چگونه مأموريت "استاكسنت " ناتمام ماند
"سرگي يولاسن " در تاريخ 17 ژوئن 2010 در دفتر كارش در بلاروس مشغول وارسي ايميلها بود كه گزارشي توجهش را جلب كرد. رايانه يكي از كاربران ايراني مدام رياستارت ميشد: عليرغم تلاشهاي اپراتور براي كنترل رايانه، دستگاه پياپي خاموش و دوباره روشن ميشد. به نظر ميرسيد كه رايانه اين كاربر ويروسي شده باشد.
"استاكسنت " امروزه به عنوان خطرناكترين نرمافزار مخرب در تمام طول تاريخ شناخته شده است. چگونه اين پروژه عظيم نتوانست مأموريت خود را در تأسيسات هستهاي "نطنز " به اتمام برساند؟
به گزارش فارس، سايت "وايرد دات كام " در گزارشي مفصل، "استاكسنت " را رمزگشايي و اهداف آن را در حمله به تأسيسات هستهاي ايران بررسي كرد. در بخش اول اين مقاله ميخوانيم كه "استاكسنت " چگونه براي اولين بار مشاهده شد و برخورد شركتهاي آنتي ويروس با آن چه بود.
* مشكل در اتاق سانتريفيوژهاي نيروگاه
ماه ژانويه سال 2010 بود و بازرسين آژانس بينالمللي انرژي اتمي، بررسي تأسيسات غنيسازي اورانيوم "نطنز " را به پايان رسانده بودند. در همين هنگام آنان متوجه شدند كه چيزي در اتاقهاي آبشاري، كه هزاران سانتريفيوژ در آن مشغول غنيسازي اورانيوم بودند، از كار افتاده است.
متخصصين نيروگاه "نطنز " با لباسها، دستكشها و كفشهاي سفيد خود به سرعت در اتاقهاي آبشاري "پاكيزه " اين طرف و آن طرف ميرفتند و سانتريفيوژهاي سنگين را يكي يكي در استوانههاي نقرهاي درخشان بيرون ميبردند.
* كاركنان نيروگاه بيش از يك ماه مشغول تعويض سانتريفيوژهاي نيروگاه بودند
هر بار كه كاركنان نيروگاه، سانتريفيوژهاي آسيبديده و يا غير قابل استفاده را از كار ميانداختند، بايد پيش از آن كه آنها را از بين ببرند، اين دستگاهها را در مكاني قرار ميدادند تا آژانس بررسي كند كه مواد راديواكتيو از آنها به بيرون نشت نكرده باشد. اكنون بيش از يك ماه بود كه متخصصين نيروگاه اين كار را انجام ميدادند.
* تعويض ساليانه 800 سانتريفيوژ در نيروگاه به طور معمول
ايران به طور معمول ساليانه تا 10 درصد از سانتريفيوژهاي خود را به علت خلل فيزيكي و يا دلايل ديگر جايگزين ميكرد. از آن جايي كه در آن زمان حدود 8700 سانتريفيوژ در نيروگاه "نطنز " وجود داشت، به طور عادي بايد در طول سال حدود 800 عدد از آنها جايگزين ميشد.
* تعويض بين 1000 تا 2000 سانتريفيوژ معيوب در طول چند ماه
بعدها آژانس انرژي اتمي، فيلم دوربينهاي نظارت بر برنامه غنيسازي اورانيوم ايران را كه در خارج از اتاقهاي آبشاري نصب شده بود، بازبيني كرد؛ مأمورين آژانس از شمردن تعداد سانتريفيوژها شگفتزده شدند. تعداد سانتريفيوژهاي جايگزين شده باور نكردني بود: تخمينهاي بعدي نشان داد كه بين 1000 تا 2000 سانتريفيوژ تنها در طول چند ماه جايگزين شدهاند.
سؤال اين بود: چرا؟
* مشخص بود كه مشكلي در زمينه سانتريفيوژها وجود دارد
از ايران خواسته نشد تا دليل جايگزيني سانتريفيوژها را اعلام كند و بازرسين نيز از لحاظ قانوني حق نداشتند اين سؤال را بپرسند. آنان دستور داشتند بر كار ايران با مواد هستهاي نظارت كنند و نه اين كه اشكالات موجود در تجهيزات هستهاي اين كشور را كنترل نمايند. اما مشخص بود كه چيزي به سانتريفيوژها آسيب رسانده بود.
* نفوذ يك كرم رايانهاي حرفهاي و مخرب به درون سيستمهاي نيروگاه "نطنز "
آن چه بازرسين نميدانستند اين بود كه پاسخي كه به دنبال آن بودند در اطراف خودشان مخفي شده است: درون فضاي ديسكها و حافظه كامپيوترهاي نيروگاه. چند ماه پيش در ژوئن 2009، فردي بدون سر و صدا يك كرم رايانهاي حرفهاي و مخرب را منتشر كرده بود. اين كرم به درون كامپيوترهاي ايران خزيده بود و تنها يك هدف داشت: برنامه غنيسازي اورانيوم ايران را خراب كند.
* "استاكسنت " اولين سلاح سايبري واقعي در جهان
اما اين تاريخ تقريباً يك سال پيش از پي بردن بازرسين به وجود اين كرم بود. دهها محقق امنيت رايانهاي در سراسر جهان ماهها زمان صرف يافتن پاسخ و رمزگشايي نرمافزاري كردند كه پيچيدهترين برنامه مخربي است كه تا كنون نوشته شده است. نرمافزاري كه بالاخره به عنوان اولين سلاح سايبري واقعي در جهان، دفتر تاريخ را ورق زد.
* آلودگي رايانه يك كاربر ايراني در سال 2010
"سرگي يولاسن " در تاريخ 17 ژوئن 2010 در دفتر كارش در بلاروس مشغول وارسي ايميلها بود كه گزارشي توجهش را جلب كرد. رايانه يكي از كاربران ايراني مدام رياستارت ميشد: عليرغم تلاشهاي اپراتور براي كنترل رايانه، دستگاه پياپي خاموش و دوباره روشن ميشد. به نظر ميرسيد كه رايانه اين كاربر ويروسي شده باشد.
* تبديل امنيت رايانهاي از يك شاخه كوچك در علوم كامپيوتر به صنعتي چند ميليارد دلاري
"يولاسن " به بخش آنتيويروس يك شركت كوچك امنيت رايانهاي، موسوم به "ويروس بلوك آدا " در شهر "مينسك "، پايتخت بلاروس، مراجعه كرد. امنيت رايانهاي كه زماني يك شاخه كوچك و خاص از علوم كامپيوتر بود، در طول چند دهه اخير به صنعتي چندين ميليارد دلاري تبديل شده است كه با سيل عظيم پيشرفت حملات هكرها، ويروسها، تروجانها و برنامههاي جاسوسي در حال رقابت است.
* مطرح شدن افراد و سازمانهاي فعال در زمينه امنيت رايانهاي
برترين متخصصين امنيتي مانند "بروس اشنير "، "دن كامينسكي " و "چارلي ميلر " به عنوان ستارههاي راك در ميان ديگر متخصصين امنيتي مطرح هستند و شركتهاي برتر مانند "سيمانتك "، "مكآفي " و "كاسپرسكي " به نامهايي مشهور تبديل شدهاند كه از همه چيز محافظت ميكنند: از لپتاپهاي مادربزرگ گرفته تا شبكههاي حساس نظامي.
با اين حال "ويروس بلوك آدا " نه يك ستاره راك و نه يك نام مشهور بود؛ بلكه شركت ناشناختهاي بود كه حتي در صنعت امنيت رايانهاي نيز افراد كمي نام آن را شنيده بودند. اما اين وضعيت به زودي تغيير كرد.
* استفاده ويروس از "روز صفر "، قدرتمندترين سلاح هكرها
تيم تحقيقي "يولاسن " به دنبال ويروسي رفتند كه رايانه مشتريشان را آلوده كرده بود و دريافتند كه اين ويروس از حفره امنيتي "روز صفر " براي گسترش استفاده ميكند. حفرههاي امنيتي "روز صفر " قدرتمندترين سلاح هكرها هستند: در اين روش از اشكالات موجود در نرمافزار كه هنوز توسط سازنده آن و يا سازندههاي آنتيويروس شناسايي نشده است، استفاده ميشود. اين اشكالات همچنين بينهايت كمياب هستند. يافتن و استفاده از اين اشكالات به مهارت و صرف زمان بسيار زيادي نياز دارد. در ميان بيش از 12 ميليون نرمافزار مخرب كه هر سال محققان در زمينه آنتيويروسها كشف ميكنند، كمتر از ده نرمافزار از حفرههاي "روز صفر " استفاده ميكنند.
