ایتنا - درسی که میتوان از نحوه آلودگی Stuxnet گرفت این است که حمله کنندگان به خوبی اهداف خود یعنی شرکتهایی که هر کدام به نحوی با سازمان انرژی اتمی در تماس بودهاند را شناسایی و قدم به قدم دست به آلوده سازی آنها زدهاند.
نیما مجیدی حدود یک هفته پیش بود که مقالهای تحت وقتی همه خوابیم(قسمت اول) منتشر شد، حالا پس از گذشت یک هفته شرکت سیمانتک گزارشی تهیه کرده است تحت عنوان بدافزار "رجین" که به صورت پیشرفتهای از سال ۲۰۰۸ فعال بوده و مراکز مختلفی از شرکتهای خصوصی تا مراکز انرژی را هدف قرار داده است. اما بیشترین میزان آلودگی که توسط شرکت سیمانتک مشاهده شده است در مورد شرکتهای خصوصی به میزان ۴۸ درصد و شرکتهای مخابراتی به میزان ۲۸ درصد بوده است. در این میان سهمی هم شامل بخشهای تحقیقاتی، درمانی و خطوط هوایی بوده است. ایران هم باز مثل همیشه سهمی از میزان آلودگی را داشته است. نکته اصلی اینجاست که با قرار دادن قطعات این پازل در کنار هم میتوان به این نتیجه رسید که در حال حاضر نیز فعالیت بدافزارهای متنوعی در داخل ایران زیاد دور از ذهن نیست! و تا زمانی که شرکتهایی به واسطه روابط خود بحث امنیت اطلاعات را در داخل کشور انحصاری کردهاند و از تولید محصول بومی گرفته تا فروش محصولات خارجی هندی فعالیت میکنند هیچ پیشرفتی در مبارزه به حملات سایبری در کشور انجام نخواهد گرفت.
من گزارش منتشر شده را به دقت مطالعه کردهام و نکات مورد توجه در مورد Regin را در ادامه بیان خواهم کرد. همچنین در انتها به آخرین اطلاعات که برای اولین باز از نقاط شیوع بدافزار Stuxnet توسط شرکت کسپرسکی به تازگی منتشر شده است بیان خواهد شد.
فعالیت در سکوت این بدافزار حداقل از سال ۲۰۰۸ تا سال ۲۰۱۳ و شاید تا هم اکنون فعالیت داشته است. حدود دو نسخه اصلی اول و دوم و یک نسخه میانی تاکنون شناسایی شدهاند. متاسفانه به دلیل اینکه در برخی موارد بدافزار توسط تولید کنندگان آن پس از حمله و دزدی اطلاعات از سیستمها پاک شده فعلا نمیتوان اطلاعات بیشتری در این زمینه منتشر کرد. شاید نسخههای بیشتری تولید و در ۶ سال گذشته مورد استفاده قرار گرفته باشند.
اهداف متنوع تولید کنندگان این بدافزار به صورت خاص تنها بخش دولتی را مورد هدف قرار ندادهاند، حتی شرکتهای خصوصی هم مورد حمله قرار گرفتهاند. آلودگی به این بدافزار در ۱۰ کشور در حال حاضر مشخص شده است که ایران نیز در کنار کشورهایی دیگر مانند عربستان، روسیه، بلژیک، هند،... قرار گرفته است. سهم آلودگی ایران در حال حاضر به میزان ۵ درصد از کل میزان آلودگی شناسایی شده است.
نحوه آلودگی مشخص نیست دقیقا به چه نحوی سیستمهای قربانی به این بدافزار آلوده شدهاند. در برخی موارد به کمک سوءاستفاده از کد آسیب پذیری ناشناخته در برنامه Yahoo!Messenger و در برخی دیگر از موارد با سوءاستفاده از برنامههای مرورگر وب بر روی سیستمهای قربانیان نصب شدهاند. به هر حال برنامه Yahoo! Messenger در ایران مورد علاقه افراد بسیاری است و آلودگی از این نقطه زیاد دور از ذهن نیست.
