شیوه ارائه - نیمسال اول 9596 - ن قرائی - ویروس (بد افزار) اکستاکس نت

ویروس (بد افزار) اکستاکس نت

نجمه قرائی¹

 

¹ دانشگاه فناوری های نوین قوچان، قوچان،

n.gharai13942gmail.com

 

چکیده

کرم یا بد افزار استاکسنت اطلاعات سیستم های کنترل صنعتی وسیستم های اطلاعاتی وهسته ایی را به سرقت برده و آنها را بر روی اینترنت قرارمی دهد و هر کسی میتواند به این اطلاعات دسترسی پیدا کند.کرم استاکس نت از طریق هرنوع شبکه و یواس بی، به پی ال سی یا بخش اصلی مدار سیستم های کنترل صنعتی نفوذ و با وارد کردن کدهای خود، برنامه جدیدی در پی ال سی جایگزین می کند. بنابراین می تواند کنترل کارخانه را تا حدودی در دست بگیرد. در این صورت مثلا می تواند در یک کارخانه پتروشیمی، تنظیم فشار در منبع یا لوله های مواد را در دست بگیرد و با افزایش فشار باعث انفجار شود یا در نیروگاه های تولید برق، ولتاژ را ببرد و به دستگاه ها آسیب برساند. این حالت نیز می تواند در سانتریفیوژهای تاسیسات اتمی تکرار شود. کارشناسان معتقدند که یافتن کرم استاکس نت در سیستم های کنترل صنعتی بسیار دشوار است. اما آن را در کامپیوترهای خانگی به راحتی می توان پیدا کرد.

کلمات کلیدی

ویروس ها,اکستاکس نت ,سایبری,سیستم های حفاظت اطلاعاتی,بدافزار,کرم

 

 

 

1- مقدمه

در این مقاله قرار است ابتدا درباره ی ماهیت و چگونگی فعالیت ویروس (بدافزاری) خطرناکی به نام اکستاکس نت صحبت شود.اگر بخواهیم یک تعریفی از ویروس داشته باشیم ویروس کامپیوتر، برنامه قابل اجرایی است که می‌تواند برنامه‌های دیگر کامپیوتر را با تغییر دادن و گنجاندن یک کپی از خودش، آلوده کند.

همانگونه که افراد در تماس با یکدیگر می‌توانند سرماخوردگی را منتقل کنند، یک ویروس کامپیوتری هم می‌تواند در تماس با برنامه‌های دیگر آنها را "آلوده" کند. با آلوده شدن برنامه‌ها، ویروس می‌تواند از طریق شبکه بر روی تمام کامپیوترها پخش شود و هر دستگاهی را که قادر به دفاع و حفاظت از خود نباشد، آلوده نماید.

این جا این سوال مطرح است که ویروس ها چگونه کار می کنند؟با وجود این که ده‌ها هزار نوع ویروس وجود دارد اما هر روزه شاهد کشف ویروس‌های جدید هستیم. در واقع ارائه یک توضیح عامیانه و کلی در مورد نحوه کار ویروس‌ها دشوار است؛ چرا که تمام ویروس‌ها در نحوه آلوده کردن و نحوه گسترش یافتن، متفاوتند. درعوض، ما طبقه‌بندی‌های گسترده‌ای را ارائه می‌دهیم که معمولاً در تعریف انواع مختلف ویروس به کار می‌روند.

در پاسخ به این سوال که ویروس‌ها چگونه کار می کنند؟

باید گفت:با وجود این که ده‌ها هزار نوع ویروس وجود دارد اما هر روزه شاهد کشف ویروس‌های جدید هستیم. در واقع ارائه یک توضیح عامیانه و کلی در مورد نحوه کار ویروس‌ها دشوار است؛ چرا که تمام ویروس‌ها در نحوه آلوده کردن و نحوه گسترش یافتن، متفاوتند. درعوض، ما طبقه‌بندی‌های گسترده‌ای را ارائه می‌دهیم که معمولاً در تعریف انواع مختلف ویروس به کار می‌روند.

