل کارخانه را تا حدودی در دست بگیرد. در این صورت مثلا می تواند در یک کارخانه پتروشیمی، تنظیم فشار در منبع یا لوله های مواد را در دست بگیرد و با افزایش فشار باعث انفجار شود یا در نیروگاه های تولید برق، ولتاژ را ببرد و به دستگاه ها آسیب برساند. این حالت نیز می تواند در سانتریفیوژهای تاسیسات اتمی تکرار شود. کارشناسان معتقدند که یافتن کرم استاکس نت در سیستم های کنترل صنعتی بسیار دشوار است. اما آن را در کامپیوترهای خانگی به راحتی می توان پیدا کرد.
کلمات کلیدی
ویروس ها,اکستاکس نت ,سایبری,سیستم های حفاظت اطلاعاتی,بدافزار,کرم
1- مقدمه
در این مقاله قرار است ابتدا درباره ی ماهیت و چگونگی فعالیت ویروس (بدافزاری) خطرناکی به نام اکستاکس نت صحبت شود.اگر بخواهیم یک تعریفی از ویروس داشته باشیم ویروس کامپیوتر، برنامه قابل اجرایی است که میتواند برنامههای دیگر کامپیوتر را با تغییر دادن و گنجاندن یک کپی از خودش، آلوده کند.
همانگونه که افراد در تماس با یکدیگر میتوانند سرماخوردگی را منتقل کنند، یک ویروس کامپیوتری هم میتواند در تماس با برنامههای دیگر آنها را "آلوده" کند. با آلوده شدن برنامهها، ویروس میتواند از طریق شبکه بر روی تمام کامپیوترها پخش شود و هر دستگاهی را که قادر به دفاع و حفاظت از خود نباشد، آلوده نماید.
این جا این سوال مطرح است که ویروس ها چگونه کار می کنند؟با وجود این که دهها هزار نوع ویروس وجود دارد اما هر روزه شاهد کشف ویروسهای جدید هستیم. در واقع ارائه یک توضیح عامیانه و کلی در مورد نحوه کار ویروسها دشوار است؛ چرا که تمام ویروسها در نحوه آلوده کردن و نحوه گسترش یافتن، متفاوتند. درعوض، ما طبقهبندیهای گستردهای را ارائه میدهیم که معمولاً در تعریف انواع مختلف ویروس به کار میروند.
در پاسخ به این سوال که ویروسها چگونه کار می کنند؟
باید گفت:با وجود این که دهها هزار نوع ویروس وجود دارد اما هر روزه شاهد کشف ویروسهای جدید هستیم. در واقع ارائه یک توضیح عامیانه و کلی در مورد نحوه کار ویروسها دشوار است؛ چرا که تمام ویروسها در نحوه آلوده کردن و نحوه گسترش یافتن، متفاوتند. درعوض، ما طبقهبندیهای گستردهای را ارائه میدهیم که معمولاً در تعریف انواع مختلف ویروس به کار میروند.
این مقاله به ویروس اکستاکس نت اشاره می کند که در سال های اخیر توسط بعضی کشور ها برای ایجاد خلل در سیستم های امنیتی کشورهای دیگر از جمله ایران ایجاد شده و فعالیت خود را آغاز کرده که البته ناگفته نماند که خوشبختانه نتوانسته فعالیتش را در ایران به انجام برساند و توسط مامورین حفاظت اطلاعات شناسایی و از فعالیتش جلوگیری شده است.
2- مطالب اصلی
2-1-استاکس نت
استاکسنت (Stuxnet) یک بدافزار رایانهای (بنابر نظر شرکتهای نرمافزاری امنیت رایانه:کرم رایانهای یا تروجان ) است که نخستینبار در تاریخ ۱۳ جولای ۲۰۱۰ توسط ضدویروس ویبیای ۳۲ شناسایی شد. این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانههای کاربران صنعتی فایلهای با قالب اسکادا که مربوط به نرمافزارهای WinCC و PCS7 شرکت زیمنس را گردآوری میکند و به یک سرور خاص میفرستد.