پیچیدگی در ساختار بدافزار پس از انتشار بدافزارهایی مانند Stuxnet و Duqu و Flame که منابع ایران را به صورت مستقیم هدف قرار داده بودند و همگی از لحاظ پیچیدگی و نظم در ساختار تولید بدافزارهایی حرفهای محسوب میشدند حالا رجین (Regin) به همان سبک و دقیقا به همان شکل از پیچیدگی ظاهر شده است. این بدافزار پس از نصب از تمهیدات زیادی برای پنهان سازی خود استفاده کرده تا جایی که بخشی از اطلاعات خود را با استفاده از یک استاندارد مجازی سازی بر روی هارد دیسک ذخیره میکرده. یا حتی برای اتصال به سرویسهای کنترل و فرماندهی (C&C servers) از پروتکلهای UDP و حتی ICMP استفاده شده است.
سوالی که دوباره مطرح میشود: آیا زمان بیداری نیست!؟! یکی از سوالاتی که پس از انتشار Stuxnet ذهن من را به خود مشغول کرده بود نقاط اولیه شیوع آلودگی بدافزار Stuxnet بود. متاسفانه به علت عدم دسترسی به منابع لازم که به راحتی در اختیار برخی سازمانهای دیگر میباشد هیچوقت مشخص نشد. خبرهایی مبنی بر آلودگی توسط افراد نامشخص در همان ابتدا منتشر شد که متاسفانه در حد تیتر خبری برخی خبرگزاریها باقی ماند و به تاریخ پیوست. شرکت سیمانتک به دلیل در دسترس داشتن کنترل سرورهای اصلی C&C و بررسی ترافیک دریافتی از سیستمهای آلوده در داخل ایران توانست در مقالهای که در سال ۲۰۱۱ منتشر کرد ۵ نقطه اصلی را به عنوان نقاط اولیه شیوع آلودگی مطرح نماید. اما بدون عنوان نام آنها که بیشک به دلایل سردرگم کردن محققان داخلی کشور بوده است.
حالا شرکت کسپرسکی بعد از دو سال و بررسی بیش از ۲۰۰۰۰ نمونه بدافزار نام شرکتهای اولیه که در داخل ایران آلوده شدهاند را به صورت عمومی در مقالهای منتشر کرده است. ۲۲ ژوئن ۲۰۰۹ - اول تیر ۱۳۸۸ : اولین آلوده سازی شرکت مهندسی بین المللی فولاد تکنیک(سهامی خاص) ۷ جولای ۲۰۰۹ – شانزدهم تیر ۱۳۸۸ : آلوده سازی گروه صنعتی ندا جولای سال ۲۰۰۹ – تیر ۱۳۸۸ : آلوده سازی شرکت کنترل گستر جاهد – به علت گستردگی فعالیت این شرکت شیوع بدافزار توسط طراحان آن متوقف میشود تا سیستمهایی در خارج از ایران یا نقاط دیگر ایران آلوده نشوند و حمله همچنان در سکون پپش برود. ماه مه-مارس ۲۰۱۰ – اسفند، اردیبهشت ۱۳۸۹ : آلوده سازی شرکت مهندسی بهپژوه(مجری پروژههای EPC) در ماه آوریل انتقال آلوده سازی به شرکت فولاد مبارکه به دلیل گستردگی فعالیت این شرکت ۱۱ مه ۲۰۱۰ – ۲۱ اردیبهشت ۱۳۸۹ : شروع آلودگی در سطح بالا در شرکت کالای الکترونیک
درسی که میتوان از نحوه آلودگی Stuxnet گرفت این است که حمله کنندگان به خوبی اهداف خود یعنی شرکتهایی که هر کدام به نحوی با سازمان انرژی اتمی در تماس بودهاند را شناسایی و قدم به قدم دست به آلوده سازی آنها زدهاند و سپس پس از جمعآوری اطلاعات قدم بعدی را برداشتهاند. حتی در مواردی که به این نتیجه رسیدهاند که ممکن است شیوع بدافزار در یک شرکت به لو رفتن حمله منجر شود از شیوع بیشتر آن جلوگیری کردهاند. پس باید در مواردی این چنینی اگر سازمانی به صورت گسترده در حال فعالیت با شرکتهای دیگر است باید پروتکلهای امنیتی پیشرفتهای را تهیه کند تا تبادل اطلاعات قابل ذخیره سازی باشد تا در آینده بتوان در کشف حملات از این اطلاعات استفاده کرد؛ و همانطور که مشاهده میشود همیشه محدود سازی تاثیر مثبتی نخواهد داشت.
نکته پایانی: هیچ لزومی ندارد وقتی دنیا اطلاعات از دست رفته است وقت خود را برای مخفی کاری و نفی کردن حقیقت صرف کنیم، بلکه برای پیشگیری از اتفاقات آتی از این تجارب استفاده کنیم.