* اشكال در " ويندوز اكسپلورر " عامل كارآمدي "استاكسنت "
در اين مورد، استفاده از حفره امنيتي باعث شد تا ويروس به خوبي از طريق فلش مموري از رايانهاي به رايانه ديگر منتقل شود. اشكال در فايل "LNK " " ويندوز اكسپلورر " بود: يكي از بخشهاي اساسي "مايكروسافت ويندوز. " زماني كه فلش مموري آلوده به يك رايانه متصل ميشد، "اكسپلورر " به طور خودكار آن را اسكن ميكرد. همين كار باعث ميشد تا كد حفره "روز صفر " فعال شده و مخفيانه يك فايل بزرگ كه بخشي از آن رمزگذاري شده بود را وارد رايانه مقصد كند؛ همانند يك هواپيماي نفربر نظامي كه سربازهاي استتار شده را در منطقه هدف پياده كند.
با نگاهي به گذشته، اين حفره بسيار واضح به نظر ميآمد؛ زيرا به چنين عملكرد فراگيري حمله ميكرد. همچنين محققين به زودي فهميدند كه پيشتر نيز از اين حفره استفاده شده است.
* هجوم شركتهاي آنتيويروس براي گرفتن نمونه "استاكسنت "
شركت "ويروس بلوك آدا " با "مايكروسافت " تماس گرفت تا وجود اين حفره را به اطلاع اين شركت برساند. غول نرمافزاري جهان در حال آمادهسازي يك پچ بود كه در تاريخ 12 ژوئيه، "ويروس بلوك آدا " كشف خود را با معرفي آن در يك انجمن امنيتي به اطلاع عموم رساند. سه روز بعد، يكي از وبلاگنويسان امنيت رايانهاي به نام "برايان كربس "، داستان اين ويروس را منتشر كرد و شركتهاي آنتيويروس از سراسر جهان صف كشيدند تا نمونه اين ويروس را دريافت كنند؛ "مايكروسافت " با استفاده از تركيب نام فايلهاي موجود در كد اين ويروس (.stub و MrxNet.sys)، نام آن را "استاكسنت " گذاشت.
با شروع به كار صنعت امنيت رايانهاي و رمزگشايي و گشايش ساختار اين ويروس، ارزيابيهاي بيشتري نيز به وجود آمد.
* "استاكسنت " براي قانوني جلوه كردن در ويندوز، تأييديههايي را از شركتهاي ديگر دزديده است
مشخص شد كه اين كد، يك سال پيش در ژوئن 2009 توليد شده است و سازنده مرموز آن در طول اين مدت، اين كد را بهروزرساني و اصلاح و سه نسخه از آن را منتشر كرده است. لازم به ذكر است كه يكي از فايلهاي راهاندازي اين ويروس از يكي از تأييديههاي امضا شده و معتبر استفاده ميكرد كه از شركت "ريلتك " (RealTek)، از شركتهاي توليد سختافزار در "تايوان "، دزديده شده بود. به اين ترتيب ويروس باعث ميشد رايانه مقصد فريب بخورد و تصور كند كه اين نرمافزار مخرب يك برنامه مورد اعتماد ساخته شركت "ريلتك " است. مقامات اينترنتي "ريلتك " به سرعت اين تأييديه را باطل كردند؛ اما "استاكسنت " اين بار از تأييديه ديگري استفاده كرد كه مربوط به شركت "جيميكرون تكنولوژي " بود؛ شركت توليد مدارهاي الكترونيكي كه دفتر اصلي آن (چه به طور تصادفي و چه غير تصادفي) در همان شهرك تجاري واقع است كه دفتر "ريلتك " در آن قرار دارد. آيا مهاجمها به طور فيزيكي به درون دو شركت راه پيدا كرده بودند و تأييديهها را دزديده بودند؟ آيا از راه دور اين دو شركت را هك كرده و كليدهاي امضاي تأييديههاي ديجيتال آنها را دزديده بودند؟ هيچ كس نميدانست.
