داخلی امنيت مقاله
کد مطلب: 33370
Share/Save/Bookmark
وقتی همه خوابیم(۲)
 
چهارشنبه ۵ آذر ۱۳۹۳ ساعت ۱۲:۳۷
 
ایتنا - درسی که می‌توان از نحوه آلودگی Stuxnet گرفت این است که حمله کنندگان به خوبی اهداف خود یعنی شرکت‌هایی که هر کدام به نحوی با سازمان انرژی اتمی در تماس بوده‌اند را شناسایی و قدم به قدم دست به آلوده سازی آنها زده‌اند.


نیما مجیدی
حدود یک هفته پیش بود که مقاله‌ای تحت وقتی همه خوابیم(قسمت اول) منتشر شد، حالا پس از گذشت یک هفته شرکت سیمانتک گزارشی تهیه کرده است تحت عنوان بدافزار "رجین" که به صورت پیشرفته‌ای از سال ۲۰۰۸ فعال بوده و مراکز مختلفی از شرکت‌های خصوصی تا مراکز انرژی را هدف قرار داده است.
اما بیشترین میزان آلودگی که توسط شرکت سیمانتک مشاهده شده است در مورد شرکت‌های خصوصی به میزان ۴۸ درصد و شرکت‌های مخابراتی به میزان ۲۸ درصد بوده است. در این میان سهمی هم شامل بخش‌های تحقیقاتی، درمانی و خطوط هوایی بوده است.
ایران هم باز مثل همیشه سهمی از میزان آلودگی را داشته است.
نکته اصلی اینجاست که با قرار دادن قطعات این پازل در کنار هم می‌توان به این نتیجه رسید که در حال حاضر نیز فعالیت بدافزار‌های متنوعی در داخل ایران زیاد دور از ذهن نیست! و تا زمانی که شرکت‌هایی به واسطه روابط خود بحث امنیت اطلاعات را در داخل کشور انحصاری کرده‌اند و از تولید محصول بومی گرفته تا فروش محصولات خارجی هندی فعالیت می‌کنند هیچ پیشرفتی در مبارزه به حملات سایبری در کشور انجام نخواهد گرفت.

من گزارش منتشر شده را به دقت مطالعه کرده‌ام و نکات مورد توجه در مورد Regin را در ادامه بیان خواهم کرد. همچنین در انتها به آخرین اطلاعات که برای اولین باز از نقاط شیوع بدافزار Stuxnet توسط شرکت کسپرسکی به تازگی منتشر شده است بیان خواهد شد.

فعالیت در سکوت
این بدافزار حداقل از سال ۲۰۰۸ تا سال ۲۰۱۳ و شاید تا هم اکنون فعالیت داشته است. حدود دو نسخه اصلی اول و دوم و یک نسخه میانی تاکنون شناسایی شده‌اند.
متاسفانه به دلیل اینکه در برخی موارد بدافزار توسط تولید کنندگان آن پس از حمله و دزدی اطلاعات از سیستم‌ها پاک شده فعلا نمی‌توان اطلاعات بیشتری در این زمینه منتشر کرد.
شاید نسخه‌های بیشتری تولید و در ۶ سال گذشته مورد استفاده قرار گرفته باشند.

اهداف متنوع
تولید کنندگان این بدافزار به صورت خاص تنها بخش دولتی را مورد هدف قرار نداده‌اند، حتی شرکت‌های خصوصی هم مورد حمله قرار گرفته‌اند. آلودگی به این بدافزار در ۱۰ کشور در حال حاضر مشخص شده است که ایران نیز در کنار کشور‌هایی دیگر مانند عربستان، روسیه، بلژیک، هند،... قرار گرفته است.
سهم آلودگی ایران در حال حاضر به میزان ۵ درصد از کل میزان آلودگی شناسایی شده است.

نحوه آلودگی
مشخص نیست دقیقا به چه نحوی سیستم‌های قربانی به این بدافزار آلوده شده‌اند. در برخی موارد به کمک سوءاستفاده از کد آسیب پذیری ناشناخته در برنامه Yahoo!Messenger و در برخی دیگر از موارد با سوءاستفاده از برنامه‌های مرورگر وب بر روی سیستم‌های قربانیان نصب شده‌اند. به هر حال برنامه Yahoo! Messenger در ایران مورد علاقه افراد بسیاری است و آلودگی از این نقطه زیاد دور از ذهن نیست.

