كرم جاسوس به نيروگاه بوشهر نرسيد؛ آماده‌باش براي پاك‌سازي استاك

واضح آرشیو وب فارسی:سایت رسیک: با آلوده شدن تعداد بسياري از سيستم‌هاي رايانه‌يي صنعتي كشور به كرم جاسوس استاكس‌نت اين سوال به‌وجود آمده كه پاك‌سازي سيستم‌هاي آلوده شده در چه مرحله‌ايست و آيا مي‌توان اميدوار بود كه به زودي شاهد ارتقاي حوزه امنيت اطلاعات كشور باشيم؟

در شرايطي كه هر روز شاهد روند صعودي ورود ويروس‌هاي رايانه‌يي به محيط سايبر هستيم كه به دغدغه‌هاي كاربران براي استفاده از اينترنت مي‌افزايد؛ استاكس‌نت كرم جاسوسگري بود كه توانست خودش را در دل سيستم‌هاي بخش صنعت به صورت پنهاني حدود 8 ماه جا كند، بدون اينكه فردي متوجه حضور ويروسي در سيستم‌ها شود.

تقريبا 2 ماه پيش بود كه مسوولان صنعتي به دليل تداخلات ايجادي در سيستم‌ها وجود ويروسي در آن‌ها را حدس زدند كه موجبات آن رخ نمودن ويروس استاكس‌نت بود كه معلوم نبود تا آن موقع به چه اعمال خرابكارانه‌اي دست زده است!

مدير كل دفتر صنايع برق، الكترونيك و فن‌آوري‌ اطلاعات وزارت صنايع و معادن بعد از اعلام چنين ويروسي در سيستم‌هاي صنعتي كشور اعلام كرد كه منشاء ورود آن سيستم‌هاي اسكاداي زيمنس بوده است و در پاسخ به اين سوال كه آيا شركت‌هاي داخلي از آنتي‌ويروس طراحي شده توسط شركت زيمنس استفاده مي‌كنند؟ عنوان كرد: استفاده از آنتي‌ويروس زيمنس را توصيه نمي‌كنيم، زيرا اگر پشت طراحي كرم جاسوس استاكس‌نت‌ اراده دولتي وجود داشته باشد، ممكن است چنين اراده‌اي در شركت زيمنس نيز به شكل ديگري وجود داشته باشد.

حال كه اين كه كرم جاسوس توانسته به داخل كشور نفوذ كند بد نيست كه با روش‌هاي شيوع ، گسترش و عملكرد آن از ديد كارشناساتن مباحث امنيتي آشنا شويم تا شايد عاملي باشد براي اين‌كه براي ارتقاي امنيت منتظر بروز چنين ويروس‌هايي ننشينيم و قبل از گرفتاري به فكر راهكار باشيم.

به گفته يكي از محققان سيمانتك، اين حقيقت كه آلودگي به اين كرم در ايران بيش‌تر از هر نقطه ديگر جهان است، ما را به اين فكر مي‌اندازد كه اين تهديد ايران را هدف گرفته بود و در ايران هدف بسيار بسيار باارزشي براي كسي كه اين برنامه مخرب را نوشته، وجود داشته است.

حتي اين گمان وجود دارد كه اين كرم ماموريت مختل كردن نيروگاه برق هسته‌يي بوشهر يا تاسيسات غني‌سازي اورانيوم نطنز را داشته است. اگرچه اذعان شده كه شواهد كافي براي نتيجه‌گيري در مورد آنچه كه هدف اين كرم بوده يا كساني كه آن را ساخته‌اند، وجود ندارد.

اما رييس سازمان انرژي اتمي در ارتباط با جوسازي رسانه‌هاي غربي مبني بر نفوذ ويروس به سيستم‌هاي كامپيوتري نيروگاه بوشهر گفت: از يك سال پيش اقدامات حفاظتي و مصونيت‌سازي كامپيوترها را آغاز كرديم و از دو ماه پيش نيز با پيش‌بيني‌هاي قبلي اقدامات لازم را جهت جلوگيري از ورود ويروس تشديد كرديم.

علي‌اكبر صالحي در پاسخ به سوال خبرنگار ايسنا مبني بر اين‌كه يكي از مسوولان نيروگاه بوشهر اعلام كرده كه فقط لپ‌تاپ‌هاي شخصي برخي از كاركنان اين نيروگاه هدف ويروس قرار گرفته و آلوده شده است، گفت: همان‌طور كه اشاره كردم اين آلودگي به سيستم اصلي ما نرسيده و در برخي از لپ‌تاپ‌هاي شخصي مشاهده شده كه اقدامات لازم نيز در اين ارتباط انجام شده ولي سيستم اصلي ما پاك است.

