درباره ویروس Stuxnet (استاک نت)

کرم Stuxnet بدافزاری است که چنان در استفاده از آسیب پذیری­های اصلاح نشده ماهر است و چنان در کار خود پیچیده عمل می­کند که آن دسته از متخصصان امنیتی که در مورد آن تحقیق کرده اند، معتقدند که ممکن است این بدافزار کار متخصصانی با پشتوانه قوی باشد. این بدافزار هم زمان چهار نقص امنیتی اصلاح نشده ویندوز را مورد سوء استفاده قرار می­دهد که سوء استفاده از این تعداد آسیب پذیری برای یک بدافزار بسیار زیاد است.

Stuxnet که نخستین بار در اواسط جولای توسط شرکت کوچک امنیتی VirusBlokAda در بلاروس گزارش شد، یک ماه بعد زمانی که مایکروسافت تایید کرد که این کرم در حال هدف قرار دادن سیستم­های ویندوز در مدیریت سیستم­های کنترل صعنتی بزرگ است، به شهرت رسید.

این سیستم­های کنترلی اغلب با عنوان SCADA (Supervisory Control And Data Acquisition) شناخته می­شوند. این سیستم­ها هر چیزی را، از سایت­های نیروگاهی گرفته تا خطوط انتقال نفت، کنترل می­کنند.

محققان ابتدا اعتقاد داشتند که Stuxnet صرفا از یک آسیب پذیری اصلاح نشده در ویندوز سوء استفاده کرده و از طریق درایوهای USB منتشر می­شود. به گفته محققان سایمانتک، ایران جدی ترین هدف این کرم بوده و در ماه جولای نزدیک به 60 درصد از تمامی سیستم­های آلوده، در ایران قرار داشتند. در روز دوم آگوست، مایکروسافت یک به روز رسانی فوری برای اصلاح این نقص عرضه کرد. در این زمان Stuxnet به عنوان کرم سوء استفاده کننده از میان­برهای ویندوز شناخته می­شد.

اما برخلاف انتظار مایکروسافت، Stuxnet می­توانست همزمان از چهار آسیب پذیری برای دسترسی به شبکه های شرکت­ها استفاده کند. به گفته محققان، پیش از این دیده نشده است که یک بدافزار به طور همزمان از چهار آسیب پذیری اصلاح نشده استفاده کند. زمانی که این کرم به یک شبکه دسترسی پیدا می­کند، به دنبال کامپیوترهای خاصی می­گردد که سیستم­های SCADA را که توسط نرم افزاری از شرکت زیمنس کنترل می­شوند، مدیریت می­کنند.

محققان Kaspersky و سایمانتک با در دست داشتن نمونه ای از Stuxnet، کد این بدافزار را مورد بررسی و تحلیل عمیق قرار دادند تا به اطلاعات بیشتری در مورد آن دست پیدا کنند. این دو شرکت به طور جداگانه کد حمله ای را که سه آسیب پذیری اصلاح نشده دیگر ویندوز را هدف قرار داده بود، پیدا کردند.

به گفته یکی از محققان Kaspersky، نخست ظرف مدت یک هفته تا یک هفته و نیم، حفره print spooler توسط محققان این شرکت پیدا شد. سپس حفره EoP (تغییر حق دسترسی) ویندوز نیز توسط این شرکت امنیتی کشف شد. پس از آن حفره دوم EoP نیز توسط محققان مایکروسافت پیدا شد.

محققان سایمانتک نیز به طور جداگانه آسیب پذیری print spooler و دو آسیب پذیری EoP را در ماه آگوست پیدا کردند.

هر دو شرکت نتایج فعالیت­های خود را به مایکروسافت گزارش کردند که باعث شد آسیب پذیری print spooler به سرعت اصلاح شده و وعده اصلاح دو آسیب پذیری کم خطرتر EoP در به روز رسانی امنیتی بعدی نیز داده شود.

اما عجایب Stuxnet به اینجا ختم نمی­شود. این کرم همچنین از یک حفره ویندوز که در سال 2008 توسط به روز رسانی MS08-067 اصلاح شده بودنیز استفاده می­کند. این نقص امنیتی همان آسیب پذیری مورد استفاده کرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود که به میلیون­ها سیستم در سراسر جهان آسیب وارد کرد.

زمانی که Stuxnet از طریق USB وارد یک شبکه می­شود، با استفاده از آسیب پذیری­های EoP حق دسترسی admin به سایر PC ها را برای خود ایجاد می­کند، سیستم­هایی را که برنامه های مدیریت WinCC و PCS 7 SCADA اجرا می­کنند پیدا می­کند، کنترل آنها را با سوء استفاده از یکی از آسیب پذیری­های print spooler یا MS08-067 در اختیار می­گیرد، و سپس کلمه عبور پیش فرض زیمنس را برای در اختیار گرفتن نرم افزار SCADA آزمایش می­کند. سپس مهاجمان می­توانند نرم افزار PLC (programmable logic control) را مجددا برنامه ریزی کنند تا دستورات جدید را مطابق میل خود صادر نمایند.