پیچیدگی در ساختار بدافزار
پس از انتشار بدافزارهایی مانند Stuxnet و Duqu و Flame که منابع ایران را به صورت مستقیم هدف قرار داده بودند و همگی از لحاظ پیچیدگی و نظم در ساختار تولید بدافزار‌هایی حرفه‌ای محسوب میشدند حالا رجین (Regin) به همان سبک و دقیقا به همان شکل از پیچیدگی ظاهر شده است.
این بدافزار پس از نصب از تمهیدات زیادی برای پنهان سازی خود استفاده کرده تا جایی که بخشی از اطلاعات خود را با استفاده از یک استاندارد مجازی سازی بر روی هارد دیسک ذخیره می‌کرده. یا حتی برای اتصال به سرویس‌های کنترل و فرماندهی (C&C servers) از پروتکل‌های UDP و حتی ICMP استفاده شده است.

سوالی که دوباره مطرح می‌شود: آیا زمان بیداری نیست!؟!
یکی از سوالاتی که پس از انتشار Stuxnet ذهن من را به خود مشغول کرده بود نقاط اولیه شیوع آلودگی بدافزار Stuxnet بود. متاسفانه به علت عدم دسترسی به منابع لازم که به راحتی در اختیار برخی سازمان‌های دیگر می‌باشد هیچوقت مشخص نشد. خبرهایی مبنی بر آلودگی توسط افراد نامشخص در همان ابتدا منتشر شد که متاسفانه در حد تیتر خبری برخی خبرگزاری‌ها باقی ماند و به تاریخ پیوست.
شرکت سیمانتک به دلیل در دسترس داشتن کنترل سرورهای اصلی C&C و بررسی ترافیک دریافتی از سیستم‌های آلوده در داخل ایران توانست در مقاله‌ای که در سال ۲۰۱۱ منتشر کرد ۵ نقطه اصلی را به عنوان نقاط اولیه شیوع آلودگی مطرح نماید. اما بدون عنوان نام آنها که بی‌شک به دلایل سردرگم کردن محققان داخلی کشور بوده است.

حالا شرکت کسپرسکی بعد از دو سال و بررسی بیش از ۲۰۰۰۰ نمونه بدافزار نام شرکت‌های اولیه که در داخل ایران آلوده شده‌اند را به صورت عمومی در مقاله‌ای منتشر کرده است.
 ۲۲ ژوئن ۲۰۰۹  - اول تیر ۱۳۸۸ : اولین آلوده سازی شرکت مهندسی بین المللی فولاد تکنیک(سهامی خاص)
۷  جولای  ۲۰۰۹ – شانزدهم تیر ۱۳۸۸ : آلوده سازی گروه صنعتی ندا
جولای سال ۲۰۰۹  – تیر ۱۳۸۸ : آلوده سازی شرکت کنترل گستر جاهد – به علت گستردگی فعالیت این شرکت شیوع بدافزار توسط طراحان آن متوقف می‌شود تا سیستم‌هایی در خارج از ایران یا نقاط دیگر ایران آلوده نشوند و حمله همچنان در سکون پپش برود.
ماه مه-مارس ۲۰۱۰ – اسفند، اردیبهشت ۱۳۸۹ : آلوده سازی شرکت مهندسی بهپژوه(مجری پروژه‌های EPC) در ماه آوریل انتقال آلوده سازی به شرکت فولاد مبارکه به دلیل گستردگی فعالیت این شرکت
۱۱  مه ۲۰۱۰ – ۲۱ اردیبهشت ۱۳۸۹ : شروع آلودگی در سطح بالا در شرکت کالای الکترونیک

درسی که می‌توان از نحوه آلودگی Stuxnet گرفت این است که حمله کنندگان به خوبی اهداف خود یعنی شرکت‌هایی که هر کدام به نحوی با سازمان انرژی اتمی در تماس بوده‌اند را شناسایی و قدم به قدم دست به آلوده سازی آنها زده‌اند و سپس پس از جمع‌آوری اطلاعات قدم بعدی را برداشته‌اند. حتی در مواردی که به این نتیجه رسیده‌اند که ممکن است شیوع بدافزار در یک شرکت به لو رفتن حمله منجر شود از شیوع بیشتر آن جلوگیری کرده‌اند.
پس باید در مواردی این چنینی اگر سازمانی به صورت گسترده در حال فعالیت با شرکت‌های دیگر است باید پروتکل‌های امنیتی پیشرفته‌ای را تهیه کند تا تبادل اطلاعات قابل ذخیره سازی باشد تا در آینده بتوان در کشف حملات از این اطلاعات استفاده کرد؛ و همانطور که مشاهده می‌شود همیشه محدود سازی تاثیر مثبتی نخواهد داشت.

نکته پایانی: هیچ لزومی ندارد وقتی دنیا اطلاعات از دست رفته است وقت خود را برای مخفی کاری و نفی کردن حقیقت صرف کنیم، بلکه برای پیشگیری از اتفاقات آتی از این تجارب استفاده کنیم.

منابع :
http://blog.kaspersky.com/stuxnet-victims-zero

http://www.theregister.co.uk/2014/11/24/regin

http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf