حمید ضیایی‌پرور: زیمنس، شرکت سازنده سیستم‌های کامپیوتری صنعتی اعلام کرد که مواردی از حملات ویروس استاکس نت به ساختارهای صنعتی در آلمان نیز گزارش شده است.

طرح - ویروس کامپیوتری

این ویروس تنها به‌دنبال سیستم مدیریتی اسکادا (scada) زیمنس که معمولا در کارخانه‌های بزرگ تولیدی و صنعتی مورد استفاده قرار می‌گیرد، بوده و تلاش می‌کند اسرار صنعتی رایانه‌های این کارخانه‌ها را روی اینترنت بارگذاری (upload) کند. تا‌کنون گمان می‌رفت هدف اصلی این ویروس، ساختارهای صنعتی ایران بوده و به همین جهت برخی از گزارش‌ها مدعی بود که 60‌درصد کل آلودگی‌ها به وسیله این ویروس در ایران رخ داده است. با این حال اکنون خبرها حکایت از آلودگی حداقل 15‌شرکت صنعتی بزرگ در آلمان به این ویروس دارد.

سخنگوی زیمنس در گفت‌وگو با روزنامه زوددویچه زایتونگ تأیید کرده است که تعدادی از طرح‌های بزرگ صنعتی آلمان به وسیله ویروس استاکس‌نت مورد حمله قرار گرفته و برخی از اطلاعات سری آنها به سرقت رفته است. 5‌مورد از این 15‌مورد کشف آلودگی در بخش کنترل مرکزی صنایع بوده است که وظیفه کنترل و نظارت بر فعالیت‌های اساسی صنایع را بر عهده دارند. با این حال زیمنس می‌گوید که برای حذف و از کار انداختن این ویروس از کارخانه‌های مذکور، همکاری کرده است و اکنون هیچ مورد آلودگی جدید وجود ندارد.

این نخستین حمله ویروسی به ساختارهای صنعتی در این سطح بوده و به همین دلیل به‌عنوان یک سوپر ویروس لقب گرفته است. ویروس مذکور از پیچیدگی خاصی برخوردار بوده و قادر است ساختارهای حیاتی یک کارخانه مانند موتورها، پمپ‌ها، سیستم‌های هشدار و سایر فرامین صنعتی را از کار بیندازد.

برخی گزارش‌ها می‌گویند که ویروس مذکور قادر است دیگ‌های بخار یا خطوط لوله گاز یا حتی تأسیسات حساس صنایع را منفجر کند.

سیستم‌های مدیریت و کنترل زیمنس عمدتا در صنایع بزرگ مانند نیروگاه‌های آبی، گازی و هسته‌ای، سکوهای نفتی، مدیریت منابع آب و سایر ساختارهای صنعتی بزرگ به‌کار می‌رود. زیمنس می‌گوید که تحقیقاتش در باره سازنده این ویروس یا هدف اصلی آن هنوز به نتیجه نهایی نرسیده است. ویروس استاکس نت در واقع مانند یک تروجان قادر است بعد از رسوخ به رایانه‌های صنعتی، اطلاعاتی را از طریق اینترنت به مبدا خود ارسال کند.

وضعیت در ایران

شرکت زیمنس که نرم‌افزارهایش تحت حمله این ویروس قرار گرفته، تعداد مشتریان خود را در ایران اعلام نمی‌کند اما به تازگی اعلام کرده 2شرکت آلمانی به واسطه این ویروس آلوده شده‌اند. براساس گزارش‌های منتشر شده نرم افزار آنتی‌ویروس رایگانی که اخیرا روی وب‌سایت زیمنس قرار گرفته تاکنون هزار و 500 بار دانلود شده است. سیمانتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک به‌وجود آمده به‌منظور اتصال به سرورهای کنترل و فرمان کرم رایانه‌ای به سوی رایانه‌های خود جمع‌آوری کرده است.

