ITanalyze

ورود کرم جاسوسی به نام "استاکس نت " به سیستم‌های صنعتی کشور علی‌رغم عدم موفقیت چندان طراحان آن، زنگ خطر را برای کارشناسان و متخصصان امنیت اطلاعات کشور به صدا درآورد تا در دوران جنگ نرم و جنگ سایبری، از این حربه به ظاهر کوچک ولی خطرناک غفلت نکنند و هوشیارتر از قبل عمل نمایند.

داستان "استاکس نت "، این میهمان ناخوانده سیستم‌های صنعتی، در کشور همانند بسیاری واقعه‌های ناخوشایند دیگر روایت شد؛ به این ترتیب که ابتدا از چشم‌ها به دور ماند، سپس خبر آن به گوش‌ها رسید و زمزمه‌ها آغاز شد. پس از آن به تدریج در مطبوعات و رسانه‌ها رد پایش را می‌شد یافت و در نهایت خبر ورود جاسوس افزار رایانه‌ای به سیستم‌های صنعتی ایران، با شایعه‌ آلودگی 60 درصد رایانه‌های صنعتی اعلام عمومی گردید.

"استاکس نت " کرم نام آشنایی است که از چندین ‌ماه پیش به زور خود را در دل سیستم‌های صنعتی کشور جا داده و توانسته در مدت فعالیت چند ماهه خود به یکی از معروف‌ترین جاسوس‌های رایانه‌ای مبدل شود.

شاید برگ برنده این ویروس نسبت به دیگر ویروس‌ها این باشد که این بدافزار نخستین ویروسی است که نرم‌افزار سیستم‌های کنترل صنعتی را مورد هدف قرار داده و شاید ارتباط کم‌رنگ متخصصان رایانه و صنعت نیز در موفقیت ویروس بی تاثیر نبوده است.
* "استاکس‌نت "‌ کرم سیستم‌های اسکادا زیمنس

"استاکس‌نت " نوعی جاسوس‌افزار است که با سوار ‌شدن روی سیستم، اطلاعات را تخریب یا شنود می‌کند؛ هدف اصلی این ویروس جاسوس، سیستم‌های اتوماسیون صنعتی تحت برند "اسکادا زیمنس " است.

به این ترتیب که با فعال شدن ویروس "استاکس نت " ، سیستم‌های اتوماسیون صنعتی، اطلاعات خط تولید را به مرکز اصلی مشخص شده توسط ویروس منتقل می‌کنند که این اطلاعات توسط طراحان ویروس مورد پردازش قرار می‌گیرد.

شرکت سیمانتک که مبارزه با این ویروس را آغاز کرده است، اعلام کرد: بیشتر این حملات در ایران رخ داده و حملات زیادی نیز در هند و اندونزی گزارش شده است.

"استاکس نت " اولین بار توسط یک شرکت تولیدکننده ضدویروس بلاروسی شناسایی و معرفی شد و با توجه به اینکه شناسایی این جاسوس افزار پس از گذشت مدت زیادی از آغاز فعالیت آن صورت گرفت، این احتمال وجود دارد که یا به دلیل برخی ملاحظات، ویروس معرفی نشده و یا اصلاً ویروس شناسایی نشده بود که این امر با وجود شرکت‌های بزرگ سازنده ضدویروس‌ با آزمایشگاه‌های بسیار دقیق تا حدودی بعید به نظر می‌رسد.

در حال حاضر نسخه‌های‌ زیادی از این جاسوس‌افزار شناسایی شده که به معنای امکان تکثیر این ویروس است.
* شناسایی ردپاهای تکراری در کدهای ویروس استاکس‌نت

افرادی که بر روی این ویروس کار کرده اند با توجه به نشانه‌های مختلفی از جمله اهداف خاص ویروس و پیچیدگی آن، احتمال دست داشتن یک دولت در تهیه و انتشار این ویروس را مطرح کرده‌اند.

هر چند هنوز مدارک مستدلی از پشت پرده سازندگان این ویروس بدست نیامده، اما نشانه‌هایی در برنامه ویروس، کشف شده که برخی کشورها را به دست داشتن در ساخت ویروس استاکس‌نت متهم می‌کنند؛ البته این احتمال که شاید نشانه‌ها با هدف تخریب روابط بین برخی کشورها، در ویروس گنجانده شده باشند، را نباید از نظر دور داشت.
* احتمالاً "استاکس‌نت " در نسخه اول به اهداف خود نرسیده

براساس این گزارش، در حالی که ویروس "استاکس‌نت " برای اولین بار در تابستان امسال به صورت رسمی شناسایی و معرفی شد، شواهد حکایت از فعالیت بیش از یکساله این ویروس دارد.