محمود جعفري - مجري طرح نيروگاه اتمي بوشهر - هم در اين باره به شبكه العالم گفته بود: كرم جاسوس استاكس‌نت هيچ خسارتي به سيستم‌هاي اصلي نيروگاه اتمي بوشهر نزده است و در ادامه افزود: كليه رايانه‌هاي نيروگاه در حال انجام كار طبيعي خود هستند.

با توجه به سطح بالاي پيشرفتگي استاكس نت، برخي اين گمان را مطرح كرده‌اند كه استاكس‌نت از سوي هكرهايي طراحي شده كه مورد حمايت دولتي قرار داشته‌اند و در اين ميان برخي به آمريكا و برخي ديگر به رژيم صهيونيستي به عنوان عامل ساخت اين كرم اينترنتي اشاره كرده‌اند.

علت گسترش كرم جاسوس چه بود؟

هرچند اين ويروس در چند ماه اخير قد و قامتي در برابر صنعت ما بلند كرده است اما اكثر كارشناسان ورود اين ويروس به سيستم‌ها را بسيار ساده و اكثرا از طريق حافظه‌هاي USB عنوان مي‌كنند هرچند عده‌اي هم نبود قانون كپي‌رايت در كشور را عامل مهمي براي بروز چنين حوادثي مي‌دانند، ولي به هر حال بايد دانست هرچند به دور از عقل به نظر مي‌رسد اما همين ويروس به راحتي از طريق فلش وارد رايانه شده و موجب گسترش خود ميشود.

شكل‌گيري استاكس‌نت در سيستم‌ها به علت ضعف در سيستم‌هاي اسكاداي زيمنس عنوان شده و به همين دليل از آنتي ويروس‌هاي ساخت آن شركت به‌خاطر برخي سوء نيت‌هاي دولتي استفاده نشده است، عليرضا صالحي - قائم مقام کميسيون افتاي سازمان نظام صنفي رايانه‌يي - معتقد است كه شبكه‌هاي ما تا قبل از بروز اين مشكل چون با ويندوز كار نمي‌كردند، زياد در معرض آلودگي و خطر نبودند و به همين خاطر بحث امنيت آن‌ها جدي نبود اما زماني كه پلت‌ فرم سيستم‌ها به ويندوز تغيير يافت، سوءاستفاده از حفره‌هاي امنيتي ويندوز گسترش يافت.

در اين باره پاتريك فيتز جرالد - مدير تهديد هوشمند سيمانتك - نيز بيان كرده است كه كرم استاكس‌نت براي نخستين بار در نيمه ماه ژوييه ظاهر و از طريق دستگاه‌هاي USB آلوده منتشر شده و براي هدف گرفتن شركت‌هايي كه از سيستم‌هاي SCADA استفاده مي‌كنند، طراحي شده بود.

سيستم‌هاي SCADA سيستم‌هايي صنعتي هستند كه براي كنترل روند ساخت از مكان‌هاي مركزي به‌عنوان مثال براي تغيير سرعت كار موتور يك دستگاه در كارخانه يا فشار در يك خط لوله مورد استفاده قرار مي‌گيرند و محيط‌هاي معمولي استفاده آن ممكن است خطوط لوله نفت يا نيروگاه‌هاي برق باشند.

آنتي‌ويروس‌ها متوجه كرم نشدند!

سوال اكثر افراد فعال در حوزه امنيت در ابتداي طرح اين موضوع اين بود كه چرا هيچ واكنشي و يا ترديدي از سوي آنتي ويروس‌هاي فعال برروي سيستم ها شكل نگرفته است كه حميدرضا سعدي - مدير شركت توليدكننده آنتي‌ويروس - در اين باره گفت: علت شناخته نشدن اين ويروس توسط آنتي‌ويروس‌هاي خارجي، جديد بودن آن است اما باز هم مي‌توانستند با روش اكتشافي كه از خود ارائه مي‌دهند، در جهت شناسايي آن اقدام كنند.

اين كارشناس امنيت شبكه تاكيد كرد: هم‌اكنون با گذشتن بيش از شش يا هفت ماه از پخش بودن و آزاد گشتن اين ويروس در سيستم‌هاي صنعتي، يك آنتي ويروس بلاروسي توانسته كد مقابله با آن را پيدا و به عموم اطلاع‌رساني كند تا ديگر آنتي‌ويروس‌ها هم بتوانند از آن كد استفاده كنند.

او با بيان اينكه كد جاسوس‌افزاري كه براي اين ويروس نوشته شده مميزي شده است، ادامه داد: مميزي شدن به اين معني كه به آنتي‌ويروس‌ها گفته شده كه اين ويروس را رصد نكنند تا به عنوان يك كد درست بتواند به فعاليت خودش ادامه دهد.