به گزارش شرکت سیمنتک، ۶۰ درصد کامپیوترهایی که مورد حمله این کرم رایانهای هستند در ایران قرار دارند. این بزرگترین حمله بدافزارها به رایانههای صنعتی ایران در چند سال اخیر بوده است. استاکس نت از حدود هفت ماه پیش در سیستمهای رایانهای فعال شده، اسرار درون کامپیوتر را میدزدد و روی اینترنت منتشر میکند. بر پایهی اطلاعاتی که منتشر شده، حوزهی اصلی فعالیت این ویروس کشور ایران بوده و دوکشور اندونزی و هند از دیگر مناطق عملیاتی این ویروس اعلام شدهاند.
بنابر اعلام شرکت روسی کاسپراسکای، از ماه ژوئیه ۲۰۱۰ تعداد رایانههای آلوده به کرم جاسوسی استاکسنت در ایران بسیار کاهش یافتهاست، اما میزان آلودگی رایانههای روسی روز به روز در حال افزایش است.گزارش کاسپراسکای که در ۲۵ سپتامبر منتشر شده، خبر از کاهش ۷۵ درصدی رایانههای آلوده در ایران میدهد و بر همین اساس ایران در رتبهی پنجم از نظر آلودگی به این کرم جاسوس قرار گرفتهاست. این در حالی است که روسیه با افزایش ۳۰۸ درصدی رایانههای آلوده، پس از هند، اندونزی و قزاقستان رتبهی چهارم را به خود اختصاص دادهاست.
ورم استاکسنت که یکی از مورد توجه و مهمترین تهدیدهای امسال است از طریق درایوهای USB منتشر شده و با بهرهبرداری از آسیبپذیری فایلهای میان بر در ویندوز، رایانههایی را هدف گرفت که نرمافزار کنترل سیستمهای مدیریت صنعتی مورد استفاده در شرکتهای سازنده و زیرساخت، در آنها اجرا میشد.
شرکت مایکروسافت خلاء امنیتی که باعث نفوذ استاکسنت به سیستمهای کامپیوتری میشد را با فراهمکردن یک بستهی امنیتی رفع کرده است. استاکسنت از ایراد امنیتی که مربوط به فایلهای LNK ویندوز است بهره میبرد. مایکرو سافت اعلام کرد که این بستهی امنیتی برای همهی نسخههای سیستم عامل ویندوز از XP SP3 گرفته تا SERVER 2008 فراهم شده است.
استاکس نت یک بدافزار رایانه یی (طبق نظر شرکت های نرم افزار امنیت رایانه ای: کرم رایانه یی یا تروجان) است که نخستین بار در تاریخ 13 جولای 2010 شناسایی شد. ماجرا زمانی شروع شدکه شرکت سیمانتک در کالیفرنیا، گزارشی درباره آلودگی کامپیوترهای جهان به این کرم منتشر کرد. در این گزارش عنوان شده بود که حدود 60 درصد آلودگی های جهان به این کرم کامپیوتری، در ایران قرار دارد. گزارش های اولیه از این ویروس حاکی از آن بود که این ویروس در سیستم های کنترل صنعتی شرکت زیمنس به نام اسکادا نفوذ کرده است. اما در گزارش های تکمیلی که شرکت سیمانتک منتشر کرد اعلام داشت که هدف این ویروس جاسوسی نیست بلکه تخریب سیستم های صنعتی است.