شركت امنيتي "ايست " كه يكي از تأييديهها را پيدا كرده بود در وبلاگ خود نوشت: "چنين عملياتهاي حرفهاي به ندرت ديده ميشود. اين نشان ميدهد كه [مهاجمها] به منابعي بسيار بزرگ دسترسي داشتهاند. "
* حمله "استاكسنت " به سيستم كنترل صنعتي "استپ 7 " ساخت شركت "زيمنس "
البته "استاكسنت " از لحاظ هاي ديگر، بسيار معمولي و در اهداف خود قانع به نظر ميرسيد. متخصصين تشخيص دادند كه قرار بوده است اين ويروس، نرمافزار "سيماتيك وينسيسي استپ 7 " را مورد هدف قرار دهد؛ يك سيستم كنترل صنعتي كه توسط شركت "زيمنس " آلمان ساخته شده است و از آن براي كنترل موتورها، شير فلكهها و سوئيچها در كارخانههاي توليد مواد غذايي و خطوط مونتاژ اتومبيل تا لولههاي گاز و تأسيسات پاكسازي آب استفاده ميشود.
* به نظر ميرسيد "استاكسنت " تنها اهداف جاسوسي داشته باشد
هر چند اين ويروس در نوع خود جديد بود (سيستمهاي كنترلي به طور معمول هدف حمله هكرها قرار نميگيرند؛ زيرا هيچ سود واضح اقتصادي در هك كردن اين سيستمها وجود ندارد)؛ اما آن چه "استاكسنت " با سيستمهاي "سيماتيك " انجام داد، جديد نبود. به نظر ميرسيد كه اين ويروس تنها تنظيمات و اطلاعات طراحي را از اين سيستمها مي دزدد تا به اين ترتيب يكي از رقباي اين شركت بتواند از طراحي محصولات آن كپيبرداري كند. "استاكسنت " مانند يكي ديگر از موارد جاسوسي صنعتي بود.
شركتهاي آنتيويروس الگوي نسخههاي مختلف اين ويروس را به ديتابيس شناسايي خود اضافه كردند و اغلب آنان به ويروسهاي ديگر پرداختند.
داستان "استاكسنت " ميتوانست همين جا به پايان برسد؛ اما تعداد كمي از محققان هنوز مايل نبودند تا جريان اين ويروس را رها كنند.
* بررسي شركت "سيمانتك " در مورد نمونه "استاكسنت "
محققان در دفترهاي شركت "سيمانتك " در اروپا و آمريكا در ميان افرادي بودندكه در ماه ژوئيه كد ويروس را گرفتند و الگوهايي را براي مشتركان طراحي كردند. اما پس از اين كار، ويروس به دست "ليام او مورچو " از كاركنان دفتر اين شركت در شهر "كالور " ايالت "كاليفرنيا "، رسيد.
* مدير "پاسخهاي امنيتي سيمانتك " تشخيص داد كه "استاكسنت " بايد مورد بررسي عميقتري قرار گيرد
"او مورچو " مرد 33 ساله ايرلندي و اسنوبردبازي است كه لهجهاي آهنگين دارد و موهاي قهوهاي جلوي صورتش مانند لبههاي زمين اسكيت به شكل عمودي ايستاده است. او كه مدير عملياتهاي "پاسخ امنيتي سيمانتك " است وظيفه دارد تا تهديدهاي مهم امنيتي را بررسي و معين كند كه آيا نياز به تحليل عمقي دارند يا خير.
* اغلب ويروسهايي كه شركت "سيمانتك " با آنها سر و كار دارد، گونههايي از ويروسهاي قبلي هستند كه مقابله با آنها دشوار نيست
در بين بيش از 1 ميليون فايل ويروس كه "سيمانتك " و ديگر شركتهاي آنتيويروس به طور ماهيانه دريافت ميكنند، اكثر آنها نسخههاي ديگر ويروسها و كرمهايي هستند كه قبلاً شناسايي شدهاند. اين فايلها به طور خودكار و بدون دخالت انسان پردازش ميشوند. الگوريتمهاي اين شركتها در فايلهاي آلوده به دنبال رشتههاي داده ميگردند كه ماهيت ويروس را معين ميكنند، سپس الگوهايي را توليد و به برنامههاي اسكنكننده در رايانههاي مشتركين خود ارسال ميكنند.