این مقاله به ویروس اکستاکس نت اشاره می کند که در سال های اخیر توسط بعضی کشور ها برای ایجاد خلل در سیستم های امنیتی کشورهای دیگر از جمله ایران ایجاد شده و فعالیت خود را آغاز کرده که البته ناگفته نماند که خوشبختانه نتوانسته فعالیتش را در ایران به انجام برساند و توسط مامورین حفاظت اطلاعات شناسایی و از فعالیتش جلوگیری شده است.   

2- مطالب اصلی

 

2-1-استاکس نت

استاکس‌نت (Stuxnet) یک بدافزار رایانه‌ای (بنابر نظر شرکت‌های نرم‌افزاری امنیت رایانه:کرم رایانه‌ای یا تروجان ) است که نخستین‌بار در تاریخ ۱۳ جولای ۲۰۱۰ توسط ضدویروس وی‌بی‌ای ۳۲ شناسایی شد. این بدافزار با استفاده از نقص امنیتی موجود در میان‌برهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی فایل‌های با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس را گردآوری می‌کند و به یک سرور خاص می‌فرستد.

  به گزارش شرکت سیمنتک، ۶۰ درصد کامپیوترهایی که مورد حمله این کرم رایانه‌ای هستند در ایران قرار دارند. این بزرگ‌ترین حمله بدافزارها به رایانه‌های صنعتی ایران در چند سال اخیر بوده است. استاکس نت از حدود هفت ماه پیش در سیستم‌های رایانه‌ای فعال شده، اسرار درون کامپیوتر را می‌دزدد و روی اینترنت منتشر می‌کند. بر پایه‌ی اطلاعاتی که منتشر شده، حوزه‌ی اصلی فعالیت این ویروس کشور ایران بوده و دوکشور اندونزی و هند از دیگر مناطق عملیاتی این ویروس اعلام شده‌اند.

  بنابر اعلام شرکت روسی کاسپراسکای، از ماه ژوئیه ۲۰۱۰ تعداد رایانه‌های آلوده به کرم جاسوسی استاکس‌نت در ایران بسیار کاهش یافته‌است، اما میزان آلودگی رایانه‌های روسی روز به روز در حال افزایش است.گزارش کاسپراسکای که در ۲۵ سپتامبر منتشر شده، خبر از کاهش ۷۵ درصدی رایانه‌های آلوده در ایران می‌دهد و بر همین اساس ایران در رتبه‌ی پنجم از نظر آلودگی به این کرم جاسوس قرار گرفته‌است. این در حالی است که روسیه با افزایش ۳۰۸ درصدی رایانه‌های آلوده، پس از هند، اندونزی و قزاقستان رتبه‌ی چهارم را به خود اختصاص داده‌است.

  ورم استاکسنت که یکی از مورد توجه و مهمترین تهدیدهای امسال است از طریق درایوهای USB منتشر شده و با بهره‌برداری از آسیب‌پذیری فایل‌های میان بر در ویندوز، رایانه‌هایی را هدف گرفت که نرم‌افزار کنترل سیستم‌های مدیریت صنعتی مورد استفاده در شرکت‌های سازنده و زیرساخت، در آنها اجرا می‌شد.

  شرکت مایکروسافت خلاء امنیتی که باعث نفوذ استاکسنت به سیستم‌های کامپیوتری می‌شد را با فراهم‌کردن یک بسته‌ی امنیتی رفع کرده است. استاکسنت از ایراد امنیتی که مربوط به فایل‌های LNK ویندوز است بهره می‌برد. مایکرو سافت اعلام کرد که این بسته‌ی امنیتی برای همه‌ی نسخه‌های سیستم عامل ویندوز از XP SP3 گرفته تا SERVER 2008 فراهم شده است.