2-2-نحوه فعالیت
کرم استاکس نت از طریق هرنوع شبکه و یواس بی، به پی ال سی یا بخش اصلی مدار سیستم های کنترل صنعتی نفوذ و با وارد کردن کدهای خود، برنامه جدیدی در پی ال سی جایگزین می کند. بنابراین می تواند کنترل کارخانه را تا حدودی در دست بگیرد. در این صورت مثلا می تواند در یک کارخانه پتروشیمی، تنظیم فشار در منبع یا لوله های مواد را در دست بگیرد و با افزایش فشار باعث انفجار شود یا در نیروگاه های تولید برق، ولتاژ را ببرد و به دستگاه ها آسیب برساند. این حالت نیز می تواند در سانتریفیوژهای تاسیسات اتمی تکرار شود. کارشناسان معتقدند که یافتن کرم استاکس نت در سیستم های کنترل صنعتی بسیار دشوار است. اما آن را در کامپیوترهای خانگی به راحتی می توان پیدا کرد. این کرم با جعل امضای اینترنتی شرکت معتبر ریل تک توانسته به راحتی از سد سیستم های امنیتی و فایر وال ها عبور کند و بی آنکه شناسایی شود وارد سیستم می شود. اما این سوال را به وجود می آورد که امضای اینترنتی این شرکت ساخت سخت افزارهای کامپیوتری دزدیده شده، یا خود شرکت به اختیار این امضا را داده است؟
2-3-هدف
ازشواهد امر این گونه برمی آید که هدف اصلی این کرم تاسیسات غنی سازی اورانیوم نطنز بوده است. اما به طور کلی می تواند هدف این کرم تمامی مراکزی که دارای سیستم کنترل صنعتی هستند، باشد. این کرم در بسیاری از سیستم های خانگی یا لپ تاپ ها دیده می شود اما برای این نوع کاربرها خطری نخواهد داشت و به راحتی قابل مشاهده است ولی این کرم در سیستم های صنعتی به شدت هوشمند عمل می کند و مشاهده آن بسیار سخت یا حتی غیرممکن خواهد بود. علی اکبر صالحی رییس وقت سازمان انرژی اتمی ایران اعلام کرد که این ویروس در لپ تاپ چند تن از مهندسان تاسیسات اتمی بوشهر شناسایی شده و از بین رفته است.
2-4-سازنده
درباره ساخت این ویروس نظریات متفاوتی وجود دارد. اما هیچ کشور یا شخصی به طور مستقیم مسوولیت ساخت این کرم را به عهده نمی گیرد. برخی بر این عقیده اند که این ویروس در این حجم نمی تواند کار یک شخص یا یک شرکت باشد بلکه قطعا یک کشور پشت این برنامه است که انگشت اتهام در وهله اول به سوی ایالات متحده نشانه می رود که این عملیات به دستور مستقیم اوباما صورت گرفته است. برخی بر این عقیده اند که این برنامه را اسراییل حمایت می کند و این ویروس را نیز روی برخی سانتریفیوژهای خود امتحان کرده است و برخی نیز این عملیات را کار مشترک امریکا و اسراییل می دانند.
2-5-کشورهای آسیب دیده
در یک گزارش تحقیقی که شرکت سیمانتک ارائه داد، کشورهای آسیب دیده از این ویروس در روزهای اولیه ایران، اندونزی و هند بودند. آمار کشورهای آسیب دیده به درصد به شرح ذیل است: آمار نشان می دهد که ایران در رتبه نخست از نفوذ ویروس قرار دارد و دیگر کشورها با فاصله زیادی از آن قرار دارند و از این آمار نیز می توان نتیجه گرفت که هدف اصلی این ویروس ایران بوده است.
2-6- استاکس نت در کمین رایانه های شخصی
معاون شرکت فناوری
اطلاعات ایران با تاکید بر اینکه ویروس رایانه ای استاکس نت که چندی است رایانه
های ایرانی را مورد حمله قرار داد تنها محیط صنعتی را تهدید نمی کند گفت: این
ویروس نقاط ضعفی را در کامپیوترهای آلوده ایجاد می کند که امکان دسترسی به اطلاعات
رایانه کاربران را از راه دور فراهم می سازد.