* "استاكسنت " از حفره "روز صفر " استفاده ميكرد و بايد توسط انسان مورد مطالعه قرار ميگرفت
با اين حال، ويروسهايي كه از حفرههاي "روز صفر " استفاده ميكنند، خاص هستند و به وسيله انسان بررسي ميشوند. "او مورچو " ويروس "استاكسنت " را به يكي از مهندسيني داد كه در زمينه "روز صفر " هيچ تجربهاي نداشت؛ وي تصور ميكرد كه "استاكسنت " براي آموزش دادن به اين مهندس فرصت خوبي است. اما زماني كه خود او نيز به طور همزمان به بررسي كد اين ويروس پرداخت، متوجه شد كه اين كد از آن چه او فكر ميكرد بسيار پيچيدهتر است.
به گزارش فارس، سايت "وايرد دات كام " در گزارشي مفصل، "استاكسنت " را رمزگشايي و اهداف آن را در حمله به تأسيسات هستهاي ايران بررسي كرد. در بخش اول اين مقاله ميخوانيم كه "استاكسنت " چگونه براي اولين بار مشاهده شد و برخورد شركتهاي آنتي ويروس با آن چه بود.
* مشكل در اتاق سانتريفيوژهاي نيروگاه
ماه ژانويه سال 2010 بود و بازرسين آژانس بينالمللي انرژي اتمي، بررسي تأسيسات غنيسازي اورانيوم "نطنز " را به پايان رسانده بودند. در همين هنگام آنان متوجه شدند كه چيزي در اتاقهاي آبشاري، كه هزاران سانتريفيوژ در آن مشغول غنيسازي اورانيوم بودند، از كار افتاده است.
متخصصين نيروگاه "نطنز " با لباسها، دستكشها و كفشهاي سفيد خود به سرعت در اتاقهاي آبشاري "پاكيزه " اين طرف و آن طرف ميرفتند و سانتريفيوژهاي سنگين را يكي يكي در استوانههاي نقرهاي درخشان بيرون ميبردند.
* كاركنان نيروگاه بيش از يك ماه مشغول تعويض سانتريفيوژهاي نيروگاه بودند
هر بار كه كاركنان نيروگاه، سانتريفيوژهاي آسيبديده و يا غير قابل استفاده را از كار ميانداختند، بايد پيش از آن كه آنها را از بين ببرند، اين دستگاهها را در مكاني قرار ميدادند تا آژانس بررسي كند كه مواد راديواكتيو از آنها به بيرون نشت نكرده باشد. اكنون بيش از يك ماه بود كه متخصصين نيروگاه اين كار را انجام ميدادند.
* تعويض ساليانه 800 سانتريفيوژ در نيروگاه به طور معمول
ايران به طور معمول ساليانه تا 10 درصد از سانتريفيوژهاي خود را به علت خلل فيزيكي و يا دلايل ديگر جايگزين ميكرد. از آن جايي كه در آن زمان حدود 8700 سانتريفيوژ در نيروگاه "نطنز " وجود داشت، به طور عادي بايد در طول سال حدود 800 عدد از آنها جايگزين ميشد.
* تعويض بين 1000 تا 2000 سانتريفيوژ معيوب در طول چند ماه
بعدها آژانس انرژي اتمي، فيلم دوربينهاي نظارت بر برنامه غنيسازي اورانيوم ايران را كه در خارج از اتاقهاي آبشاري نصب شده بود، بازبيني كرد؛ مأمورين آژانس از شمردن تعداد سانتريفيوژها شگفتزده شدند. تعداد سانتريفيوژهاي جايگزين شده باور نكردني بود: تخمينهاي بعدي نشان داد كه بين 1000 تا 2000 سانتريفيوژ تنها در طول چند ماه جايگزين شدهاند.
سؤال اين بود: چرا؟
* مشخص بود كه مشكلي در زمينه سانتريفيوژها وجود دارد
از ايران خواسته نشد تا دليل جايگزيني سانتريفيوژها را اعلام كند و بازرسين نيز از لحاظ قانوني حق نداشتند اين سؤال را بپرسند. آنان دستور داشتند بر كار ايران با مواد هستهاي نظارت كنند و نه اين كه اشكالات موجود در تجهيزات هستهاي اين كشور را كنترل نمايند. اما مشخص بود كه چيزي به سانتريفيوژها آسيب رسانده بود.
* نفوذ يك كرم رايانهاي حرفهاي و مخرب به درون سيستمهاي نيروگاه "نطنز "
آن چه بازرسين نميدانستند اين بود كه پاسخي كه به دنبال آن بودند در اطراف خودشان مخفي شده است: درون فضاي ديسكها و حافظه كامپيوترهاي نيروگاه. چند ماه پيش در ژوئن 2009، فردي بدون سر و صدا يك كرم رايانهاي حرفهاي و مخرب را منتشر كرده بود. اين كرم به درون كامپيوترهاي ايران خزيده بود و تنها يك هدف داشت: برنامه غنيسازي اورانيوم ايران را خراب كند.
