وبلاگ دانشجویان مهندسی فناوری اطلاعات (IT) پیام نور کرمانشاه

این وبلاگ یک وبلاگ دانشجویی است.کپی برداری از مطالب آن با ذکر منبع مجاز است

وبلاگ دانشجویان مهندسی فناوری اطلاعات (IT) پیام نور کرمانشاه

این وبلاگ یک وبلاگ دانشجویی است.کپی برداری از مطالب آن با ذکر منبع مجاز است

گزارشی کامل از کرم استاکس نت،شیوه مقابله با آن و شایدوبایدها...؟

عکس - استاکس نت چیست ؟به گزارش بی بی سی،در ۳۱ تیرماه گذشته، شرکت سیمانتک که یکی از بزرگترین تولیدکننده های ضد ویروس در جهان است، گزارشی منتشر کرد که حکایت از آلودگی کامپیوترهای جهان به کرمی به نام "استاکس نت" داشت. 
لیام امورچو، از بخش امنیتی این شرکت در مورد این کرم اینترنتی به بی بی سی گفته بود: "واقعیت این است که ما بیشترین میزان آلودگی به کرم استاکس نت را در ایران مشاهده کرده ایم و بر این اساس احتمال می دهیم که کسی که این بدافزار را طراحی کرده، احتمالا ایران را به عنوان هدف اصلی در نظر داشته است." 
آمار این شرکت نشان می داد که ۶۰ درصد از آلودگی های این کرم در جهان، از آی پی های کاربران ایرانی ارسال شده است. 
پس از شناسایی کرم استاکس نت درجهان و گزارش سیمانتک، خبرگزاری های ایران به طور محدودی به اطلاع رسانی درباره این حمله سایبری پرداختند. 
آقای علیپور گفت که شرکت فناوری اطلاعات، نخستین شرکتی بوده است که ۲۷ تیر ماه گذشته نخستین خبر درباره ویروس استاکس نت را منتشر کرده است و این ویروس از یک سال پیش فعال بوده است. 
برخلاف دیگر بدافزارهای رایج، "استاکس نت" کامپیوترهایی را هدف می گیرد که بیشتر اوقات از بیم آلودگی به ویروس به شبکه اینترنت وصل نمی شوند.  

  • کرم استاکس نت چیست ؟
  • کرم استاکس نت تا کجا پیش رفته است؟   
  • آیا Stuxnet قویترین بدافزار تاریخ است؟
  • احتمال وجود ویروس فوق پیشرفته در نیروگاه اتمی 
  • نیروگاه های اتمی را مورد حمله قرار می دهد 
  • هدف ایران است 
  • چرا استاکس نت برای ایران تهدید جدی محسوب می شود؟ 
  • استاکس نت را چه کسی طراحی کرده است؟ 
  • عملیات استاکس نت در آینده 
  • اقدامات امنیتی ایران برای مقابله با استاکس نت 
  • روسیه یا اسرائیل، تولید کننده استاکس نت کیست؟ 
  • میرتاس چیست؟ 
  • وزارت صنایع به دنبال مقابله با کرم جاسوس صنعتی 
  • استاکس نت در کمین رایانه های شخصی  

  • نحوه عملکرد و روشهای مقابله با ویروس رایانه ای استاکس نت
        

سر تیتر های فوق و کاملترین گزارش درباره کرم استاکس نت در ادامه مطلب ....

به گزارش بی بی سی،در ۳۱ تیرماه گذشته، شرکت سیمانتک که یکی از بزرگترین تولیدکننده های ضد ویروس در جهان است، گزارشی منتشر کرد که حکایت از آلودگی کامپیوترهای جهان به کرمی به نام "استاکس نت" داشت. 

لیام امورچو، از بخش امنیتی این شرکت در مورد این کرم اینترنتی به بی بی سی گفته بود: "واقعیت این است که ما بیشترین میزان آلودگی به کرم استاکس نت را در ایران مشاهده کرده ایم و بر این اساس احتمال می دهیم که کسی که این بدافزار را طراحی کرده، احتمالا ایران را به عنوان هدف اصلی در نظر داشته است." 

آمار این شرکت نشان می داد که ۶۰ درصد از آلودگی های این کرم در جهان، از آی پی های کاربران ایرانی ارسال شده است. 

پس از شناسایی کرم استاکس نت درجهان و گزارش سیمانتک، خبرگزاری های ایران به طور محدودی به اطلاع رسانی درباره این حمله سایبری پرداختند. 

آقای علیپور گفت که شرکت فناوری اطلاعات، نخستین شرکتی بوده است که ۲۷ تیر ماه گذشته نخستین خبر درباره ویروس استاکس نت را منتشر کرده است و این ویروس از یک سال پیش فعال بوده است. 

برخلاف دیگر بدافزارهای رایج، "استاکس نت" کامپیوترهایی را هدف می گیرد که بیشتر اوقات از بیم آلودگی به ویروس به شبکه اینترنت وصل نمی شوند. 

این کرم جاسوس توانایی انتقال از طریق یو اس پی به کامپیوتر را دارد و بعد از ورود به اولین کامپیوتر می تواند به صورت خزنده از طریق هر شبکه ای از جمله اینترنت به کامپیوترهای دیگر وارد شود. 

کرم "استاکس نت" پس از رسیدن به این سیستم‌ها، شروع به جمع آوری اطلاعات، روند تولید و حتی اطلاعات ذخیره موجود در سیستم می کند؛ سپس از طریق اتصال به اینترنت اطلاعات را به مقصد نامعلومی ارسال می کند. 

مقصد اصلی کرم "استاکس نت" سیستم های کنترل صنعتی است و حتی کارشناسان شرکت زیمنس آلمان دریافتند که این کرم، برنامه سیستم‌های کنترل صنعتی زیمنس به نام اسکادا را هدف قرار داده است. 

اسکادا در کارخانه های تولیدی، نیروگاه‌های برق، تصفیه‌خانه‌های آب، صنایع نفت و گاز و برخی از آزمایشگاه های پیشرفته استفاده می شود. 

حمید علیپور، از معاونان شرکت فناوری اطلاعات روز دوشنبه ۵ مهر ماه (۲۷ سپتامبر) به ایرنا گفت که تک تک کامپیوتر های خانگی می تواند مورد حمله این ویروس قرار گیرد، حتی کامپیوتر هایی که به اینترنت وصل نباشد. 

شرکت فناوری اطلاعات از شرکت های زیر مجموعه وزارت ارتباطات و فناوری است و به گفته آقای علیپور، کارشناسان این شرکت پاکسازی دستگاه ها و مراکز حساس ایران را آغاز کرده اند و راهنمای امنیتی و ابزار رفع ویروس استاکس نت و نحوه پاکسازی آن بر روی سایت مرکز ماهر( مرکز امداد و هماهنگی اینترنتی) که وابسته به شرکت فناوری اطلاعات است، قرار دارد. 

آقای علیپور این ویروس را بسیار خطرناک توصیف کرد و گفت: "وقتی ظرفیت ویروس را نگاه می کنیم، می بینیم که توسط یک گروه هکر معمولی نوشته نشده است و یک سری سازمان و کشور طراحی و نوشتن این ویروس را سازماندهی می کنند." 

آقای علیپور با اشاره به اینکه از زمانی که شروع به پاکسازی سیستم ها کرده اند سه نسخه جدید از این ویروس منتشر شده است، گفت: "نسخه های جدیدتری از این ویروس در حال انتشار است." 

**************************************************************** 

بی بی سی : بررسی*های تلویزیون فارسی بی بی سی نشان می دهد که سیستم های صنعتی ایران به کرم جاسوسی به نام استاکس نت آلوده اند که احتمالاً اطلاعات صنعتی و محرمانه زیادی را از ایران خارج کرده است.
تیم کارشناسی بی بی سی معتقد است که این حمله سایبری می تواند در آینده نتایج مخربی برای بخش های امنیت اطلاعات ایران داشته باشد.
ایرنا (خبرگزاری رسمی ایران) نیز در واکنش به گزارش پخش شده تلویزیون فارسی بی بی سی، روز چهارشنبه ۲۷ مرداد (۱۸ اوت) از تشکیل کمیته بحران برای بررسی این موضوع خبر داد.
در ۳۱ تیرماه گذشته، شرکت سیمانتک، یکی از بزرگترین تولیدکننده های ضد ویروس جهان، گزارشی منتشر کرد که حکایت از آلودگی کامپیوترهای جهان به کرمی به نام استاکس نت داشت.
نکته قابل توجه این گزارش، آماری است که نشان می دهد ۶۰ درصد از آلودگی های این کرم درجهان، از آی پی های کاربران ایرانی ارسال شده است.
موضوع زمانی اهمیت پیدا می کند که خصوصیات این کرم کامپیوتری را بدانیم. مقصد اصلی کرم استاکس نت سیستم های کنترل صنعتی است. البته کارشناسان شرکت زیمنس آلمان دریافتند که این کرم، برنامه سیستم*های کنترل صنعتی زیمنس به نام اسکادا را هدف قرار داده است.
اسکادا در کارخانه های تولیدی، نیروگاه*های برق ، تصفیه*خانه*های آب، صنایع نفت و گاز و برخی از آزمایشگاه های پیشرفته استفاده می شود.
این سیستم ها حتی در برخی از کشتی ها و نیروی دریایی نیز کاربرد دارد.
کرم استاکس نت پس از رسیدن به این سیستم*ها، شروع به جمع آوری اطلاعات محصولات آن کارخانه، روند تولید و حتی اطلاعات ذخیره موجود در سیستم می کند. سپس از طریق اتصال به اینترنت اطلاعات را به مقصد نامعلومی ارسال می کند.
این کرم جاسوس توانایی انتقال از طریق یو اس پی به کامپیوتر را دارد و بعد از ورود به اولین کامپیوتر می تواند به صورت خزنده از طریق هر شبکه ای از جمله اینترنت به کامپیوترهای دیگر وارد شود.
یک ماه قبل از گزارش سیمانتک، اولین بارشرکت ویروس بلوک آدا بلاروس این کرم را شناسایی کرد. کرم درکامپیوتر یکی از مشتریان ایرانی این شرکت پیدا شد.
آمار سیمانتک نیز گویای اختلاف زیاد آلودگی*ها در ایران در مقایسه با سایرکشورهاست.
ایران با گزارش حدود ۵۹ درصد آلودگی، با اختلاف زیادی بالاتر از رقیب بعدی خود اندونزی با بیش از ۱۸ درصد آلودگی قرار گرفته است.
این موضوع سبب شده است بسیاری از کارشناسان، ایران را هدف اصلی طراحان این کرم جاسوس بدانند.
ازجمله رابرت مک میلان، کارشناس معروف امنیت کامپیوتر از سیلی****** ولی سانفرانسیسکو، مقالات زیادی در این مورد در نشریاتی مانند کامپیوترورلد و پی سی ورلد نوشته است.
او در مصاحبه اختصاصی با بی بی سی فارسی و به نقل از یکی از کارشناسان سیمانتک می گوید: "درتاریخ بیست ساله صنعت امنیت کامپیوتر هرگز نشنیده بود که آلودگی کرمی از ایران شروع شود. این اولین بار است که نوعی از بدافزار در ایران شروع به گسترش می کند. دلیل آن را کسی به درستی نمی داند و این موضوع را رمز آلودتر می کند."



اما ویلاند سیمون سخنگوی شرکت زیمنس معتقد است این نظریه که ایران هدف اصلی کرم استاکس نت است می تواند تنها یک توهم باشد. چرا که ما فقط به گزارش شرکت سیمانتک که تولید کننده ضد ویروس نورتون است استناد می کنیم.
شاید گزارش شرکت های دیگر نشان بدهد آلودگی*ها در کشورهای دیگر بیشتر است. از طرفی ۹ اسکادا آلوده که کرم فعال در آنها پیدا شده در اروپا قرار دارند و یکی از ۹ سیستم آلوده در آلمان است.
به نظر نمی رسد این استدلال بتواند در مورد کاهش آلودگی در ایران درست باشد. چرا که سیمانتک یکی از بزرگترین تولید کننده*های ضد ویروس در جهان است و در ایران هم نمایندگی فروش دارد.
از طرفی هنوز گزارشی از بررسی سیستم های اسکادا در ایران به وسیله کارشناسان غربی منتشر نشده است. بنابراین، نباید انتظار داشت به همان سرعتی که در اروپا سیستم*های آلوده اسکادا پیدا می شوند، در ایران هم که این سیستم ها می توانند در صنایع حساس به کار رفته باشند، به وسیله کارشناسان غربی پیدا شوند.
همچنین سخنگوی زیمنس معتقد است بسیاری از این گزارش های آلودگی متعلق به کامپیوترهای شخصی است که البته می تواند استدلال درستی باشد.
اما با درنظر گرفتن تعداد بالای نسخه های ضدویروس غیراصل و قفل شکسته در کامپیوترهای شخصی که امکان ارسال گزارش را ندارند می توان نتیجه گرفت گزارش های ارسالی از کامپیوترهای شرکت های معتبر، مراکز تولیدی و حتی دولتی ارسال شده است.
آقای مک میلان می گوید: "این کرم به کامپیوترهای شخصی نیز وارد می شود، تکثیر می یابد اما فقط در سیستم های صنعتی فعالیت خود را شروع می کند."
آلودگی کامپیوترهای صنعتی ایران به این کرم جاسوس می تواند از این جهت برای مسئولین ایرانی نگران کننده باشد که توسط کرم جاسوس اطلاعات مربوط به فعالیت های هسته ای و نظامی ایران درناشناخته ترین واحدهای صنعتی یا دانشگاهی ایران قابل پیگیری است.
دسترسی کشورهای غربی و اسراییل به این اطلاعات می تواند مدارک لازم برای تحریم شبکه های ناشناخته درگیر با صنایع هسته ای و نظامی ایران را فراهم کند.
مک میلان معتقد است پیچیدگی های این کرم کامپیوتری و اهداف آن نشان می دهد که این کرم به وسیله یک نفر یا هکرهای خانگی برنامه نویسی نشده است. این مطلب را سیمون، سخنگوی زیمنس نیز تایید می کند. او همچنین به بی بی سی فارسی گفت: " کسی که این کرم را ساخته اطلاعات دقیقی از سیستم های کنترل صنعتی زیمنس داشته است."
سرمایه زیادی لازم است تا بتوان اسکادا در اختیار داشت و برای آن بدافزار طراحی کرد. همین دلایل باعث شده که کارشناسان به این باور برسند که یک سازمان بزرگ یا دولت کشوری این کرم جاسوس را طراحی کرده است.
سخنگوی زیمنس همچنین گفت: "شانزده سال از ساخت و فروش اسکادا در جهان می گذرد و چندین هزار اسکادا درصنایع مختلف سراسر جهان فعال هستند. از طرفی زیمنس پیشرو سیستم های کنترل صنعتی درجهان است، بنابراین سیستم های زیمنس می تواند بهترین طعمه برای کسب اطلاعات صنعتی باشد."
اما سئوال اصلی این است که چه سازمانی یا دولتی پشت این قضیه است؟ سئوالی که پاسخ درستی نمی توان به آن داد. چرا که با وجود ردیابی ۲ سرور دریافت کننده اطلاعات درمالزی، نمی توان به طور قطع گفت چه آی پی، در کجای جهان، مقصد نهایی دریافت کننده اطلاعات است؟
تنها می توان با ارجاع به خبرچهارم مهرماه ۱۳۸۸ خبرگزاری رویتر یادآور شد که اسراییل یک سال پیش در پی حمله سایبری به ایران بوده است. هرچند هیچ مدرکی دال بر هدایت این حمله توسط اسراییل وجود ندارد.
برخی از کارشناسان می گویند گسترش این کرم جاسوس در سراسر جهان از دی ماه سال گذشته شروع شده است. بنابراین احتمالا اطلاعات زیادی توسط این جاسوس به مقصد مورد نظر ارسال شده است.
اطلاعات بی بی سی فارسی نشان می دهد آخرین آزمایش های زیمنس حاکی از غیرفعال بودن سرور دریافت کننده درحال حاضر است که امکان ردیابی مقصد کرم را غیر ممکن می سازد.
پس از شناسایی کرم استاکس نت درجهان و گزارش سیمانتک، خبرگزاری های ایران به طور محدودی به اطلاع رسانی درباره این حمله سایبری پرداختند.
زیمنس برای مقابله با این حمله سایبری، ضدویروسی در اینترنت قرار داده است. اما هیچکس بطور قطع نمی داند حفره امنیتی که کرم استاکس نت در صنایع ایران ایجاد کرده است، همچنان وجود دارد یا نه؟
شهریار صیامی - بی* بی سی  

**************************************************************** 

خبر سوئد– روزنامه افتون بلادت بزرگترین روزنامه اسکاندیناوی در خبری که روز شنبه 25 سپتامبردر این روزنامه منتشر شده با اتکا به نظر کارشناسان رایانه ای سوئدی و آلمانی احتمال می دهد که سیستم رایانه ای نیروگاه اتمی بوشهر در ایران به فوق پیشرفته ترین ویروس رایانه ای جهان بنام “استاکسنت” آلوده شده است.

همین روزنامه به نقل از کارشناسان سوئدی و آلمانی  می نویسد که  شواهد حاکی از آن است که خلق ویروس “استاکسنت” که فوق پیشرفته ترین ویروس رایانه ای جهان بشمار می رود از عهده افراد عادی خارج است و  تنها یک تشکیلات سازمان یافته و یا دولتی می تواند قادر به طراحی و آفرینش آن باشد.

به نظر کارشناسانی که افتون بلادت از آنها نقل قول کرده است آفرینندگان ویروس “استاکسنت”  آن را  انحصارا با هدف نابود سازی تاسیسات نیروگاه اتمی بوشهر در ایران آفریده اند.

توجه خوانندگان را در ذیل به برگردان فارسی این گزارش روزنامه افتون بلادت جلب می کنیم. پیوند مستقیم به متن اصلی خبر بزبان سوئدی در پایان همین مطلب درج شده است.

احتمال وجود ویروس فوق پیشرفته در نیروگاه اتمی
این احتمال وجود دارد که نیروگاه اتمی بوشهر به ویروس رایانه ای آلوده شده باشد. متخصصین بر این نظرند که ممکن است پیشرفته ترین ویروس رایانه ای جهان انحصارا با هدف حمله به ایران خلق شده است.

ویروس اسطوره ای “استاکسنت” برای اولین بار در بهار گذشته توسط متخصصین ضد ویروس بلاروس در ایران کشف شد. پس از کشف این ویروس کارشناسان در سراسر جهان از یک سو از عملکرد فوق پیشرفته این ویروس در بهت فرو رفته و از سوی دیگر در تکاپوی یافتن پاسخ این پرسش بوده اند که عملکرد واقعی آن به چه صورت است.

نیروگاه های اتمی را مورد حمله قرار می دهد
ابتدا تصور می گردید که این ویروس جهت جاسوسی صنعتی طراحی و خلق شده است, اما کارشناسان اینک بر این باورند که موضوع جدی تر از آن است. “استاکسنت” از جمله جهت رخنه در سیستم کامپیوتری نیروگاه های اتمی طراحی شده و قادر است برنامه ریزی آن را  دگرگون سازد. چنین ویروسی که قادر است سیستم کنترل رایانه ای یک نیروگاه اتمی را مختل کند می تواند عواقب فاجعه آمیزی را بدنبال داشته باشد.

“پر هل که ویست” متخصص امنیت رایانه ای کمپانی “سیمانتکس”  می گوید: “عملکرد این ویروس وارونه کردن فرمان ها در سیستم رایانه ای است. برای مثال چنانچه به یک پمپ دستور افزایش پمپاژ داده شود  بجای آن کاهش پمپاژ صورت می گیرد و این دردسر خواهد آفرید.”

هدف ایران است
وی می گوید بنظر می رسد هدف این ویروس نیروگاه اتمی ایران است:
“اگر نگاهی به کشورهایی که مورد حمله قرار گرفته اند انداخته شود می توان حدس زد که سازنده ویروس چه کسی است و هدف آن کدام است. در درجه اول ایران مورد سرایت قرار گرفته است اما هند, پاکستان و اندونزی نیز دچار آن شده اند.”

اینکه هدف اصلی این ویروس ایران است مورد تایید “رالف لانگنر” متخصص سیستم های رایانه ای صنعتی در آلمان نیز قرار دارد.  او در وبلاگ خود می نویسد که  نوک حمله ویروس “استاکسنت”, که وی آن را “بزرگترین حمله قرن” نام نهاده,  نیروگاه اتمی بوشهر است.

“استاکسنت” جهت حمله به سیستمهای کمپانی زیمنس طراحی شده و این شرکت زیمنس بوده که در سال 1974 عملیات ساخت این نیروگاه اتمی جنجالی در ایران را آغاز کرده است. پس از آن متخصصین روسی عملیات ساخت آن را بر عهده گرفته اند و بارها اعلام نموده اند که زمان بهره برداری آن بزودی آغاز خواهد شد.

بازیگر بزرگتری در پشت پرده قرار دارد“پر هل که ویست” کارشناس امنیت رایانه ای کمپانی “سیمانتکس”  می گوید:
“هیچکس بطور قطع نمی داند که در پس پرده آفرینش “استاکسنت” چه کسی قرار گرفته است. اما نظر کارشناسان بر این است که ماهیت این ویروس که بصورت ترسناکی پیشرفته است دلالت بر آن دارد که سازنده آن یا یک تشکیلات سازمان یافته و یا یک دولت بوده است. این ویروس از جمله جهت رخنه به سیستم مورد نظر خود از چهار روزنه امینتی که پیش از این کاملا ناشناخته بوده اند استفاده بعمل آورده است, کسی که این ویروس را خلق کرده به سیستم های پیشرفته کمپانی زیمنس دسترسی داشته است. اگر بدانید چه وقت و هزینه ای جهت خلق چنین ویروسی لازم است بخوبی خواهید دانست که این ورای امکانات هکرهای خانگی است. برای خلق آن نیاز به بازیگران بزرگتری وجود دارد.”

آیا “استاکسنت” در سوئد هم وجود دارد؟
پر هل که ویست: بدون شک, اما اطلاعاتی مبنی بر اینکه موفق به رخنه به سیستمی شده باشد در دست ندارم.

Supervirus kan finnas i kärnkraftverk

استاکس نت چه می‌کند؟ بخش دوم:

کارشناسان معتقدند که یافتن کرم استاکس نت در سیستم های کنترل صنعتی بسیار دشوار است، اما آن را در کامپیوترهای خانگی براحتی می توان پیدا کرد. بنابراین وقتی آقای صالحی می گوید که این کرم در کامپیوترهای شخصی برخی از کارکنان انرژی هسته ای ایران دیده شده است، می توان نتیجه گرفت که احتمال آلودگی نیروگاه هسته ای بوشهر به آن هم وجود دارد.

نتایج آخرین پژوهش کارشناسان امنیت کامپیوتر نشان می دهد که کرم استاکس نت ماموریت تخریب کننده دارد؛ این تخریب می تواند شامل از کار انداختن کامل سیستم کارخانه ها یا حتی انفجار در آنها باشد. گروهی از کارشناسان معتقدند هدف های این کرم در ایران قرار دارند.

ماجرا زمانی شروع شد که در ۳۱ تیرماه امسال، شرکت سیمانتک در کالیفرنیا، گزارشی درمورد آلودگی کامپیوترهای جهان به این کرم منتشر کرد. در این گزارش عنوان شده بود که حدود ۶۰ درصد آلودگی های جهان به این کرم کامپیوتری در ایران قرار دارد. رسانه ها با سردی با این خبر برخورد کردند، اما اولین گزارشی تحقیقی در این مورد از تلویزیون فارسی بی بی سی پخش شد.

استاکس نت مهاجم است نه جاسوس

تاکنون نتایج پژوهش کارشناسان نشان می داد که کرم استاکس نت به سیستم های کنترل صنعتی زیمنس به نام اسکادا نفوذ می کند و به جمع آوری و ارسال اطلاعات می پردازد. اما سیمانتک در تاریخ ۱۵ مرداد گزارش دیگری منتشر کرد که نشان می دهد این کرم یک مهاجم تخریب کننده است نه جاسوس سیستم های صنعتی.

براساس این گزارش، کرم استاکس نت از طریق هرنوع شبکه و یو اس بی، به پی ال سی یا بخش اصلی مدار سیستم های کنترل صنعتی نفوذ و با وارد کردن کدهای خود، برنامه جدیدی در پی ال سی جایگزین می کند. بنابراین می تواند کنترل کارخانه را تا حدودی در دست بگیرد. در این صورت مثلاً می تواند در یک کارخانه پتروشیمی، تنظیم فشار در منبع یا لوله های مواد را در دست بگیرد و با افزایش فشار باعث انفجار شود یا در نیروگاه های تولید برق، ولتاژ را ببرد و به دستگاه ها آسیب برساند.

اطلاعات جدید درباره استاکس نت گویا این است که برخلاف تصور گذشته، فقط سیستم های کنترل صنعتی زیمنس مورد خطر نیستند، بلکه پی ال سی یا بخش اصلی مدار هر سیستم کنترل صنعتی می تواند به این کرم آلوده شود. بنابراین، کارخانه هایی که دارای سیستم های کنترل صنعتی هستند، مانند نیروگاه های برق، مراکز تصفیه آب، صنایع نفت و گاز و پتروشیمی، فولاد و حتی کشتی های بزرگ تجاری و ناوهای جنگی، می توانند هدف این کرم مهاجم باشند.

اگرچه این کرم در کامپیوترها خانگی دیده شده است و در این کامپیوترها تکثیر می شود، اما هدف اصلی آنها سیستم های کنترل صنعتی است و ظاهرا خطری برای کامپیوترهای شخصی ندارند.

چرا استاکس نت برای ایران تهدید جدی محسوب می شود؟

استاکس نت فقط کامپیوترهای ایران را آلوده نکرده است. ۱۸ درصد آلودگی های شناخته شده در اندونزی، مقداری در هند و فقط دو درصد در آمریکا و البته در سایر کشورهای دنیا وجود دارد. زیمنس ۱۴ اسکادا آلوده به این کرم را در اروپا پیدا کرده است. اما چرا تمام انگشت ها رو به ایران نشانه رفته است؟

بیشتر پژوهشگران بالا بودن آلودگی در ایران را علت این نتیجه گیری می دانند، اما گزارش سیمانتک و شرکت آلمانی به نام لانگنر می گوید، این کرم اطلاعات پی ال سی را استخراج می کند و ممکن است بتواند براساس “تایم زون” (منطقه زمانی) و اطلاعات خاص دستگاه مشخص کند که آن دستگاه در کدام منطقه و حتی چه کارخانه ای قراردارد. بنابراین مثلاً وقتی اطلاعات نیروگاه برقی در ایران را دریافت کرد براساس برنامه ریزی از پیش می داند که عملیات شروع شده است!