این امر فرضیه دلایل تغییر روش ‌سازندگان ویروس از مخفی‌سازی به آشکار بودن، به علت عدم دستیابی نسخه اول ویروس با مخفی‌ عمل کردن به اهداف تعیین شده طی سال گذشته، را قوت می‌بخشد.

اصلی‌ترین راه انتشار ویروس "استاکس‌نت " ، حافظه‌های قابل حمل (Flash Memorey) است. البته ویروس دارای یک شمارشگر بود و تعداد دفعاتی که یک حافظه می‌تواند باعث آلودگی شود، به سه دفعه محدود شده بود.

همچنین در روش انتشار از طریق شبکه محلی، یک آلودگی فقط در سه هفته اول به دیگر ماشین‌های داخل شبکه، انتشار می‌یافت و پس از آن، هیچگونه فعالیتی برای شیوع و انتشار خود انجام نمی‌داد.

با توجه به روش‌های کنترلی محدود کننده ویروس، به نظر می‌رسد سازندگان آن قصد داشته‌اند میزان انتشار آلودگی در حد چند کامپیوتر اطراف آلودگی اولیه باشد و به دلیل محدود بودن میزان انتشار نسخه اول "استاکس‌نت "، سازندگان ویروس موفق به دستیابی به اهداف خود نشده‌اند که احتمالاً با در نظر گرفتن دلایلی، نظیر محدودیت زمان، تلاش کرده‌اند با کاهش مخفی کاری ویروس و شدت عمل بیشتر در انتشار، احتمال موفقیت خود را افزایش دهند.
* ورود "استاکس‌نت " به ایران و تلنگر ایجاد "مرکز امنیت صنعتی "

به گزارش فارس، محسن حاتم معاون برنامه‌ریزی وزیر صنایع، اولین کسی بود که نفوذ ویروس استاکس‌نت به سیستم‌های صنعتی ایران را تأیید کرد و در خصوص این نفوذ رایانه‌ای هشدار داد.

پس از آن محمود لیایی مدیر کل صنایع برق، الکترونیک و فناوری اطلاعات وزارت صنایع با بیان اینکه واحدهای صنعتی کشور دیر متوجه نفوذ ویروس جاسوس به سیستم‌های خود شده‌اند، در شهریورماه سال جاری، گفت: حدود 30 هزار IP در کشور به این ویروس آلوده شده‌اند و تا مهرماه 88 نیز 5 نسخه از ویروس "استاکس‌نت " شناسایی شده است.

وی همچنین در جریان برگزاری نشستی به منظور " بررسی راه‌های پیشگیری، ‌پاکسازی و ایمن سازی سیستم‌های صنعتی از استاکس‌نت " از ایجاد مرکز گوهر صنعتی و CERT صنعتی در وزارت صنایع ‌و معادن خبرداد و گفت: این اقدام در راستای ردیابی حملات ویروسی و نحوه مقابله نرم‌افزاری با آنها است.
* ضرورت راه‌اندازی CERT‌های صنعتی

حمیدرضا سعدی رییس هیئت مدیره یک شرکت داخلی تولید کننده ضد ویروس در نشست این شرکت به منظور بررسی ویروس "استاکس‌نت "، گفت: هر کشوری برای تحلیل رفتار شبکه خود، مراکز CERT را دارد و در کشور ما نیز این مرکز با نام "ماهر " شناخته می‌شود که البته باید سرمایه‌گذاری بیشتری روی آن انجام گیرد.

این کارشناس امنیت اطلاعات و شبکه، با اشاره به افزایش روزافزون حجم ویروس‌های منتشره در شبکه، اظهار داشت: در حال حاضر روزانه 1000 تا 1500 ویروس منتشر می‌شود که این امر نشان‌ از نقش بااهمیت مراکز CERT در کشور دارد.

وی تاکید کرد: باید مراکزی را داشته باشیم تا کاربران به محض مشاهده موارد مشکوک آن را به این مراکز گزارش دهند تا در آزمایشگاه‌ها مورد تحلیل و بررسی و نهایتا پاکسازی قرار گیرد.