* "استاكسنت " اولين سلاح سايبري واقعي در جهان
اما اين تاريخ تقريباً يك سال پيش از پي بردن بازرسين به وجود اين كرم بود. دهها محقق امنيت رايانهاي در سراسر جهان ماهها زمان صرف يافتن پاسخ و رمزگشايي نرمافزاري كردند كه پيچيدهترين برنامه مخربي است كه تا كنون نوشته شده است. نرمافزاري كه بالاخره به عنوان اولين سلاح سايبري واقعي در جهان، دفتر تاريخ را ورق زد.
* آلودگي رايانه يك كاربر ايراني در سال 2010
"سرگي يولاسن " در تاريخ 17 ژوئن 2010 در دفتر كارش در بلاروس مشغول وارسي ايميلها بود كه گزارشي توجهش را جلب كرد. رايانه يكي از كاربران ايراني مدام رياستارت ميشد: عليرغم تلاشهاي اپراتور براي كنترل رايانه، دستگاه پياپي خاموش و دوباره روشن ميشد. به نظر ميرسيد كه رايانه اين كاربر ويروسي شده باشد.
* تبديل امنيت رايانهاي از يك شاخه كوچك در علوم كامپيوتر به صنعتي چند ميليارد دلاري
"يولاسن " به بخش آنتيويروس يك شركت كوچك امنيت رايانهاي، موسوم به "ويروس بلوك آدا " در شهر "مينسك "، پايتخت بلاروس، مراجعه كرد. امنيت رايانهاي كه زماني يك شاخه كوچك و خاص از علوم كامپيوتر بود، در طول چند دهه اخير به صنعتي چندين ميليارد دلاري تبديل شده است كه با سيل عظيم پيشرفت حملات هكرها، ويروسها، تروجانها و برنامههاي جاسوسي در حال رقابت است.
* مطرح شدن افراد و سازمانهاي فعال در زمينه امنيت رايانهاي
برترين متخصصين امنيتي مانند "بروس اشنير "، "دن كامينسكي " و "چارلي ميلر " به عنوان ستارههاي راك در ميان ديگر متخصصين امنيتي مطرح هستند و شركتهاي برتر مانند "سيمانتك "، "مكآفي " و "كاسپرسكي " به نامهايي مشهور تبديل شدهاند كه از همه چيز محافظت ميكنند: از لپتاپهاي مادربزرگ گرفته تا شبكههاي حساس نظامي.
با اين حال "ويروس بلوك آدا " نه يك ستاره راك و نه يك نام مشهور بود؛ بلكه شركت ناشناختهاي بود كه حتي در صنعت امنيت رايانهاي نيز افراد كمي نام آن را شنيده بودند. اما اين وضعيت به زودي تغيير كرد.
* استفاده ويروس از "روز صفر "، قدرتمندترين سلاح هكرها
تيم تحقيقي "يولاسن " به دنبال ويروسي رفتند كه رايانه مشتريشان را آلوده كرده بود و دريافتند كه اين ويروس از حفره امنيتي "روز صفر " براي گسترش استفاده ميكند. حفرههاي امنيتي "روز صفر " قدرتمندترين سلاح هكرها هستند: در اين روش از اشكالات موجود در نرمافزار كه هنوز توسط سازنده آن و يا سازندههاي آنتيويروس شناسايي نشده است، استفاده ميشود. اين اشكالات همچنين بينهايت كمياب هستند. يافتن و استفاده از اين اشكالات به مهارت و صرف زمان بسيار زيادي نياز دارد. در ميان بيش از 12 ميليون نرمافزار مخرب كه هر سال محققان در زمينه آنتيويروسها كشف ميكنند، كمتر از ده نرمافزار از حفرههاي "روز صفر " استفاده ميكنند.