استاکس نت یک بدافزار رایانه یی (طبق نظر شرکت های نرم افزار امنیت رایانه ای: کرم رایانه یی یا تروجان) است که نخستین بار در تاریخ 13 جولای 2010 شناسایی شد. ماجرا زمانی شروع شدکه شرکت سیمانتک در کالیفرنیا، گزارشی درباره آلودگی کامپیوترهای جهان به این کرم منتشر کرد. در این گزارش عنوان شده بود که حدود 60 درصد آلودگی های جهان به این کرم کامپیوتری، در ایران قرار دارد. گزارش های اولیه از این ویروس حاکی از آن بود که این ویروس در سیستم های کنترل صنعتی شرکت زیمنس به نام اسکادا نفوذ کرده است. اما در گزارش های تکمیلی که شرکت سیمانتک منتشر کرد اعلام داشت که هدف این ویروس جاسوسی نیست بلکه تخریب سیستم های صنعتی است.

 

2-2-نحوه فعالیت

کرم استاکس نت از طریق هرنوع شبکه و یواس بی، به پی ال سی یا بخش اصلی مدار سیستم های کنترل صنعتی نفوذ و با وارد کردن کدهای خود، برنامه جدیدی در پی ال سی جایگزین می کند. بنابراین می تواند کنترل کارخانه را تا حدودی در دست بگیرد. در این صورت مثلا می تواند در یک کارخانه پتروشیمی، تنظیم فشار در منبع یا لوله های مواد را در دست بگیرد و با افزایش فشار باعث انفجار شود یا در نیروگاه های تولید برق، ولتاژ را ببرد و به دستگاه ها آسیب برساند. این حالت نیز می تواند در سانتریفیوژهای تاسیسات اتمی تکرار شود. کارشناسان معتقدند که یافتن کرم استاکس نت در سیستم های کنترل صنعتی بسیار دشوار است. اما آن را در کامپیوترهای خانگی به راحتی می توان پیدا کرد. این کرم با جعل امضای اینترنتی شرکت معتبر ریل تک توانسته به راحتی از سد سیستم های امنیتی و فایر وال ها عبور کند و بی آنکه شناسایی شود وارد سیستم می شود. اما این سوال را به وجود می آورد که امضای اینترنتی این شرکت ساخت سخت افزارهای کامپیوتری دزدیده شده، یا خود شرکت به اختیار این امضا را داده است؟

2-3-هدف

ازشواهد امر این گونه برمی آید که هدف اصلی این کرم تاسیسات غنی سازی اورانیوم نطنز بوده است. اما به طور کلی می تواند هدف این کرم تمامی مراکزی که دارای سیستم کنترل صنعتی هستند، باشد. این کرم در بسیاری از سیستم های خانگی یا لپ تاپ ها دیده می شود اما برای این نوع کاربرها خطری نخواهد داشت و به راحتی قابل مشاهده است ولی این کرم در سیستم های صنعتی به شدت هوشمند عمل می کند و مشاهده آن بسیار سخت یا حتی غیرممکن خواهد بود. علی اکبر صالحی رییس وقت سازمان انرژی اتمی ایران اعلام کرد که این ویروس در لپ تاپ چند تن از مهندسان تاسیسات اتمی بوشهر شناسایی شده و از بین رفته است.

2-4-سازنده

درباره ساخت این ویروس نظریات متفاوتی وجود دارد. اما هیچ کشور یا شخصی به طور مستقیم مسوولیت ساخت این کرم را به عهده نمی گیرد. برخی بر این عقیده اند که این ویروس در این حجم نمی تواند کار یک شخص یا یک شرکت باشد بلکه قطعا یک کشور پشت این برنامه است که انگشت اتهام در وهله اول به سوی ایالات متحده نشانه می رود که این عملیات به دستور مستقیم اوباما صورت گرفته است. برخی بر این عقیده اند که این برنامه را اسراییل حمایت می کند و این ویروس را نیز روی برخی سانتریفیوژهای خود امتحان کرده است و برخی نیز این عملیات را کار مشترک امریکا و اسراییل می دانند.

2-5-کشورهای آسیب دیده

در یک گزارش تحقیقی که شرکت سیمانتک ارائه داد، کشورهای آسیب دیده از این ویروس در روزهای اولیه ایران، اندونزی و هند بودند. آمار کشورهای آسیب دیده به درصد به شرح ذیل است: آمار نشان می دهد که ایران در رتبه نخست از نفوذ ویروس قرار دارد و دیگر کشورها با فاصله زیادی از آن قرار دارند و از این آمار نیز می توان نتیجه گرفت که هدف اصلی این ویروس ایران بوده است.