شرکت سیمانتک و شرکت آلمانی لانگنر بطور پیوسته در حال پژوهش درباره این کرم هستند. ظاهراً شرکت های دیگری همچون کاسپرسکی و ماکروسافت نیز پژوهش هایی را درمورد این کرم انجام داده اند. اما لانگنر مدعی است که استاکس نت را تا حدود زیادی رمزگشایی کرده است. لانگنر معتقد است براساس این رمزگشایی این کرم به هدف خیلی بزرگی حمله خواهد کرد که ممکن است نیروگاه اتمی بوشهر در ایران باشد. اما سیمانتک هدف قرار داشتن ایران را به طور قطع تایید نمی کند.

هنوز پژوهش ها به پایان نرسیده است و آخرین نتایج در کنفرانس ضد بدافزار ونکوور که از ۷ مهرماه آغاز شده است ارائه خواهد شد.

استاکس نت را چه کسی طراحی کرده است؟

پایان رمزگشایی این کرم احتمالاً نشان خواهد داد که چه کسی یا چه کشوری آن را طراحی کرده است. تاکنون پیچیدگی بسیار زیاد و هدف های خاص این کرم باعث شده بود که عنوان شود این کرم توسط یک کشور طراحی شده است نه یک شرکت یا هکرهای خانگی.

گزارشی از ماکروسافت نشان می دهد که طراحان این کرم اینترنتی از امضای دیجیتالی شرکت معتبر “ریل سمیکانداتتور کورپرشن”، تولید کننده سخت افزار استفاده کرده اند. بنابراین سیستم های ایمنی فایروال بسیار قوی هم استاکس نت را به عنوان محصولی از این شرکت می پذیرند و مقاومتی نمی کنند.

این شرکت قطعاً نمی تواند این امضای دیجیتالی را با اراده خود در اختیار طراحان کرم قرارداده باشد و احتمالاً امضای دیجیتالی آن سرقت شده است. سرقت این امضای دیجیتالی کاری بس دشوار است که توسط یک باند بسیار پیشرفته یا سازمان های امنیتی کشورها با بودجه بالا امکان پذیر است. این موضوع هم می تواند سرنخی برای یافتن طراح کرم باشد.

عملیات استاکس نت در آینده

درحالیکه مقامات سیاسی ایران داستان را پایان یافته تلقی می کنند کارشناسان امنیت کامپیوتر همه چیز را در شروع می بینند. بعضی از آنها معتقدند عملیات استاکس نت در شمارش معکوس است و می تواند در صنایع نفت و گاز یا بعضی از نیروگاه های برق یا حتی در صنایع هسته ای اخلال جدی ایجاد کند. به گفته آنها این کرم حتی می تواند موجب اختلال در کار مراکز احتمالی هسته ای بشود که اصلاً کسی از وجود آنها با خبر نیست.

اظهارات آقای صالحی تایید نظرات کارشناسان است. چرا که آنها نیز معتقدند که یافتن و مشاهده کرم استاکس نت در سیستم های کنترل صنعتی بسیار دشوار است و در مواردی غیر ممکن، اما آن را در کامپیوترهای خانگی براحتی می توان پیدا کرد. از آنجا که آقای صالحی گفته است که این کرم در کامپیوترهای شخصی برخی از کارکنان انرژی هسته ای ایران دیده شده است، می توان نتیجه گرفت که احتمال آلودگی نیروگاه هسته ای بوشهر به آن هم وجود دارد. 

**************************************************************** 

خبرگزاری مهر-گروه بین الملل: کرم جاسوسی Stuxnet ( استاکس نت ) چند صباحی است که تبدیل به عنوان اول اغلب خبرگزاری های مهم بین المللی شده و در این میان مواردی مطرح می شود که نیازمند بررسی دقیقتر است.

در تاریخ دوم مردادماه سال جاری بود که خبرگزاری مهر برای اولین بار خبری درباره یک کرم جاسوسی جدید منتشر کرد که در آن به نقل از موسسات خارجی عنوان شده بود ایران قربانی اصلی این کرم جاسوسی جدید است.

در آن تاریخ شرکت “سایمنتک” اعلام کرد : رایانه های ایران مورد هجوم شدید کرم خطرناک رایانه ای به نام Stuxnet قرار گرفته اند که تلاش می کند اطلاعات سیستمهای کنترل صنعتی را به سرقت برده و آنها را بر روی اینترنت قرار دهد. اندونزی و هندوستان نیز به واسطه این نرم افزار مخرب مورد هجوم قرار گرفته اند.

بر اساس اطلاعات جمع آوری شده توسط شرکت “سایمنتک” در حدود 60 درصد از سیستمهای رایانه ای که به این ویروس آلوده شده اند در ایران قرار دارند. اندونزی و هندوستان نیز به واسطه این نرم افزار مخرب که به Stuxnet شهرت دارد مورد هجوم قرار گرفته اند.

به گفته “الیاس لووی” مدیر ارشد فنی بخش “پاسخگویی ایمنی سایمنتک” با توجه به تاریخ نشانه های دیجیتالی که از این کرم رایانه ای به جا مانده، می توان گفت این نرم افزار از ماه ژانویه سال جاری میان رایانه ها در گردش بوده است.
Stuxnet در تیرماه سال جاری توسط شرکتی به نام VirusBlockAda که اعلام کرد نرم افزاری را بر روی سیستم رایانه یکی از مشتریان ایرانی خود مشاهده کرده، کشف شد. این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانه های بزرگ تولیدی و صنعتی مورد استفاده قرار می گیرد بوده و تلاش می کند اسرار صنعتی رایانه های این کارخانه ها را بر روی اینترنت بارگذاری (Upload) کند.
سایمنتک اعلام کرده نمی داند چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگی های ویروسی قرار دارند. به گفته لووی تنها می توان گفت افرادی که این نرم افزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کرده اند.

خبرگزاری فرانسه در تشریح این کرم جاسوسی می نویسد : Stuxnet قادر به تخریب لوله های گاز، ایجاد خلل در فعالیت های تاسیسات هسته ای و حتی انفجار دیگهای بخار کارخانجات مختلف است.

بر اساس این گزارش، این کرم جاسوسی توانسته در سیستم کنترلهای ساخته شده توسط شرکت زیمنس آلمان که در تاسیسات صنعتی و همچنین تاسیات تامین آب شرب، چاه های نفت، نیروگاه های برق و دیگر تاسیسات صنعتی نصب شده اند نفوذ کند.

Stuxnet قادر به تکثیر خود و انتقال از طریق شبکه های رایانه ای است. این کرم جاسوسی نخستین بار در تاریخ 15 جولای توسط شرکت زیمنس گزارش شد.

اقدامات امنیتی ایران برای مقابله با استاکس نت
پس از آن خبرهای متعددی درباره استاکس نت منتشر شد تا اینکه در تاریخ 3 مهر ماه اعلام شد :با توجه به اینکه سازمانها و واحدهای صنعتی کشور دیر متوجه نفوذ ویروس جاسوسی به سیستمهای خود شده اند، آخرین اخبار نشان می دهد که حدود 30 هزارIP در کشور شناسایی شده اند که به این ویروس آلوده اند.

“محمود لیالی” دبیر شورای فناوری اطلاعات وزارت صنایع و معادن از شناسایی این 30 هزار IP صنعتی آلوده به ویروس جاسوس “استاکس نت” خبر داده و اعلام کرده که هدف ‌گیری این ویروس در راستای جنگ الکترونیکی علیه ایران است و این ویروس، اطلاعات مربوط به خطوط تولید را به خارج از کشور منتقل می‌کند.

وی همچنین از تجهیز سیستم‌های صنعتی به آنتی ویروس خاص برای مبارزه با این ویروس خبر داده و به صنعتگران توصیه کرده که از آنتی ویروس شرکت اسکادا زیمنس استفاده نکنند زیرا ممکن است حتی در این آنتی ویروسها نیز نسخه‌های جدید ویروس و یا برنامه به روز‌رسانی ویروس قبلی وجود داشته باشد.