* اشكال در " ويندوز اكسپلورر " عامل كارآمدي "استاكسنت "
در اين مورد، استفاده از حفره امنيتي باعث شد تا ويروس به خوبي از طريق فلش مموري از رايانهاي به رايانه ديگر منتقل شود. اشكال در فايل "LNK " " ويندوز اكسپلورر " بود: يكي از بخشهاي اساسي "مايكروسافت ويندوز. " زماني كه فلش مموري آلوده به يك رايانه متصل ميشد، "اكسپلورر " به طور خودكار آن را اسكن ميكرد. همين كار باعث ميشد تا كد حفره "روز صفر " فعال شده و مخفيانه يك فايل بزرگ كه بخشي از آن رمزگذاري شده بود را وارد رايانه مقصد كند؛ همانند يك هواپيماي نفربر نظامي كه سربازهاي استتار شده را در منطقه هدف پياده كند.
با نگاهي به گذشته، اين حفره بسيار واضح به نظر ميآمد؛ زيرا به چنين عملكرد فراگيري حمله ميكرد. همچنين محققين به زودي فهميدند كه پيشتر نيز از اين حفره استفاده شده است.
* هجوم شركتهاي آنتيويروس براي گرفتن نمونه "استاكسنت "
شركت "ويروس بلوك آدا " با "مايكروسافت " تماس گرفت تا وجود اين حفره را به اطلاع اين شركت برساند. غول نرمافزاري جهان در حال آمادهسازي يك پچ بود كه در تاريخ 12 ژوئيه، "ويروس بلوك آدا " كشف خود را با معرفي آن در يك انجمن امنيتي به اطلاع عموم رساند. سه روز بعد، يكي از وبلاگنويسان امنيت رايانهاي به نام "برايان كربس "، داستان اين ويروس را منتشر كرد و شركتهاي آنتيويروس از سراسر جهان صف كشيدند تا نمونه اين ويروس را دريافت كنند؛ "مايكروسافت " با استفاده از تركيب نام فايلهاي موجود در كد اين ويروس (.stub و MrxNet.sys)، نام آن را "استاكسنت " گذاشت.
با شروع به كار صنعت امنيت رايانهاي و رمزگشايي و گشايش ساختار اين ويروس، ارزيابيهاي بيشتري نيز به وجود آمد.
* "استاكسنت " براي قانوني جلوه كردن در ويندوز، تأييديههايي را از شركتهاي ديگر دزديده است
مشخص شد كه اين كد، يك سال پيش در ژوئن 2009 توليد شده است و سازنده مرموز آن در طول اين مدت، اين كد را بهروزرساني و اصلاح و سه نسخه از آن را منتشر كرده است. لازم به ذكر است كه يكي از فايلهاي راهاندازي اين ويروس از يكي از تأييديههاي امضا شده و معتبر استفاده ميكرد كه از شركت "ريلتك " (RealTek)، از شركتهاي توليد سختافزار در "تايوان "، دزديده شده بود. به اين ترتيب ويروس باعث ميشد رايانه مقصد فريب بخورد و تصور كند كه اين نرمافزار مخرب يك برنامه مورد اعتماد ساخته شركت "ريلتك " است. مقامات اينترنتي "ريلتك " به سرعت اين تأييديه را باطل كردند؛ اما "استاكسنت " اين بار از تأييديه ديگري استفاده كرد كه مربوط به شركت "جيميكرون تكنولوژي " بود؛ شركت توليد مدارهاي الكترونيكي كه دفتر اصلي آن (چه به طور تصادفي و چه غير تصادفي) در همان شهرك تجاري واقع است كه دفتر "ريلتك " در آن قرار دارد. آيا مهاجمها به طور فيزيكي به درون دو شركت راه پيدا كرده بودند و تأييديهها را دزديده بودند؟ آيا از راه دور اين دو شركت را هك كرده و كليدهاي امضاي تأييديههاي ديجيتال آنها را دزديده بودند؟ هيچ كس نميدانست.
شركت امنيتي "ايست " كه يكي از تأييديهها را پيدا كرده بود در وبلاگ خود نوشت: "چنين عملياتهاي حرفهاي به ندرت ديده ميشود. اين نشان ميدهد كه [مهاجمها] به منابعي بسيار بزرگ دسترسي داشتهاند. "
* حمله "استاكسنت " به سيستم كنترل صنعتي "استپ 7 " ساخت شركت "زيمنس "
البته "استاكسنت " از لحاظ هاي ديگر، بسيار معمولي و در اهداف خود قانع به نظر ميرسيد. متخصصين تشخيص دادند كه قرار بوده است اين ويروس، نرمافزار "سيماتيك وينسيسي استپ 7 " را مورد هدف قرار دهد؛ يك سيستم كنترل صنعتي كه توسط شركت "زيمنس " آلمان ساخته شده است و از آن براي كنترل موتورها، شير فلكهها و سوئيچها در كارخانههاي توليد مواد غذايي و خطوط مونتاژ اتومبيل تا لولههاي گاز و تأسيسات پاكسازي آب استفاده ميشود.