هرچند اين شيوه در فعاليت بخش‌هايي مثل پليس اينترپل وجود دارد، اما بايد دانست كه مميزي كردن بعضي موضوعات توسط آن‌ها درباره جرائم رايانه‌يي و يا كنترل‌هاي شهروندي كشورهاست.

چگونگي جاسوسي استاكس‌نت

فرضياتي در ميان كارشناسان مباحث امنيت شبكه درباره چگونگي گسترش اين ويروس بر روي شبكه‌ها وجود داشت كه محسن براتي - عضو هيات علمي دانشگاه - با بيان اين‌كه هدف اصلي ويروس استاكس‌نت اختلال در كارها و زيرساخت‌هاي بزرگ صنعتي بوده است، اظهار كرد: ‌اين ويروس با حفره‌اي امنيتي كه در ويندوز به‌وجود مي‌آيد، به حالت يك كرم اطلاعاتي به سرقت اطلاعات مي‌پردازد و ارگان‌هايي كه بانك‌هاي اطلاعاتي بدون حفاظت ويژه‌اي در پروژه‌هاي خود دارند، به راحتي مورد حمله اين كرم قرار مي‌گيرند.

وي ورود اين كرم در سيستم‌ها را گاهي توسط BACKDOOR دانست و خاطر نشان كرد: اين ويروس حدود هشت ماه است كه در سيستم‌ها نفوذ كرده اما تنها حدود سه ماه است كه از وجود آن آگاه شديم و با قطعيت نمي‌توان گفت كه هدف اين جاسوسي فقط كشور ايران بوده و با آماري كه ارائه شده 60 درصد كشور ايران، 20 درصد مالزي و هند جزو كشورهاي آسيب خورده بوده‌اند.

پژوهش شركت امنيتي سيمانتك نيز نشان داده است اين كرم از دستگاهي به دستگاه ديگر مي‌رود تا سرانجام سيستمي را بيابد كه SCADA در آن قرار دارد و از طريق يك سيستم كنترل و فرمان به نفوذگر گزارش مي‌دهد و دو آسيب‌پذيري ديگر براي دسترسي ويژه مورد بهره‌برداري قرار مي‌گيرند.

ولي‌الله قديمي - كارشناس رسمي دادگستري در امور ICT و جرايم رايانه‌يي درباره اين موضوع گفت: گزارش‌هايي مبني بر گسترش اين ويروس در سيستم‌هاي رايانه‌يي صنعتي كشور ارائه شده است؛ با نفوذ چنين كرم‌هاي جاسوسگري، اطلاعات تكنولوژيكي صنعتي به خارج از كشور منتقل شده و مسير را براي خرابكاري‌هاي كشورهاي بيگانه هموار مي‌سازد تا بتوانند در روند حركتي صنايع كشور هم‌چون نفت و گاز و صنايع مرتبط با تامين انرژي و مواد اوليه، اختلال به‌وجود آورند.

چرا صنعت؟

موضوع ظريفي كه وجود دارد اينكه حمله اين كرم جاسوسگر به سيستم‌هاي صنعتي كشور است، زيرا معمولا بخش‌هاي حساس‌تري در هر كشوري براي هكرها از قبيل بخش‌هاي دفاعي وجود دارد كه معمولا مورد هجوم قرار مي‌گيرند ولي اين بار چرا صنعت؟

محسن براتي - كارشناس فن‌آوري اطلاعات - سيستم‌هاي نظامي را بسته و راه نفوذ اين ويروس به آن‌ها را تقريبا غيرممكن دانست و ابراز كرد: ‌حدود 75 درصد تهاجمات و حمايت سايبري كه در كشور اتفاق مي‌افتد زير نظر آمريكا و اسراييلي‌ها به وقوع مي‌پيوندد و تنها 25 درصد مربوط به چين، ‌كره و ديگر كشورهاست.

به اعتقاد كارشناسان حفاظت‌هاي فعلي سيستم‌هاي صنعتي چه سخت‌افزاري و چه نرم‌افزاري نسبت به رايانه‌هاي شخصي خيلي ضعيف‌تر است و دليل آن فراواني رايانه شخصي يا خانگي است كه دست هكران را براي خود باز گذاشته است و درنتيجه اقدامات حفاظتي آن‌ها هم به مراتب بالاتر از سيستم‌هاي صنعتي است، شايد كمبود اطلاعات از سيستم‌هاي صنعتي عامل ديگري باشد كه ويروس‌نويسان اين حوزه چندان رشدي نداشته‌اند.