چین قربانی جدید
اما دیروز جمعه خبرگزاری رسمی چین خبری را منتشر کرد که در آن اعلام شده بود “ویروس استاکس نت در بیش از شش میلیون رایانه چینی نفوذ کرده و مقامات پکن نگران آن هستند که این ویروس رایانه های بیشتری را در چین مورد حمله قرار دهد.”
روسیه یا اسرائیل، تولید کننده استاکس نت کیست؟
هند همانند ایران از همان ابتدا با بحران استاکس نت مواجه شد و مقامات این کشور روز گذشته بطور مستقیم رژیم صهیونیستی را عامل تولید این ویروس سایبری معرفی کردند و حتی روزنامه “ایندیا تایمز” نیز گزارش مفصلی را با تیتر ” آیا اسرائیل در پشت پرده حمله سایبری به ایران قرار دارد؟” منتشر کرد.
علاوه بر این روزنامه هندی، روزنامه دیلی تلگراف چاپ لندن نیز گزارشی را درباره احتمال دست داشتن اسرائیل در طراحی استاکس نت منتشر کرد.
نکته ای که در گزارش هر دوی این روزنامه ها جالب توجه است آن است که هر دو می نویسند : فایل ایجاد شده توسط استاکس نت از نام “Myrtus” برای نفوذ در رایانه ها استفاده می کند.
میرتاس چیست :
Myrtus کلمه ای است با ریشه عبری که اشاره به داستان “استر” دارد . استر زن دوم خشایارشاه در ایران باستان است که زنی یهودی بوده و با وساطت عموی خود مردخای که از مشاوران پادشاه ایران بود، خشایار شاه راضی به ازدواج با او می شود.
بر اساس این گزارش، استر به نوعی ملکه یهودیان جهان شناخته می شود و به نوشته این دو روزنامه، رژیم اسرائیل با الهام گرفتن از این شخصیت تاریخی در پی نفوذ در تاسیسات ایران بوده است.
اما در این میان شرکت آلمانی “رالف لانگر” که یک شرکت امنیت رایانه ای است فرضیه جدیدی را مطرح می کند. این شرکت مدعی شده که ممکن است کرم جاسوسی استاکس نت توسط پیمانکاران روسی به تاسیسات هسته ای ایران منتقل شده باشد.
نقش احتمالی روسیه
در اینکه رژیم صهیونیستی با ایران خصومتی دیرینه داشته و از هر فرصتی برای ضربه زدن به جمهوری اسلامی استفاده می کند شکی نیست اما نگاهی به لیست قربانیان کرم جاسوسی استاکس نت موجب می شود تا در مورد فرضیه شرکت رالف لانگر دقت بیشتری به خرج بدهیم.
ایران، هند، چین و اندونزی قربانیان اصلی این کرم جاسوس هستند. فراموش نکنیم که در سالهای اخیر آمریکا مرتبا با انتشار گزارش هایی نگرانی خود را از جاسوسی سایبر روسیه از تاسیسات مختلف خود اعلام کرده است.
تکمیل و راه اندازی نیروگاه هسته ای بوشهر برعهده روسیه بوده و روسها بارها در تکمیل این نیروگاه بدقولی کرد. نگاهی به عملکرد روسیه در تکمیل نیروگاه بوشهر و همچنین اقدامات روسها در برخورد با برنامه صلح آمیز هسته ای ایران گفته شرکت آلمانی را قابل تامل می کند.
موضوع چین و هند
هند و چین در حال تبدل شدن به قدرتهای جدیدی در جهان هستند و شاید به نوعی این دو کشور جای اتحاد جماهیر شوری را در جهان تک قطبی حاضر بگیرند؛ بنابراین اطلاع از تاسیسات مختلف و اقدامات این دو کشور در ابعاد مختلف نکات مثبت زیادی برای روسها به همراه خواهد داشت.
کلام آخر
موضوع ربط دادن کرم جاسوسی استاکس نت به صهیونیستها و روسها موضوعی است که هنوز اثبات نشده اما اطلاع از این موضوع می تواند اقدامات پیشگرانه ایران برای مقابله با استاکس نت را با آگاهی بیشتری همراه کند و این در حالی است که برخی شرکت های رایانه ای بین المللی مدعی شده اند استاکس نت از بین نمی رود و با تغییر حالت و سپس تکثیر خود از رایانه ای به رایانه دیگر منتقل می شود، بر همین اساس در نظر گرفتن موارد فوق می تواند ضریب امنیتی ایران را در جلوگیری از سرقت اطلاعات محرمانه افزایش دهد.
—————————
تنظیم : پایگاه اینترنتی آلامتو
به نقل از : خبرگزاری مهر
نگارش: عبدالحمید بیاتی 
**************************************************************** 

آیا Stuxnet قویترین بدافزار تاریخ است؟

 

به گزارش خبرنگار مهر، نسخه ابتدایی استاکس نت نخستین بار یک و نیم سال پیش از سوی یک شرکت کوچک امنیتی در بلاروس گزارش شد و یک ماه بعد از آن نیز تایید شد که این کرم در حال هدف قرار دادن سیستمهای ویندوز در مدیریت سیستمهای کنترل صعنتی بزرگ است اما شرکتهای معروف دنیا که علیه بدافزارها کار می کنند در مورد این بدافزار که آن زمان از آسیب پذیری های ساده تری استفاده می کرد در مورد آن اطلاع رسانی عمومی نکرده و اقدامی خاصی در این باره انجام ندادند.

 

سیستمهای کنترل صنعتی اغلب با عنوان اسکادا شناخته می شوند و هر چیزی را از سایتهای نیروگاهی گرفته تا خطوط انتقال نفت کنترل می کنند و طبق اعلام رسمی، ایران جدی ترین هدف این کرم بوده و براساس اولین آمار ارائه شده در دو ماه پیش نزدیک به 60 درصد از تمامی سیستمهای آلوده به این ویروس در ایران قرار داشتند.


به همین دلیل به نظر می رسد این ویروس با اهدافی خاص نیروگاههای اتمی ایران را مورد هدف قرار داده است. استاکس می تواند به طور همزمان از چهار آسیب پذیری برای دسترسی به شبکه های رایانه ای استفاده کند و به اعتقاد کارشناسان پیش از این دیده نشده که یک بدافزار به طور همزمان از چهار آسیب پذیری اصلاح نشده استفاده کند.

 

ساماندهی و پیچیدگی این بدافزار به حدی قابل توجه و اعجاب انگیزاست که محققان معتقدند که کسانی که پشت این بدافزار قرار دارند، قصد دارند به تمام دارایی های شرکت یا شرکتهای هدف خود دست یابد. همچنین محققان امنیتی براین باورند که تیمی متشکل از افرادی با انواع تخصصها و پیش زمینه های صنعتی و IT  این بدافزار را ایجاد کرده و هدایت می کنند.

 

کارشناسان معتقدند که سطح بالایی از تخصص صنعتی در نوشتن این ویروس مورد استفاده قرارگرفته است و به همین دلیل انگیزه عادی یا کسب درآمد در نوشتن آن مطرح نبوده است. به همین دلیل است که گفته می شود یک سازمان یا یک دولت متخاصم علیه ایران ممکن است دست به این اقدام سایبری زده باشد.

 

به اعتقاد کارشناسان استاکس نت بسیار پیچیده و در سطح بالایی از تکنولوژی قرار دارد که در نوع خود بی نظیر است. شاید به تعبیری این کرم جاسوسی اولین نمونه ویروسی باشد که به صنعت حمله کرده و خاص صنعت طراحی شده و قویترین بدافزار تاریخ است.

 

اما با این وجود مسئولان شرکت فناوری اطلاعات کشور معتقدند که این کرم جاسوسی نه تنها تهدیدی برای سیستمهای صنعتی کشور محسوب می شود بلکه تهدیدی برای بیش از یک سوم جمعیت کشور که کاربران اینترنت را تشکیل می دهند نیز است.

 

استاکس نت در کمین رایانه های شخصی

 

معاون شرکت فناوری اطلاعات ایران با تاکید بر اینکه ویروس رایانه ای استاکس نت که چندی است رایانه های ایرانی را مورد حمله قرار داد تنها محیط صنعتی را تهدید نمی کند گفت: این ویروس نقاط ضعفی را در کامپیوترهای آلوده ایجاد می کند که امکان دسترسی به اطلاعات رایانه کاربران را از راه دور فراهم می سازد.

 

حمید علیپور در گفتگو با خبرنگار مهر اظهار داشت: کرم جاسوسی استاکس نت بسیارخطرناک است و به رغم اینکه محیطهای صنعتی را مورد حمله قرار می دهد، کاربرانی که در منزل از رایانه استفاده می کنند و یا شرکتهای دولتی و خصوصی نیز در معرض تهدید این ویروس قرار دارند.

 

وی با تاکید بر اینکه معمولا مهاجمین به اطلاعات اجازه دسترسی به راههای نفودی که در رایانه ها باز کرده اند را به دیگران نمی دهند و با سرورهای میانی و روش های کد شده سعی می کنند این راههای نفوذ را حفاظت کرده و تنها خود از این کامپیوترهای آلوده استفاده کنند، اضافه کرد: اما آنچه که در این ویروس تعجب آور است این است که راههای نفوذ در دسترس است و هر فردی که کوچکترین اطلاعاتی از هک و جاسوسی الکترونیک داشته باشد می تواند از کامپیوتر آلوده سوء استفاده کند.

 

معاون شرکت فناوری اطلاعات گفت: این به این معنا است که دری روی رایانه های آلوده باز شده که از طریق اینترنت امکان حمله به رایانه توسط گروهی به جز مهاجمین استاکس نت را فراهم کرده است.

 

علیپور گفت: با بیان اینکه اگرچه تهدید اولیه این ویروس در ایران بوده اما با توجه به رشد و نفوذی که در سطح دنیا داشته این بدافزار از کنترل خارج شده و در جاهای دیگر دنیا هم در حال توسعه یافتن است.