وی ادامه داد: راه‌اندازی CERTهای صنعتی از مواردی است که باید انجام شود تا شبکه به طور دقیق و شبانه‌روزی تحت نظر گرفته شود.
*فعالیت تیم‌های پاک‌سازی تحت هماهنگی مرکز "ماهر "

به گزارش فارس، از روز آغازین تائید خبر نفوذ کرم جاسوس به سیستم‌های صنعتی ایران تاکنون، مسولان "مرکز ماهر " ( مرکز مدیریت امداد و هماهنگی عملیات رخداد رایانه‌ای)، سازمان فناوری اطلاعات و وزارت ارتباطات، که به ترتیب متولی اصلی مقابله با این پدیده هستند، از موضع سکوت برآمدند و از ارائه هرگونه گزارش نحوه‌ مقابله با این ویروس و اقدامات احتمالی خودداری می‌کنند.

در چنین شرایطی که به نظر می‌رسد مسوولان وزارت صنایع نسبت به وزارت ارتباطات اهتمام و احساس مسولیت بیشتری در پیگیری امور "استاکس‌نت " دارند، در چندین نوبت و در مراحل مختلف اقدامات و فعالیت‌های انجام شده در این رابطه را تشریح کرده‌اند و در برخی موارد با شفاف‌سازی آمارهای غیرواقعی اعلام شده توسط منابع خارجی و بعضا غیرقابل اعتماد از نگرانی‌ها کاسته‌اند.

البته سازمان فناوری اطلاعات از زیرمجموعه‌های وزارت ارتباطات، فرصت پیش‌آمده را برای معرفی سایت مرکز " ماهر " خود مغتنم شمرد و مدیرعامل وقت این شرکت در پاسخ به خبرنگار فارس به بیان اینکه "هیچ شرکتی فعالیت‌های امنیتی خود را اعلام نمی‌کند " بسنده کرد.

وی گفت: قرار شده اطلاع‌رسانی در این زمینه از طریق سایت ماهر باشد چرا که بالاخره باید این سایت به همه شناسانده شود؛ در سایت ماهر شماره تلفن نیز قرار دارد؛ کلاً اطلاع‌رسانی کردیم که روی سایت "ماهر " نگاه کنید؛ اگر سوالی پیش آمد شماره تلفن دارد به مرکز ماهر زنگ ‌بزنید.

وی همچنین در خصوص اینکه اگر قرار است اطلاع رسانی از طریق سایت باشد؛ چرا از هفته گذشته تا الان اطلاعات سایت Update نشده، گفت: شاید اطلاعات جدید‌تری نگذاشتند یا لازم ندیدند که بگذراند.

وی در پاسخ به اینکه "اطلاع‌رسانی در این زمینه با وزارت صنایع نیست بلکه بر عهده وزارت ارتباطات است، الان باید اطلاع‌رسانی کنید تا شرکت‌ها مطلع شوند؛ زمانی که اطلاعات از کشور خارج شود و کار از کار گذشت که دیگر اطلاع رسانی فایده‌ای ندارد "، گفت: در حال حاضر تیم‌های مربوطه با همکاری ماهر کارهای پاک‌سازی را انجام می‌دهند؛ راه کار مقابله این است: تیم‌های امداد ما تشکیل شده؛ نمایندگان تمام دستگاه‌های حیاتی و حساس نیز در مرکز ماهر مستقر هستند و عملیات پاکسازی را انجام می‌دهند.

وی افزود: پاکسازی توسط تیم ماهر هدایت می‌شود؛ برای امداد باید دستگاه‌ها گروه‌های امدادیشان را داشته باشند که آنها تحت هماهنگی "ماهر " در حال انجام کار هستند.
* تکذیب شایعات ایجاد اختلال "استاکس‌نت " در سیستم‌های هسته‌ای و نفتی

در حالی که گمانه‌زنی‌ها و شایعات پیرامون توانایی ویروس "استاکس‌نت " به ایجاد اختلال در سیستم‌های تاسیسات نیروگاه‌های برق، هسته‌ای و نفت و ...روزبه‌روز شکل جدیدی به خود می‌گرفت، مسئولان مربوطه با یقین اعلام کردند تاکنون حادثه‌ای در اثر این ویروس اتفاق نیفتاده و مسوولان وزرات نفت نیز چند حادثه اخیر حوزه نفتی را بی‌ارتباط با ویروس دانستند.

رییس سازمان انرژی اتمی نیز در خصوص نفوذ ویروس به سیستم‌ کامپیوتری نیروگاه بوشهر، تاکید کرد: از یک سال پیش اقدامات حفاظتی و مصونیت‌سازی کامپیوترها را آغاز کردیم و از دو ماه پیش نیز با پیش‌بینی‌های قبلی اقدامات لازم را جهت جلوگیری از ورود ویروس تشدید کردیم.