اين درحاليست كه دبير شوراي فن‌آوري اطلاعات وزارت صنايع و معادن كينه‌توزي‌هاي برخي كشورها و دشمنان، را عامل اصلي چنين حملات مخربي مي‌داند و اهتمام بيش از پيش مسوولان در زمينه امنيت فضاي سايبري در بخش‌هاي مختلف از جمله بخش صنعت و معدن كشور را مؤثر مي داند.

ميزان آلودگي سيستم‌ها

گزارش‌هاي متعدد برخي از شركت‌هاي امنيتي چه در داخل كشور و چه در خارج و حتي طبق گفته برخي از مسوولان حاكي از آلودگي بيش از 60 درصد سيستم‌هاي صنعتي به اين جاسوسگر دارد و اين در شرايطي است كه برخي كارشناسان نظر دقيق خود را اعلام

نمي‌كنند زيرا معتقدند كه به دليل سيستم بسته اطلاعاتي صنايع كشور اعداد و ارقام دقيقي از سوي خود اين سازمان بيان نشده است.

عليرضا صالحي - كارشناس امنيت شبكه - با بيان اينكه گزارش‌هاي مختلف از آلودگي حدود 15 تا 30 هزار IP توسط ويروس استاكس‌نت حكايت مي‌كند، گفت: با اين وجود حدود 30 هزار شبكه با تعداد محدود يا وسيعي از رايانه به اين ويروس آلوده شده است.

حميدرضا سعدي هم درباره اين موضوع معتقد است كه كد جاسوس‌افزار كرم استاكس نت مميزي شده است و آمار نزديك به يقيني از سوي يک شرکت ضدويروس خارجي مبني بر ارسال تعداد 8200 IP VALID (آي‌پي‌هاي شناخته شده در كل جهان) از كشور ارائه شده است.

چگونه پاكسازي كنيم؟

حال نوبت به ارائه راهكارهايي براي پاكسازي آن از سيستم‌هاي صنعتي مي‌رسد كه براتي در اين باره معتقد است هرچند استانداردهايي تحت عنوان ايزو 27000 را هم داريم اما متاسفانه اصول و الزامات توسط توليدكنندگان و پشتيبانان رعايت نمي‌شود و بايد نگرشي جديد به مباحث نرم‌افزاري و سخت‌افزاري تكنولوژيكي در كشور و سازمان‌ها اتفاق بيفتد و مورد بازبيني مجدد قرار بگيرند و بهترين راهكار حتي براي كاهش خسارات ناشي از ويروس‌ها و حملات سايبري، طراحي و ساخت يك آنتي‌ويروس بومي است.

كارشناسان بر اين عقيده‌اند كه در كنار مجموعه‌هاي دولتي فعال در حوزه امنيت، توليد يك ضد ويروس بومي اهميت خودش را نشان مي‌دهد و اعتماد به برخي توليدات خارجي از بين مي‌رود و تنها با سرمايه‌گذاري در حوزه توليد و حمايت محصولات داخلي مي‌توان سطح علمي و عملياتي مجموعه‌هاي داخلي كشور را حفظ كرد و فراتر از حال حاضر برد.

هرچند در ابتداي مشخص شدن حمله اين ويروس محمود ليايي - مديركل دفتر صنايع برق، الكترونيك و فن‌آوري‌ اطلاعات وزارت صنايع و معادن - خبر از توليد آنتي ويروس كرم جاسوس استاكس‌نت توسط دو شركت داخلي داد ولي طبق آمارها تاكنون آنتي ويروسي از داخل كشور آنطور كه بايد درصدد رفع معضلات استاكس نت برنيامده است.

در هر حال در اواخر ماه گذشته نشست بررسي ويروس‌هاي صنعتي با تمركز بر جاسوس‌افزار صنعتي استاكس‌نت و راه‌هاي پيشگيري،‌ پاكسازي و ايمن‌سازي سيستم‌هاي صنعتي آسيب‌پذير از حملات امنيتي با حضور معاونان، ‌مشاوران و مديران كل وزارت صنايع و معادن برگزار شد و كارشناسان اميدوارند برگزاري نشست‌هايي اين چنين هر چه زودتر تاثير به‌سزايي در كاهش تخريب حملات ويروسي به فضاي مجازي و سايبري صنعت كشور داشته باشد.

ظاهرا متخصصان سازمان انرژي اتمي و وزارت مخابرات دست به دست هم دادند، از يك اشراف و اطلاعات خوبي برخوردار شدند و به خوبي توانستند با اين ويروس مقابله كنند و اين امر باعث شد كه ما به خيلي از اقدامات فني ديگر نيز دست پيدا كنيم.

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت رسیک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 173]