2-6- استاکس نت در کمین رایانه های شخصی

معاون شرکت فناوری اطلاعات ایران با تاکید بر اینکه ویروس رایانه ای استاکس نت که چندی است رایانه های ایرانی را مورد حمله قرار داد تنها محیط صنعتی را تهدید نمی کند گفت: این ویروس نقاط ضعفی را در کامپیوترهای آلوده ایجاد می کند که امکان دسترسی به اطلاعات رایانه کاربران را از راه دور فراهم می سازد.

حمید علیپور در گفتگو با خبرنگار مهر اظهار داشت: کرم جاسوسی استاکس نت بسیارخطرناک است و به رغم اینکه محیطهای صنعتی را مورد حمله قرار می دهد، کاربرانی که در منزل از رایانه استفاده می کنند و یا شرکتهای دولتی و خصوصی نیز در معرض تهدید این ویروس قرار دارند.

وی با تاکید بر اینکه معمولا مهاجمین به اطلاعات اجازه دسترسی به راههای نفودی که در رایانه ها باز کرده اند را به دیگران نمی دهند و با سرورهای میانی و روش های کد شده سعی می کنند این راههای نفوذ را حفاظت کرده و تنها خود از این کامپیوترهای آلوده استفاده کنند، اضافه کرد: اما آنچه که در این ویروس تعجب آور است این است که راههای نفوذ در دسترس است و هر فردی که کوچکترین اطلاعاتی از هک و جاسوسی الکترونیک داشته باشد می تواند از کامپیوتر آلوده سوء استفاده کند.

معاون شرکت فناوری اطلاعات گفت: این به این معنا است که دری روی رایانه های آلوده باز شده که از طریق اینترنت امکان حمله به رایانه توسط گروهی به جز مهاجمین استاکس نت را فراهم کرده است.

علیپور گفت: با بیان اینکه اگرچه تهدید اولیه این ویروس در ایران بوده اما با توجه به رشد و نفوذی که در سطح دنیا داشته این بدافزار از کنترل خارج شده و در جاهای دیگر دنیا هم در حال توسعه یافتن است.

2-7- نحوه عملکرد و روشهای مقابله با ویروس رایانه ای استاکس نت

معاون شرکت فناوری اطلاعات در پاسخ به این سئوال که این جاسوس رایانه ای چه اطلاعاتی از کاربران خانگی را به سرقت خواهد برد به مهر گفـت: به نظر نمی رسد هدف اولیه نویسنده این بدافزار سرقت اطلاعات کارتهای اعتباری کاربران خانگی بوده باشد اما این امکان به وجود آمده که هر کامپیوتر آلوده به این ویروس نه تنها از سوی نویسنده این بدافزار بلکه توسط هر فردی که اطلاعات آن را در اینترنت خوانده و نحوه استفاده از آن را یاد گرفته باشد مورد سوء استفاده قرار گیرد.

علیپور با تاکید بر اینکه نحوه پاکسازی رایانه ها در سایت ماهر توضیح داده شده و تمامی اطلاعات بروزرسانی می شود تا کاربران عام در جریان قرار گیرند ادامه داد: در زمان حاضر اکثر نرم افزارهای ضد بدافزار و ویروس کش های مختلف قابلیت پاکسازی ویروس استاکس نت را دارند و اگر کاربران از نرم افزارهای بروز شده ضد ویروس که قابلیت شناسایی داشته باشد استفاده می کنند می توانند با این بدافزار مقابله کنند.

·        کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند:

وی با بیان اینکه لیست بدافزارهایی که قابلیت شناسایی آنها وجود دارد روی سایت مرکز ماهر قرار دارد به مهر گفت: برخی از نرم افزارهای ویروس کش برای کاربران خانگی قابل دانلود و رایگان است.

معاون شرکت فناوری اطلاعات با اشاره به دیگر نکات لازم برای رعایت کاربران خاطرنشان کرد: کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند. کسانی که با سیستم عامل لینوکس کار می کنند این موضوع را رعایت می کنند اما کاربرانی که از سیستم عامل ویندوز استفاده می کنند باید این موارد را بیشتر رعایت کنند.