حمید علیپور در گفتگو با خبرنگار مهر اظهار داشت: کرم جاسوسی استاکس نت
بسیارخطرناک است و به رغم اینکه محیطهای صنعتی را مورد حمله قرار می دهد، کاربرانی
که در منزل از رایانه استفاده می کنند و یا شرکتهای دولتی و خصوصی نیز در معرض
تهدید این ویروس قرار دارند.
وی با تاکید بر اینکه معمولا مهاجمین به اطلاعات اجازه دسترسی به راههای نفودی که
در رایانه ها باز کرده اند را به دیگران نمی دهند و با سرورهای میانی و روش های کد
شده سعی می کنند این راههای نفوذ را حفاظت کرده و تنها خود از این کامپیوترهای
آلوده استفاده کنند، اضافه کرد: اما آنچه که در این ویروس تعجب آور است این است که
راههای نفوذ در دسترس است و هر فردی که کوچکترین اطلاعاتی از هک و جاسوسی
الکترونیک داشته باشد می تواند از کامپیوتر آلوده سوء استفاده کند.
معاون شرکت فناوری اطلاعات گفت: این به این معنا است که دری روی رایانه های آلوده
باز شده که از طریق اینترنت امکان حمله به رایانه توسط گروهی به جز مهاجمین استاکس
نت را فراهم کرده است.
علیپور گفت: با بیان اینکه اگرچه تهدید اولیه این ویروس در ایران بوده اما با توجه
به رشد و نفوذی که در سطح دنیا داشته این بدافزار از کنترل خارج شده و در جاهای
دیگر دنیا هم در حال توسعه یافتن است.
2-7- نحوه عملکرد و روشهای مقابله با ویروس رایانه ای استاکس نت
معاون
شرکت فناوری اطلاعات در پاسخ به این سئوال که این جاسوس رایانه ای چه اطلاعاتی از
کاربران خانگی را به سرقت خواهد برد به مهر گفـت: به نظر نمی رسد هدف اولیه
نویسنده این بدافزار سرقت اطلاعات کارتهای اعتباری کاربران خانگی بوده باشد اما
این امکان به وجود آمده که هر کامپیوتر آلوده به این ویروس نه تنها از سوی نویسنده
این بدافزار بلکه توسط هر فردی که اطلاعات آن را در اینترنت خوانده و نحوه استفاده
از آن را یاد گرفته باشد مورد سوء استفاده قرار گیرد.
علیپور با تاکید بر اینکه نحوه پاکسازی رایانه ها در سایت ماهر توضیح داده شده و
تمامی اطلاعات بروزرسانی می شود تا کاربران عام در جریان قرار گیرند ادامه داد: در
زمان حاضر اکثر نرم افزارهای ضد بدافزار و ویروس کش های مختلف قابلیت پاکسازی
ویروس استاکس نت را دارند و اگر کاربران از نرم افزارهای بروز شده ضد ویروس که
قابلیت شناسایی داشته باشد استفاده می کنند می توانند با این بدافزار مقابله کنند.
· کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند:
وی با بیان اینکه لیست بدافزارهایی که قابلیت شناسایی آنها وجود دارد روی سایت
مرکز ماهر قرار دارد به مهر گفت: برخی از نرم افزارهای ویروس کش برای کاربران
خانگی قابل دانلود و رایگان است.
معاون شرکت فناوری اطلاعات با اشاره به دیگر نکات لازم برای رعایت کاربران
خاطرنشان کرد: کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند. کسانی
که با سیستم عامل لینوکس کار می کنند این موضوع را رعایت می کنند اما کاربرانی که
از سیستم عامل ویندوز استفاده می کنند باید این موارد را بیشتر رعایت کنند.