 

نحوه عملکرد و روشهای مقابله با ویروس رایانه ای استاکس نت 

 

معاون شرکت فناوری اطلاعات در پاسخ به این سئوال که این جاسوس رایانه ای چه اطلاعاتی از کاربران خانگی را به سرقت خواهد برد به مهر گفـت: به نظر نمی رسد هدف اولیه نویسنده این بدافزار سرقت اطلاعات کارتهای اعتباری کاربران خانگی بوده باشد اما این امکان به وجود آمده که هر کامپیوتر آلوده به این ویروس نه تنها از سوی نویسنده این بدافزار بلکه توسط هر فردی که اطلاعات آن را در اینترنت خوانده و نحوه استفاده از آن را یاد گرفته باشد مورد سوء استفاده قرار گیرد.

 

وی تصریح کرد: جزئیات فعلی این بدافزار در وب سایت ماهر "مرکز مدیریت امداد و هماهنگی عملیات رخداد رایانه‌ای" به نشانی www.certcc.ir  آمده و مجموعه ای از اخبار و اطلاعات و مقالات در بخش توصیه های امنیتی این سایت خاص این ویروس گذاشته شده است.

 

علیپور با تاکید بر اینکه نحوه پاکسازی رایانه ها در سایت ماهر توضیح داده شده و تمامی اطلاعات بروزرسانی می شود تا کاربران عام در جریان قرار گیرند ادامه داد: در زمان حاضر اکثر نرم افزارهای ضد بدافزار و ویروس کش های مختلف قابلیت پاکسازی ویروس استاکس نت را دارند و اگر کاربران از نرم افزارهای بروز شده ضد ویروس که قابلیت شناسایی داشته باشد استفاده می کنند می توانند با این بدافزار مقابله کنند.

 

کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند

وی با بیان اینکه لیست بدافزارهایی که قابلیت شناسایی آنها وجود دارد روی سایت مرکز ماهر قرار دارد به مهر گفت: برخی از نرم افزارهای ویروس کش برای کاربران خانگی قابل دانلود و رایگان است.

 

معاون شرکت فناوری اطلاعات با اشاره به دیگر نکات لازم برای رعایت کاربران خاطرنشان کرد: کاربران سعی کنند با حداقل سطح دسترسی وارد کامپیوترشان شوند. کسانی که با سیستم عامل لینوکس کار می کنند این موضوع را رعایت می کنند اما کاربرانی که از سیستم عامل ویندوز استفاده می کنند باید این موارد را بیشتر رعایت کنند.

 

کاربران دو کلمه عبور برای سیستم خود ایجاد کنند

وی ادامه داد: متاسفانه کاربران ویندوز که اکثر کاربران  کشور ما را تشکیل می دهند عادت دارند که یا به اسم مدیر سیستم وارد کامپیوتر می شوند و یا به کلمه عبوری که برای خود ایجاد کرده اند اختیارات مدیر سیستم را می دهند که این موضوع بسیار خطرناک است. به همین دلیل به کاربران توصیه می شود دو کلمه عبور برای سیستم خود ایجاد کنند که به یکی از آنها اختیارات سطح بالای دسترسی و مدیر سیستم را بدهند و به کلمه عبور دیگر این اختیار را ندهند.

 

توصیه ای برای زمان اتصال به اینترنت یا استفاده از فلش و کول دیسک

وی ادامه داد:  توصیه امنیتی این است که کاربران در حالت عادی بخصوص وقتی می خواهند به اینترنت وصل شوند و یا حافظه جانبی مثل فلش و کول دیسک و هارد اکسترنال به سیستم وصل کنند با حداقل سطح دسترسی لازم برای کار با کامپیوتر وارد سیستم شوند و زمانی که لازم است نرم افزاری نصب شود یا سطح دسترسی بالاتر در حد مدیر سیستم باشد با کلمه عبور با احتیاط بالاتر وارد سیستم شوند.

 

علیپور اضافه کرد : به این ترتیب ویروس ها نمی توانند درایورهای خود را روی سیستم نصب کنند و حداکثر اگر کامپیوتر را آلوده کرده باشند با یک خاموش روشن شدن سیستم این ویروس پاک می شود. چون ویروس نتوانسته خود را در نقاط کلیدی سیستم کپی کند.

 

وی گفت: در مورد استاکس نت اگر کلمه عبور مدیریت سیستم نباشد کامپیوتر اگر آلوده نشده باشد امکان آلوده شدن آن نیست. چون این ویروس درایورهایی را روی سیستم نصب می کند که برای نصب آنها نیاز به اختیارات مدیر سیستم دارد. پس کاربران این توصیه امنیتی را جدی بگیرند.
 

علیپور گفت: نشانه ها و علائم مورد حمله قرارگرفتن سیستمها روی سایت مرکز ماهر موجود است و ضمن اینکه یک فایل اجرایی کوچک توسط مراکز آپای دانشگاه شریف و امیرکبیر نوشته شده و روی وبسایت ماهر قابل دانلود شدن است.

 

کنترل ویروس و کاهش سطح آلودگی تا دو ماه آینده

 

معاون شرکت دیتا با بیان اینکه طبق آمارهای اعلام شده 8 هزار IP آلوده به این ویروس در داخل ایران شناسایی شده است به مهر گفت: با وجودی که سیستمهای داخل کشور ترجمه آدرس می شوند و از آدرسهای خصوصی به جای آدرس عمومی استفاده می شود به طور قطع تعداد آلودگی بسیار بیشتر از این رقم است.

 

وی با تاکید بر اینکه در حال مشاهده، شناسایی و کنترل کامپیوترهای آلوده به این بدافزار هستیم گفت: سعی داریم در برنامه ریزی انجام شده آن را کاهش دهیم.

 

نسخه های خطرناک تر استاکس نت در راه هستند

علیپور اضافه کرد: برنامه حذف این ویروس برای مدت دو ماه بود که با توجه به اینکه این ویروس در حال تغییر و تحول است و نسخه های جدیدتر و خطرناکتر آن نیز در حال انتشار است این زمان تغییر یافت. اما در صورتی که دیگر شاهد تغییراتی در این ویروس نباشیم امیدواریم بتوانیم برنامه دو ماهه را برای آن پیاده سازی کنیم و آلودگی را به سطح قابل قبولی کاهش دهیم.

 

وی تصریح کرد: سطح آلودگی در کنترل و کاهش قرار دارد و اقداماتی برای پاکسازی آغاز شده اما باید توجه داشت که ویروس کار را رها نکرده و نسخه های جدیدتری را به سمت اهداف خود می فرستد.

 

به گفته این مقام مسئول تمامی اقدامات در کشور برای پاکسازی و کنترل این ویروس هماهنگ و مشترک و با مرکزیت مرکز ماهر به عنوان CERT هماهنگ کننده در جریان است.

**************************************************************** 

کرم Stuxnet بدافزاری است که چنان در استفاده از آسیب پذیری­های اصلاح نشده ماهر است و چنان در کار خود پیچیده عمل می­کند که آن دسته از متخصصان امنیتی که در مورد آن تحقیق کرده اند، معتقدند که ممکن است این بدافزار کار متخصصانی با پشتوانه قوی باشد. این بدافزار هم زمان چهار نقص امنیتی اصلاح نشده ویندوز را مورد سوء استفاده قرار می­دهد که سوء استفاده از این تعداد آسیب پذیری برای یک بدافزار بسیار زیاد است.

Stuxnet که نخستین بار در اواسط جولای توسط شرکت کوچک امنیتی VirusBlokAda در بلاروس گزارش شد، یک ماه بعد زمانی که مایکروسافت تایید کرد که این کرم در حال هدف قرار دادن سیستم­های ویندوز در مدیریت سیستم­های کنترل صعنتی بزرگ است، به شهرت رسید.

این سیستم­های کنترلی اغلب با عنوان SCADA (Supervisory Control And Data Acquisition) شناخته می­شوند. این سیستم­ها هر چیزی را، از سایت­های نیروگاهی گرفته تا خطوط انتقال نفت، کنترل می­کنند.

محققان ابتدا اعتقاد داشتند که Stuxnet صرفا از یک آسیب پذیری اصلاح نشده در ویندوز سوء استفاده کرده و از طریق درایوهای USB منتشر می­شود. به گفته محققان سایمانتک، ایران جدی ترین هدف این کرم بوده و در ماه جولای نزدیک به 60 درصد از تمامی سیستم­های آلوده، در ایران قرار داشتند. در روز دوم آگوست، مایکروسافت یک به روز رسانی فوری برای اصلاح این نقص عرضه کرد. در این زمان Stuxnet به عنوان کرم سوء استفاده کننده از میان­برهای ویندوز شناخته می­شد.

اما برخلاف انتظار مایکروسافت، Stuxnet می­توانست همزمان از چهار آسیب پذیری برای دسترسی به شبکه های شرکت­ها استفاده کند. به گفته محققان، پیش از این دیده نشده است که یک بدافزار به طور همزمان از چهار آسیب پذیری اصلاح نشده استفاده کند. زمانی که این کرم به یک شبکه دسترسی پیدا می­کند، به دنبال کامپیوترهای خاصی می­گردد که سیستم­های SCADA را که توسط نرم افزاری از شرکت زیمنس کنترل می­شوند، مدیریت می­کنند.