نکته قابل توجه این است که این کد حمله معتبر و قانونی به نظر می­رسد، چرا که افرادی که پشت Stuxnet قرار دارند، حداقل دو گواهی دیجیتالی امضا شده را سرقت کرده اند.

به گفته محقق شرکت امنیتی Kaspersky، سازماندهی و پیچیدگی اجرای کل بسته بسیار قابل توجه است. به عقیده وی، هر کسی که پشت این بدافزار قرار دارد، قصد دارد به تمام دارایی­های شرکت یا شرکت­های هدف خود دست یابد.

یک محقق امنیتی دیگر نیز معتقد است که تیمی متشکل از افرادی با انواع تخصص­ها و پیش زمینه ها از Rootkit گرفته تا پایگاه داده، این بدافزار را ایجاد کرده و هدایت می­کنند. این بدافزار که تقریبا نیم مگابایت حجم دارد، به چندین زبان از جمله C، C++ و سایر زبان­های شیء گرا نوشته شده است. به گفته وی، تیم ایجاد کننده این بدافزار نیاز به سخت افزار فیزیکی واقعی برای تست داشته اند و به خوبی می­دانند که یک کارخانه خاص چگونه کار می­کند. بنابراین ایجاد و استفاده از این بدافزار قطعا یک پروژه بزرگ بوده است.

یک راه که این مهاجمان با استفاده از آن ریسک شناسایی شدن را کم کرده اند، قرار دادن یک شمارنده در USB آلوده است که اجازه انتشار بدافزار از طریق یک USB خاص به بیش از سه کامپیوتر را نمی­دهد. این بدان معناست که مهاجمان سعی کرده اند با جلوگیری از گسترش بیش از اندازه این بدافزار، آن را در سازمان هدف خود نگاه داشته و به این ترتیب از شناسایی آن جلوگیری نمایند.

زمانی که این بدافزار وارد شبکه یک شرکت می­شود، فقط در صورتی از آسیب پذیری MS08-067 استفاده می­کند که بداند هدف، بخشی از یک شبکه SCADA است. در اغلب شبکه های SCADA هیچگونه عملیات ثبت (logging) انجام نمی­شود و این شبکه ها دارای امنیت محدود بوده و به ندرت اصلاحیه ای در مورد آنها منتشر می­شود. همین مساله باعث می­شود که سوء استفاده از آسیب پذیری MS08-067 که مدت­هاست اصلاح شده است، برای این کار موثر و مفید باشد.

تمام این مسائل، تصویری ترسناک از Stuxnet می­سازد. محققان سایمانتک و Kaspersky معتقدند که با توجه به شناسایی کاملی که این کرم انجام می­دهد و پیچیدگی کار آن و خطرناک بودن حمله آن، این بدافزار حتی نمی­تواند صرفا کار یک گروه حرفه ای جنایتکار سایبری باشد.

محقق امنیتی شرکت سایمانتک معتقد است که این به هیچ عنوان نمی­تواند کار یک گروه خصوصی باشد. چرا که مهاجمان صرفا به دنبال اطلاعات برای حذف رقیب نبوده اند. آنها قصد داشته اند PLC ها را مجددا برنامه ریزی کرده و کار سیستم­ها را به چیزی غیر از آنچه که صاحبان آنها می­خواهند، تغییر دهند که این چیزی بیش از جاسوسی صنعتی است. به گفته وی، منابع و هزینه مورد نیاز برای این حمله، آن را خارج از قلمرو یک گروه هک خصوصی قرار می­دهد.

این حمله به طور خاص ایران را هدف گرفته بود. محقق امنیتی Kaspersky معتقد است که با در نظر گرفتن تمامی این شرایط، محتمل­ترین سناریو در مورد این بدافزار، یک گروه هک وابسته به سرویس­های جاسوسی حکومتی یک کشور است.

به گفته محقق امنیتی سایمانتک، این یک پروژه بسیار مهم برای افرادی است که در پشت آن قرار دارند که هزینه ها و ریسک بالایی نیز داشته است.

همچنین اگرچه زیمنس ادعا می­کند که 14 سایت آلوده به Stuxnet که توسط این شرکت کشف شده اند، توسط این بدافزار خراب نشده و یا تحت تاثیر آن قرار نگرفته اند، اما محققان امنیتی سایمانتک و Kaspersky در این باره مطمئن نیستند.

متخصصان در مورد زمان آغاز به کار این بدافزار اتفاق نظر ندارند. Kaspersky آغاز فعالیت این بدافزار را در جولای 2009 می­داند، در حالی که سایمانتک معتقد است که شروع این حملات به ژانویه 2010 برمی­گردد. اما همگی معتقدند که این کرم ماه­ها بدون شناسایی شدن به کار خود ادامه داده است. این محققان فکر می­کنند که این بدافزار توانسته باشد پیش از شناسایی شدن، به اهداف خود برسد.

/ 0 نظر / 5 بازدید