§ کاربران دو کلمه عبور برای سیستم خود ایجاد کنند:
وی ادامه داد: متاسفانه کاربران ویندوز که اکثر کاربران کشور ما را تشکیل می دهند
عادت دارند که یا به اسم مدیر سیستم وارد کامپیوتر می شوند و یا به کلمه عبوری که
برای خود ایجاد کرده اند اختیارات مدیر سیستم را می دهند که این موضوع بسیار
خطرناک است. به همین دلیل به کاربران توصیه می شود دو کلمه عبور برای سیستم خود
ایجاد کنند که به یکی از آنها اختیارات سطح بالای دسترسی و مدیر سیستم را بدهند و
به کلمه عبور دیگر این اختیار را ندهند.
§ توصیه ای برای زمان اتصال به اینترنت یا استفاده از فلش و کول دیسک
وی ادامه داد: توصیه امنیتی این است که کاربران در حالت عادی بخصوص وقتی می خواهند
به اینترنت وصل شوند و یا حافظه جانبی مثل فلش و کول دیسک و هارد اکسترنال به
سیستم وصل کنند با حداقل سطح دسترسی لازم برای کار با کامپیوتر وارد سیستم شوند و
زمانی که لازم است نرم افزاری نصب شود یا سطح دسترسی بالاتر در حد مدیر سیستم باشد
با کلمه عبور با احتیاط بالاتر وارد سیستم شوند.
علیپور اضافه کرد : به این ترتیب ویروس ها نمی توانند درایورهای خود را روی سیستم
نصب کنند و حداکثر اگر کامپیوتر را آلوده کرده باشند با یک خاموش روشن شدن سیستم
این ویروس پاک می شود. چون ویروس نتوانسته خود را در نقاط کلیدی سیستم کپی کند.
وی گفت: در مورد استاکس نت اگر کلمه عبور مدیریت سیستم نباشد کامپیوتر اگر آلوده
نشده باشد امکان آلوده شدن آن نیست. چون این ویروس درایورهایی را روی سیستم نصب می
کند که برای نصب آنها نیاز به اختیارات مدیر سیستم دارد. پس کاربران این توصیه
امنیتی را جدی بگیرند.
علیپور گفت: نشانه ها و علائم مورد حمله قرارگرفتن سیستمها روی سایت مرکز ماهر
موجود است و ضمن اینکه یک فایل اجرایی کوچک توسط مراکز آپای دانشگاه شریف و
امیرکبیر نوشته شده و روی وبسایت ماهر قابل دانلود شدن است.
3- نتیجه
در این مقاله،ویژگی ها و نحوه ی عملکرد و هدف ویروسی (بدافزاری)به نام اکستاکس نت مورد بررسی قرار گرفت که توسط افرادی ماهر در زمینه ی IT و... طراحی شده که هدف آن ها صرفا برای کسب در آمد نبوده بلکه اهداف دیگری را دنبال می کنند که شواهد و آمار آلودگی سیستم هایی که مورد حمله این ویروس قرار گرفته اند، نشان می دهند که هدف آنها تاسیسات اتمی و صنعتی ایران برای جلوگیری هرچه بیشتر در برنامه اتمی ایران و به تعویق انداختن آن است و افشای اطلاعات سیستم های صنعتی و حتی شخصی بر روی اینترنت می باشد نحوه ی مقابله با این ویروس نیز ذکر شد.
از جمله مواردی که ذکر شد این بود که این کرم سیستم های چندین کشور را مورد حمله ی خود قرار داده و آن ها را آلوده کرده درسته که امروزه این ویروس شناخته شده و راه هایی برای مقابله با آن مطرح شده است.اما ناگفته نماند که افرادی که این ویروس را طراحی کرده اند ساکت ننشسته و درصدد پیشرفته کردن این کرم هستند و در آینده دوباره این ویروس را از طریقی دیگر و با عملکردی متفاوت تر وارد عرصه ی شبکه سیستم ها می کنند.
4-مراجع
[1] سراج
[2] www.irdiplomacy.ir/fa/html
- ۹۵/۱۱/۰۸