محققان Kaspersky و سایمانتک با در دست داشتن نمونه ای از Stuxnet، کد این بدافزار را مورد بررسی و تحلیل عمیق قرار دادند تا به اطلاعات بیشتری در مورد آن دست پیدا کنند. این دو شرکت به طور جداگانه کد حمله ای را که سه آسیب پذیری اصلاح نشده دیگر ویندوز را هدف قرار داده بود، پیدا کردند.

به گفته یکی از محققان Kaspersky، نخست ظرف مدت یک هفته تا یک هفته و نیم، حفره print spooler توسط محققان این شرکت پیدا شد. سپس حفره EoP (تغییر حق دسترسی) ویندوز نیز توسط این شرکت امنیتی کشف شد. پس از آن حفره دوم EoP نیز توسط محققان مایکروسافت پیدا شد.

محققان سایمانتک نیز به طور جداگانه آسیب پذیری print spooler و دو آسیب پذیری EoP را در ماه آگوست پیدا کردند.

هر دو شرکت نتایج فعالیت­های خود را به مایکروسافت گزارش کردند که باعث شد آسیب پذیری print spooler به سرعت اصلاح شده و وعده اصلاح دو آسیب پذیری کم خطرتر EoP در به روز رسانی امنیتی بعدی نیز داده شود.

اما عجایب Stuxnet به اینجا ختم نمی­شود. این کرم همچنین از یک حفره ویندوز که در سال 2008 توسط به روز رسانی MS08-067 اصلاح شده بودنیز استفاده می­کند. این نقص امنیتی همان آسیب پذیری مورد استفاده کرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود که به میلیون­ها سیستم در سراسر جهان آسیب وارد کرد.

زمانی که Stuxnet از طریق USB وارد یک شبکه می­شود، با استفاده از آسیب پذیری­های EoP حق دسترسی admin به سایر PC ها را برای خود ایجاد می­کند، سیستم­هایی را که برنامه های مدیریت WinCC و PCS 7 SCADA اجرا می­کنند پیدا می­کند، کنترل آنها را با سوء استفاده از یکی از آسیب پذیری­های print spooler یا MS08-067 در اختیار می­گیرد، و سپس کلمه عبور پیش فرض زیمنس را برای در اختیار گرفتن نرم افزار SCADA آزمایش می­کند. سپس مهاجمان می­توانند نرم افزار PLC (programmable logic control) را مجددا برنامه ریزی کنند تا دستورات جدید را مطابق میل خود صادر نمایند.

نکته قابل توجه این است که این کد حمله معتبر و قانونی به نظر می­رسد، چرا که افرادی که پشت Stuxnet قرار دارند، حداقل دو گواهی دیجیتالی امضا شده را سرقت کرده اند.

به گفته محقق شرکت امنیتی Kaspersky، سازماندهی و پیچیدگی اجرای کل بسته بسیار قابل توجه است. به عقیده وی، هر کسی که پشت این بدافزار قرار دارد، قصد دارد به تمام دارایی­های شرکت یا شرکت­های هدف خود دست یابد.

یک محقق امنیتی دیگر نیز معتقد است که تیمی متشکل از افرادی با انواع تخصص­ها و پیش زمینه ها از Rootkit گرفته تا پایگاه داده، این بدافزار را ایجاد کرده و هدایت می­کنند. این بدافزار که تقریبا نیم مگابایت حجم دارد، به چندین زبان از جمله C، C++ و سایر زبان­های شیء گرا نوشته شده است. به گفته وی، تیم ایجاد کننده این بدافزار نیاز به سخت افزار فیزیکی واقعی برای تست داشته اند و به خوبی می­دانند که یک کارخانه خاص چگونه کار می­کند. بنابراین ایجاد و استفاده از این بدافزار قطعا یک پروژه بزرگ بوده است.

یک راه که این مهاجمان با استفاده از آن ریسک شناسایی شدن را کم کرده اند، قرار دادن یک شمارنده در USB آلوده است که اجازه انتشار بدافزار از طریق یک USB خاص به بیش از سه کامپیوتر را نمی­دهد. این بدان معناست که مهاجمان سعی کرده اند با جلوگیری از گسترش بیش از اندازه این بدافزار، آن را در سازمان هدف خود نگاه داشته و به این ترتیب از شناسایی آن جلوگیری نمایند.

زمانی که این بدافزار وارد شبکه یک شرکت می­شود، فقط در صورتی از آسیب پذیری MS08-067 استفاده می­کند که بداند هدف، بخشی از یک شبکه SCADA است. در اغلب شبکه های SCADA هیچگونه عملیات ثبت (logging) انجام نمی­شود و این شبکه ها دارای امنیت محدود بوده و به ندرت اصلاحیه ای در مورد آنها منتشر می­شود. همین مساله باعث می­شود که سوء استفاده از آسیب پذیری MS08-067 که مدت­هاست اصلاح شده است، برای این کار موثر و مفید باشد.

تمام این مسائل، تصویری ترسناک از Stuxnet می­سازد. محققان سایمانتک و Kaspersky معتقدند که با توجه به شناسایی کاملی که این کرم انجام می­دهد و پیچیدگی کار آن و خطرناک بودن حمله آن، این بدافزار حتی نمی­تواند صرفا کار یک گروه حرفه ای جنایتکار سایبری باشد.

محقق امنیتی شرکت سایمانتک معتقد است که این به هیچ عنوان نمی­تواند کار یک گروه خصوصی باشد. چرا که مهاجمان صرفا به دنبال اطلاعات برای حذف رقیب نبوده اند. آنها قصد داشته اند PLC ها را مجددا برنامه ریزی کرده و کار سیستم­ها را به چیزی غیر از آنچه که صاحبان آنها می­خواهند، تغییر دهند که این چیزی بیش از جاسوسی صنعتی است. به گفته وی، منابع و هزینه مورد نیاز برای این حمله، آن را خارج از قلمرو یک گروه هک خصوصی قرار می­دهد.

این حمله به طور خاص ایران را هدف گرفته بود. محقق امنیتی Kaspersky معتقد است که با در نظر گرفتن تمامی این شرایط، محتمل­ترین سناریو در مورد این بدافزار، یک گروه هک وابسته به سرویس­های جاسوسی حکومتی یک کشور است.

به گفته محقق امنیتی سایمانتک، این یک پروژه بسیار مهم برای افرادی است که در پشت آن قرار دارند که هزینه ها و ریسک بالایی نیز داشته است.

همچنین اگرچه زیمنس ادعا می­کند که 14 سایت آلوده به Stuxnet که توسط این شرکت کشف شده اند، توسط این بدافزار خراب نشده و یا تحت تاثیر آن قرار نگرفته اند، اما محققان امنیتی سایمانتک و Kaspersky در این باره مطمئن نیستند.

متخصصان در مورد زمان آغاز به کار این بدافزار اتفاق نظر ندارند. Kaspersky آغاز فعالیت این بدافزار را در جولای 2009 می­داند، در حالی که سایمانتک معتقد است که شروع این حملات به ژانویه 2010 برمی­گردد. اما همگی معتقدند که این کرم ماه­ها بدون شناسایی شدن به کار خود ادامه داده است. این محققان فکر می­کنند که این بدافزار توانسته باشد پیش از شناسایی شدن، به اهداف خود برسد.

**************************************************************** 

اخیراً یک بدافزار خطرناک به نام Stuxnet در همه کشورهای جهان و به خصوص ایران گسترش پیدا کرده است که هدف آن ایجاد اختلال در شرکت ها و سازمان های مرتبط با زیرساخت های حیاتی همچون نیروگاه ها است. بدافزار مذکور با سوءاستفاده از یک حفره امنیتی در ویندوز گسترش پیدا می کند و به دنبال سیستم هایی است که از نرم افزار WinCC Scada که متعلق به زیمنس است، استفاده می کنند. نرم افزار مذکور معمولاً توسط سازمان های مرتبط با زیرساخت های حیاتی مورد استفاده قرار می گیرد. شرکت سایمانتک در این رابطه اطلاعاتی را منتشر ساخته است که در ادامه می آید. بنا بر اطلاعات ارائه شده توسط سایمانتک، کرم رایانه ای Scada که هدف آن شرکت ها و سازمان های مربوط زیرساخت های حیاتی هستند، نه تنها به سرقت اطلاعات می پردازد، بلکه یک back door را نیز بر روی سیستم قربانی قرار می دهد تا بتواند از راه دور و به طور مخفیانه کنترل عملیات زیرساخت های مذکور را در اختیار گیرد. کرم Stuxnet، شرکت های مربوط به سیستم های کنترل صنعتی در سراسر جهان را آلوده ساخته است، با این وجود بنا بر گزارش های دریافت شده، بیشتر آلودگی ها در ایران و هند مشاهده شده است. همچنین کرم مذکور توانسته است به صنعت انرژی در ایالات متحده آمریکا نیز وارد شود.