طی دوره‌ای سه روزه رایانه‌هایی که در 14‌هزار آدرس ip حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان، ارتباط برقرار کنند که این نشان می‌دهد تعداد کمی از رایانه‌های خانگی در سراسر جهان به این کرم آلوده شده‌اند. تعداد دقیق رایانه‌های آلوده می‌تواند حدود 15 تا 20‌هزار باشد زیرا بسیاری از شرکت‌ها برای چند رایانه یک آدرس ip درنظر می‌گیرند. به این دلیل است که سیمانتک می‌تواند آدرس‌های ip مورد استفاده سیستم‌های رایانه‌ای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، همچنین می‌تواند تعیین کند کدام رایانه آلوده شده است.

به گفته این شرکت، رایانه‌های آلوده شده به سازمان‌های متعددی تعلق داشته‌اند که از نرم‌افزار و سیستم‌های اسکادا استفاده می‌کردند؛ ویژگی‌ای که به روشنی مورد هدف حمله هکرها بوده است.

اطلاعات فنی در‌باره استاکس نت

به گفته کارشناسان، این بدافزار جدید که در واقع یک Rootkit است، از یک آسیب‌پذیری در فایل‌های میان‌بر با پسوند.lnk سوءاستفاده می‌کند.

RootKitها برنامه‌هایی هستند که از نظر ساختار کاری بسیار شبیه Trojan‌ها و Backdoor‌ها هستند ولی با این تفاوت که شناسایی RootKit بسیار مشکل‌تر از در‌های پشتی است زیرا RootKit‌ها علاوه بر اینکه به‌عنوان یک برنامه کاربردی خارجی مثل شنونده Netcat و ابزارهای در پشتی مثل Sub7 روی سیستم اجرا می‌شوند بلکه جایگزین برنامه‌های اجرایی مهم سیستم عامل و گاهی مواقع جایگزین خود هسته کرنل می‌شوند و به هکرها این اجازه را می‌دهند که از طریق در پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ کنند و مدت زیادی با خیال راحت با نصب ردیاب‌ها (Sniffer) و دیگر برنامه‌های مانیتورینگ روی سیستم، اطلاعاتی را که نیاز دارند به دست آورند. بدافزار مذکور، نرم‌افزار siemens wincc scada را که روی ویندوز 7 نسخه enterprise و سیستم‌های x86 اجرا می‌شود، آلوده می‌سازد.

این ویروس از طریق درایوهای یواس‌بی گسترش پیدا می‌کند و زمانی که یک آیکون میانبر روی صفحه نمایش قربانی نشان داده می‌شود، به‌صورت اتوماتیک اجرا می‌شود. ‌هدف بدافزار مذکور گرفتن حق دسترسی مدیریتی و دسترسی به داده‌های سیستم‌های اسکاداست که معمولا توسط سازمان‌های دارای زیرساخت‌های حیاتی مورد استفاده قرار می‌گیرد. این بدافزار از نام کاربری و کلمه عبوری که در نرم‌افزار زیمنس به‌صورت hard-coded وجود دارد، سوءاستفاده می‌کند. همچنین گفته می‌شود که این بدافزار جدید از یک امضای دیجیتال مربوط به معتبرترین شرکت سخت‌افزاری یعنی realtek semiconductor corporation برای اعتباردهی به درایورهای خود استفاده می‌کند.

استاکس نت توسط ابزارهای یو‌اس بی‌دار انتقال پیدا می‌کند. زمانی که ابزاری آلوده، به این شکل به رایانه اتصال پیدا می‌کند، کدهای آن به جست‌وجوی سیستم‌های زیمنس پرداخته و خود را روی هر ابزار یو ‌اس بی‌دار دیگری که بیابد، کپی خواهند کرد. به نوشته سیمانتک دلیل اصلی تولید این ویروس مشخص نیست اما انگیزه‌های جاسوسی صنعتی، تروریسم صنعتی یا حتی انگیزه‌های منفی برخی کارکنان و همچنین انگیزه‌های کشف اطلاعات محرمانه توسط رقبا ممکن است از جمله دلایل ایجاد این ویروس بوده باشد.

کد خبر 117880

برچسب‌ها

دیدگاه خوانندگان

آخرین خبرهای بازار