§        کاربران دو کلمه عبور برای سیستم خود ایجاد کنند:

وی ادامه داد: متاسفانه کاربران ویندوز که اکثر کاربران کشور ما را تشکیل می دهند عادت دارند که یا به اسم مدیر سیستم وارد کامپیوتر می شوند و یا به کلمه عبوری که برای خود ایجاد کرده اند اختیارات مدیر سیستم را می دهند که این موضوع بسیار خطرناک است. به همین دلیل به کاربران توصیه می شود دو کلمه عبور برای سیستم خود ایجاد کنند که به یکی از آنها اختیارات سطح بالای دسترسی و مدیر سیستم را بدهند و به کلمه عبور دیگر این اختیار را ندهند.

§        توصیه ای برای زمان اتصال به اینترنت یا استفاده از فلش و کول دیسک

وی ادامه داد: توصیه امنیتی این است که کاربران در حالت عادی بخصوص وقتی می خواهند به اینترنت وصل شوند و یا حافظه جانبی مثل فلش و کول دیسک و هارد اکسترنال به سیستم وصل کنند با حداقل سطح دسترسی لازم برای کار با کامپیوتر وارد سیستم شوند و زمانی که لازم است نرم افزاری نصب شود یا سطح دسترسی بالاتر در حد مدیر سیستم باشد با کلمه عبور با احتیاط بالاتر وارد سیستم شوند.

علیپور اضافه کرد : به این ترتیب ویروس ها نمی توانند درایورهای خود را روی سیستم نصب کنند و حداکثر اگر کامپیوتر را آلوده کرده باشند با یک خاموش روشن شدن سیستم این ویروس پاک می شود. چون ویروس نتوانسته خود را در نقاط کلیدی سیستم کپی کند.

وی گفت: در مورد استاکس نت اگر کلمه عبور مدیریت سیستم نباشد کامپیوتر اگر آلوده نشده باشد امکان آلوده شدن آن نیست. چون این ویروس درایورهایی را روی سیستم نصب می کند که برای نصب آنها نیاز به اختیارات مدیر سیستم دارد. پس کاربران این توصیه امنیتی را جدی بگیرند.
علیپور گفت: نشانه ها و علائم مورد حمله قرارگرفتن سیستمها روی سایت مرکز ماهر موجود است و ضمن اینکه یک فایل اجرایی کوچک توسط مراکز آپای دانشگاه شریف و امیرکبیر نوشته شده و روی وبسایت ماهر قابل دانلود شدن است.

3- نتیجه

در این مقاله،ویژگی ها و نحوه ی عملکرد و هدف ویروسی (بدافزاری)به نام اکستاکس نت مورد بررسی قرار گرفت که توسط افرادی ماهر در زمینه ی IT و... طراحی شده که هدف آن ها صرفا برای کسب در آمد نبوده بلکه اهداف دیگری را دنبال می کنند که شواهد و آمار آلودگی سیستم هایی که مورد حمله این ویروس قرار گرفته اند، نشان می دهند که هدف آنها تاسیسات اتمی و صنعتی ایران برای جلوگیری هرچه بیشتر در برنامه اتمی ایران و به تعویق انداختن آن است و افشای اطلاعات سیستم های صنعتی و حتی شخصی بر روی اینترنت می باشد نحوه ی مقابله با این ویروس نیز ذکر شد.

از جمله مواردی که ذکر شد این بود که این کرم سیستم های چندین کشور را مورد حمله ی خود قرار داده و آن ها را آلوده کرده درسته که امروزه این ویروس شناخته شده و راه هایی برای مقابله با آن مطرح شده است.اما ناگفته نماند که افرادی که این ویروس را طراحی کرده اند ساکت ننشسته و درصدد پیشرفته کردن این کرم هستند و در آینده دوباره این ویروس را از طریقی دیگر و با عملکردی متفاوت تر  وارد عرصه ی شبکه سیستم ها می کنند.

4-مراجع

  [1]     سراج

  [2]     www.irdiplomacy.ir/fa/html