* به نظر ميرسيد "استاكسنت " تنها اهداف جاسوسي داشته باشد
هر چند اين ويروس در نوع خود جديد بود (سيستمهاي كنترلي به طور معمول هدف حمله هكرها قرار نميگيرند؛ زيرا هيچ سود واضح اقتصادي در هك كردن اين سيستمها وجود ندارد)؛ اما آن چه "استاكسنت " با سيستمهاي "سيماتيك " انجام داد، جديد نبود. به نظر ميرسيد كه اين ويروس تنها تنظيمات و اطلاعات طراحي را از اين سيستمها مي دزدد تا به اين ترتيب يكي از رقباي اين شركت بتواند از طراحي محصولات آن كپيبرداري كند. "استاكسنت " مانند يكي ديگر از موارد جاسوسي صنعتي بود.
شركتهاي آنتيويروس الگوي نسخههاي مختلف اين ويروس را به ديتابيس شناسايي خود اضافه كردند و اغلب آنان به ويروسهاي ديگر پرداختند.
داستان "استاكسنت " ميتوانست همين جا به پايان برسد؛ اما تعداد كمي از محققان هنوز مايل نبودند تا جريان اين ويروس را رها كنند.
* بررسي شركت "سيمانتك " در مورد نمونه "استاكسنت "
محققان در دفترهاي شركت "سيمانتك " در اروپا و آمريكا در ميان افرادي بودندكه در ماه ژوئيه كد ويروس را گرفتند و الگوهايي را براي مشتركان طراحي كردند. اما پس از اين كار، ويروس به دست "ليام او مورچو " از كاركنان دفتر اين شركت در شهر "كالور " ايالت "كاليفرنيا "، رسيد.
* مدير "پاسخهاي امنيتي سيمانتك " تشخيص داد كه "استاكسنت " بايد مورد بررسي عميقتري قرار گيرد
"او مورچو " مرد 33 ساله ايرلندي و اسنوبردبازي است كه لهجهاي آهنگين دارد و موهاي قهوهاي جلوي صورتش مانند لبههاي زمين اسكيت به شكل عمودي ايستاده است. او كه مدير عملياتهاي "پاسخ امنيتي سيمانتك " است وظيفه دارد تا تهديدهاي مهم امنيتي را بررسي و معين كند كه آيا نياز به تحليل عمقي دارند يا خير.
* اغلب ويروسهايي كه شركت "سيمانتك " با آنها سر و كار دارد، گونههايي از ويروسهاي قبلي هستند كه مقابله با آنها دشوار نيست
در بين بيش از 1 ميليون فايل ويروس كه "سيمانتك " و ديگر شركتهاي آنتيويروس به طور ماهيانه دريافت ميكنند، اكثر آنها نسخههاي ديگر ويروسها و كرمهايي هستند كه قبلاً شناسايي شدهاند. اين فايلها به طور خودكار و بدون دخالت انسان پردازش ميشوند. الگوريتمهاي اين شركتها در فايلهاي آلوده به دنبال رشتههاي داده ميگردند كه ماهيت ويروس را معين ميكنند، سپس الگوهايي را توليد و به برنامههاي اسكنكننده در رايانههاي مشتركين خود ارسال ميكنند.
* "استاكسنت " از حفره "روز صفر " استفاده ميكرد و بايد توسط انسان مورد مطالعه قرار ميگرفت
با اين حال، ويروسهايي كه از حفرههاي "روز صفر " استفاده ميكنند، خاص هستند و به وسيله انسان بررسي ميشوند. "او مورچو " ويروس "استاكسنت " را به يكي از مهندسيني داد كه در زمينه "روز صفر " هيچ تجربهاي نداشت؛ وي تصور ميكرد كه "استاكسنت " براي آموزش دادن به اين مهندس فرصت خوبي است. اما زماني كه خود او نيز به طور همزمان به بررسي كد اين ويروس پرداخت، متوجه شد كه اين كد از آن چه او فكر ميكرد بسيار پيچيدهتر است.