علی‌اکبر صالحی گفت: فقط لپ‌تاپ‌های شخصی برخی از کارکنان این نیروگاه آلوده شده و این آلودگی به سیستم اصلی ما نرسیده که اقدامات لازم نیز در این ارتباط انجام شده و سیستم اصلی ما پاک است.
* وزیر ارتباطات: عاملان نشر عمدی و غیرعمدی انتشار ویروس شناسایی شدند

وزیر ارتباطات نیز چندی پیش در حاشیه جلسه هیئت دولت در اولین اظهارنظر خود در رابطه با این موضوع، از شناسایی عاملان انتشار این ویروس جاسوسی خبر داد و گفته بود: افرادی خواسته یا ناخواسته این ویروس را به داخل کشور منتقل کرده‌‌اند.

وی گفت: جریان‌ها در این حمله شناسایی شده‌اند و اینکه آیا عامدانه بوده یا به صورت سهوی و بدون اطلاع نیز حدودا شناسایی شده که در مسیرهای لازم در دست پیگیری است.

وی اضافه کرده است: گروه‌های کاری که با هماهنگی وزارت ارتباطات در همه وزارتخانه‌ها تشکیل شده که در حال حاضر ساختار خوبی پیدا کرده‌اند و در حال مهار کردن موضوع هستند.
* وزیر صنایع: به دنبال برنامه‌ای برای صفر شدن نفوذ "استاکس‌نت " هستیم

وزیر صنایع نیز در آخرین اظهار نظر خود در این رابطه گفت: تاکنون 90 درصد از مناطق آلوده شناسایی شده‌اند و در صورتی که رایانه‌های صنعتی ایزوله شوند و راه‌های نفوذ "استاکس‌نت " بسته شود، احتمال آلوده شدن تا حد زیادی کاهش پیدا می‌کند.

محرابیان ادامه داد: کارگروهی در وزارت صنایع و معادن برای مقابله با کرم جاسوس "استاکس‌نت " تشکیل شده که در حال انجام اقدامات لازم برای از بین بردن کرم و ارائه برنامه‌ای است تا نفوذ این کرم به دستگاه‌های صنعتی کشور به صفر برسد.
* زمینس: پس از رفع نقاط آسیب پذیر توسط مایکروسافت، گزارش آلودگی نداشتیم

شرکت زیمنس که ممکن است یکی از بازندگان اصلی انتشار این ویروس باشد، اعلام کرد 15 مشتری زیمنس در سراسر جهان از ورود ویروس به سیستم‌های خود خبر داده‌اند و از زمانی که مایکروسافت نقاط آسیب پذیر را رفع کرده، هیچ آلودگی جدیدی از این ویروس رخ نداده است.
* وزیر اطلاعات: کرم استاکس نت در ایران مهار شد

بنابراین گزارش، حیدر مصلحی وزیر اطلاعات نیز با اعلام دستگیری تعدادی "جاسوس هسته ای " جدید، از مقابله دستگاه امنیتی کشور با "طراحی کرم های الکترونیکی برای تخریب فعالیت های هسته ای ایران " خبر داد.

به گفته وزیر اطلاعات، کرم استاکس نت در ایران مهار شده و مجموعه ای که می خواسته از این ویروس استفاده کند، نتوانسته هیچ بهره برداری از آن ببرد.

آنچه در این میان مهم‌تر از همه چیز به نظر می‌رسد، لزوم توجه بیشتر مسئولان و کارشناسان امنیت اطلاعات و ارتباطات کشور است تا در عصری که جنگ نرم‌افزاری و سایبری به عنوان مهم‌ترین حربه برای از پای درآوردن دشمنان شناخته شده، در درجه نخست نسبت به ایمن‌سازی بیش‌ از پیش زیرساخت‌های اقتصادی کشور اقدام نموده و در درجه دوم نیز در صورت ورود هرگونه ویروس یا جاسوس به این زیرساخت‌ها با اطلاع‌رسانی درست و دقیق نسبت به هوشیارسازی کاربران و افراد دخیل در این موضوعات اعم از فردی، دولتی، صنعتی و یا هر بخش دیگر تمهیدات جدی اتخاذ کنند.

بدیهی است عدم اطلاع افراد از وجود چنین مخاطراتی نه تنها جلوی نفوذ آنها را نمی‌گیرد بلکه خود عاملی برای انتشار بیشتر ولی ناخواسته این قبیل بدافزارها و در نهایت موفقیت بیشتر دشمن خواهد شد.
منبع : فارس

گزارش از: فاطمه سامعی