با وجود اینکه سایمانتک اطلاعات دقیقی از شرکت های آلوده شده دارد، از افشای اطلاعات در مورد نام و تعداد شرکت های آلوده شده به دلیل مسائل امنیتی خودداری می کند. سایمانتک اطلاعات خود در اینباره را از طریق نظارت بر ارتباطاتی که دستگاه های آلوده با سرور command and control بدافزار Stuxnet برقرار می کرده اند، به دست آورده است. آنها با شرکت های آلوده شده تماس گرفته و به آنها در مورد چگونگی مقابله با این بدافزار آگاهی داده اند. بنا بر نظر محققان امنیتی، بدافزار مذکور یک توسعه جدی در زمینه تهدیدات رایانه ای محسوب می شود و متأسفانه کنترل سیستم های فیزیکی در محیط های کنترل صنعتی را در اختیار هکرها قرار می دهد. این بدافزار که تیتر اخبار ماه گذشته بود، برای سرقت کد و طرح پروژه هایی نوشته شده است که از نرم افزار Siemens Simatic WinCC استفاده می کنند. از نرم افزار مذکور معمولاً برای کنترل سیستم های صنعتی و سیستم های زیرساخت های حیاتی مانند سیستم های آب و برق استفاده می شود. این بدافزار از نام کاربری و کلمه عبوری که در نرم افزار زیمنس به صورت hard-coded وجود دارد سوءاستفاده می کندو همچنین بدافزار مذکور از گواهینامه های معتبر ولی انقضا یافته Realtek Semiconductor Corporation برای اعتباردهی به درایوهایش استفاده می کند. از طرف دیگر مشخص شده است که بدافزار Stuxnet یک کد رمزنگاری شده را بر رویProgrammable Logic Controllers (PLCs) سیستم قربانی بارگذاری می کند که از آن برای کنترل اتوماسیون پروسه های صنعتی استفاده می شود. در حال حاضر هنوز فعالیت های کد مذکور به صورت دقیق مشخص نشده است. یک مهاجم با استفاده از back door می تواند از راه دور به انجام فعالیت هایی همچون دریافت فایل ها، اجرای پردازه ها، پاک کردن فایل ها و فعالیت های مشابه بپردازد. وی همچنین امکان این را دارد که در فعالیت های حیاتی یک کارخانه تداخل ایجاد کند و کارهایی مانند بستن دریچه ها و خاموش کردن سیستم های خروجی را انجام دهد. بنا بر گفته یکی از محققان امنیتی، مهاجمان می توانند برای مثال در یک نیروگاه تولید انرژی، نقشه چگونگی عملکرد ماشین آلات فیزیکی را دریافت کرده و آنها را تحلیل کنند تا دریابند چگونه می توانند تغییرات مورد نظر خود را در آنها اعمال کنند. سپس کد دلخواه خود را وارد ماشین آلات کرده تا شیوه عملکرد آنها را تغییر دهند. کرم Stuxnet با سوءاستفاده از یک حفره امنیتی در ویندوز، خود را منتشر می سازد. حفره امنیتی مذکور که در همه نسخه های ویندوز وجود دارد مربوط به پردازش فایل های میان بر (shortcut) با پسوند .lnk است. این ویروس از طریق درایوهای USB، سیستم های قربانی را آلوده می سازد، با این وجود بنا بر اطلاعات ارائه شده توسط مایکروسافت، این ویروس همچنین می تواند در یک وب سایت، اشتراک های شبکه از راه دور یا در فایل های Word نیز مخفی شده و از این طرق به گسترش آلودگی بپردازد.

مایکروسافت یک اصلاحیه فوری را برای برطرف ساختن نقص امنیتی مذکور منتشر کرده است، ولی تنها نصب اصلاحیه، نمی تواند از سیستم هایی که از نرم افزار زیمنس استفاده می کنند، محافظت به عمل آورد زیرا این بدافزار قادر است کد خود را در سیستم های مذکور مخفی کرده و بدون اینکه کسی متوجه شود، در فعالیت های کارخانه و یا نیروگاه مداخله کند. آنها همچنین می توانند فعالیت های جدیدی را برای یک خط لوله و یا یک نیروگاه تعریف کنند که ممکن است صاحبان سیستم متوجه آن نشوند. به همین دلیل سیستم هایی که آلوده شده اند باید کاملاً مورد بازرسی قرار گیرند تا اطمینان حاصل شود به همان شیوه ای که مورد انتظار است، کار می کنند. واضح است که انجام بازرسی مذکور بسیار سخت و زمان بر و در عین حال ضروری است. در واقع علاوه بر نصب اصلاحیه لازم است، پاکسازی کامل در مورد رایانه های آلوده نیز انجام شود. محققان امنیتی سایمانتک می دانند که بدافزار Stuxnet قابلیت انجام چه کارهایی را دارد ولی نمی دانند که این بدافزار دقیقاً چه کاری را بر روی سیستم های آلوده انجام می دهد. برای مثال آنها می دانند که بدافزار مذکور داده ها را مورد وارسی قرار می دهد و همچنین با توجه به تاریخ، فعالیت های متفاوتی را انجام می دهد ولی هنوز در مورد فعالیت های مذکور چیزی نمی دانند. یکی از محققان امنیتی درباره انتشار این بدافزار عقیده دارد که این وضعیت نشان دهنده مشکلاتی فراتر از تنها یک کرم رایانه ای است و مشخص کننده مشکلات امنیتی عمده ای در بخش صنعت است. به نظر وی مردم درک نمی کنند که نمی توانند تنها به راه حل های امنیتی مورد استفاده در دنیای فناوری اطلاعات برای حفظ داده ها در دنیای کنترل صنعتی اکتفا کنند، برای مثال آنتی ویروس ها نتوانستند و نمی توانستند وجود این تهدید ویژه را تشخیص دهند. او می گوید:" آنتی ویروس ها یک احساس امنیت کاذب را ایجاد می کنند، زیرا این ضعف خود را از دید عموم می پوشانند." بنا بر نظر سایمانتک، بدافزار مذکور یک پروژه بزرگ است و یک شرکت جاسوسی صنعتی و یا یک دولت در ورای این حملات قرار دارد زیرا حملات مذکور پیچیده محسوب می شوند. افرادی که در ورای بدافزار مذکور قرار دارند هزینه های زیادی را صرف به دست آوردن کد سوءاستفاده آسیب پذیری جدید و اصلاح نشده در ویندوز، برنامه نویسان ماهر و دانش در مورد سیستم های کنترل صنعتی و همچنین فریب رایانه های قربانی برای پذیرش امضاهای دیجیتالی جعلی کرده اند. در حال حاضر شواهدی مبنی بر اینکه دقیقاً چه کسانی در ورای حملات مذکور قرار دارند، وجود ندارد. بنا به گفته سایمانتک تحلیل بدافزار مذکور همچنان ادامه دارد و به محض اینکه اطلاعات جدیدی در اینباره کشف شود در اختیار عموم قرار داده می شود. برای کسب اطلاعات بیشتر در مورد این بدافزار به راهنمایی امنیتی "راهنما و ابزار رفع بدافزار Stuxnet" مراجعه کرده و فایل ضمیمه را مطالعه فرمایید.


**************************************************************** 
این هم برنامه ای در جهت حذف استاکس نت


که می تونیدازاینجادانلودکنید[[HIDE]http://www.softpedia.com/get/Antivirus/StuxnetRemover.shtml[/inja]
اسامه قادری سه‌شنبه 13 مهر‌ماه سال 1389 ساعت 01:24 ق.ظ
نظرات 6 + ارسال نظر
اسامه قادری سه‌شنبه 13 مهر‌ماه سال 1389 ساعت 11:15 ق.ظ http://www.cafeweb.tk

تو برنامه کلیک شبکه بی بی سی فارسی میگفت که این کرم حتی قدرت اینو داره که نیروگاه ها رو منفجر کنه ...

کیهانی سه‌شنبه 13 مهر‌ماه سال 1389 ساعت 03:47 ب.ظ http://kpnuiess.blogfa.com

باعرض سلام خدمت دوستان گل رشته ی فناوری اطلاعات
اعضای انجمن با همکاری مجتمع آموزشی راهبرد در صدد برگزاری دوره های مورد نیاز رشته شمارا کرده اند لذا جهت اطلاعات بیش تر به این وبلاگ مراجعه شود
WWW.KPNUIESS.BLOGFA.COM

مسعود سه‌شنبه 13 مهر‌ماه سال 1389 ساعت 10:57 ب.ظ

با سلام.
بد نیست نگاهی هم به این بندازین:

http://www.ashiyane.org/forums/showthread.php?t=29426

اسامه : بررسی کردم جالب بود .... به دوستان هم توصیه میکنم حتما بخوننش

Hacker چهارشنبه 14 مهر‌ماه سال 1389 ساعت 12:08 ب.ظ

Very good

[ بدون نام ] چهارشنبه 14 مهر‌ماه سال 1389 ساعت 04:28 ب.ظ

خب دیگه ما به قول آقااحمدی نجاد میخوایم مدیریت جهانی کنیم پس باید از کرم استاکس نت شروع کنیم.

قاسم یکشنبه 18 مهر‌ماه سال 1389 ساعت 04:19 ب.ظ http://ghasemrayaneh.blogsky.com

سلام

واقعا مطلب جالبیه .

مرسی .

برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد