اخبار فن آوری اطلاعات

حمله یک ویروس رایانه ای به سیستم‌های صنعتی ایران

حمله یک ویروس رایانه ای به سیستم‌های صنعتی ایران

::  6 مرداد 1389  ::

«رایانه‌های ایرانی در معرض تاخت و تاز یک ویروس خطرناک» این خبری است که این روزها بر خروجی اکثر خبرگزاری‌های خارجی و داخلی قرار گرفته است.

در ابتدا گمان می‌رفت که این یک حمله معمولی مانند هزاران حمله ویروسی است که روزانه میلیون‌ها رایانه در سراسر جهان را مورد هدف قرار می‌دهد؛ اما گویا این حمله بسیار جدی بوده و برعکس همیشه، بیشتر رایانه‌های ایران، اندونزی و هندوستان را مورد هجوم خود قرار داده است. همچنین براساس گزارش‌های منتشر شده، رايانه‌هاي شخصي در ايران بيش از ديگر کشورها به کرم رايانه‌اي خطرناکی به نام SCADAکه به Stuxnet نیز شهرت دارد، آلوده شده است. گفتنی است که هدف این کرم رایانه‌ای سرقت اطلاعات از سیستم‌های کنترل صنعتی است. حتی برخی کارشناسان آن را نخستین تروجانی مي‌دانند که اطلاعات صنعتی را به سرقت مي‌برد.

نخستین ویروس صنعتی
شاید این اولین باری باشد که یک ویروس تا این سطح وسیع از رایانه‌های کشور را مورد حمله خود قرار می‌دهد، چرا که بر اساس اطلاعات جمع آوری شده توسط شرکت امنیتی سیمانتک در حدود 60 درصد از سیستم‌های رایانه‌ای که به این ویروس آلوده شده‌اند، در ایران قرار دارند.به گفته الیاس لووی، مدیر ارشد فنی بخش پاسخگویی ایمنی سیمانتک، با توجه به تاریخ نشانه‌های دیجیتالی که از این کرم رایانه‌ای به جا مانده، مي‌توان گفت این نرم‌افزار از ماه ژانویه سال جاری میان رایانه‌ها در گردش بوده است.Stuxnet ماه گذشته توسط یک شرکت بلاروسی به نام VirusBlockAda کشف شد. این شرکت در آن زمان اعلام کرد این ویروس را روی سیستم نرم‌افزاری یکی از مشتریان ایرانی خود کشف کرده است.

هدف: سیستم‌های کنترل پروژه زیمنس
نام زیمنس و سیستم‌های کنترل پروژه به این ویروس گره خورده است. به گفته کارشناسان امنیتی، این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانه‌های بزرگ تولیدی و صنعتی مورد استفاده قرار مي‌گیرد بوده و تلاش مي‌کند اسرار صنعتی رایانه‌های این کارخانه‌ها را روی اینترنت بارگذاری (Upload) کند.

در همین حال مشخص نیست، چرا بیشترین موارد آلودگی در ایران دیده شده است، هر چند این احتمال بسیار تقویت شده که این ویروس مخصوص صنایع ایران طراحی شده باشد. سیمانتک در این زمینه اعلام کرده نمي‌داند، چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگی‌های ویروسی قرار دارند. به گفته لووی، تنها مي‌توان گفت افرادی که این نرم‌افزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کرده‌اند.

شرکت زیمنس که نرم افزارهایش تحت حمله این ویروس قرار گرفته، تعداد مشتریان خود را در ایران اعلام نمي‌کند، اما به تازگی اعلام کرده دوشرکت آلمانی به واسطه این ویروس آلوده شده اند. بر اساس گزارش‌های منتشر شده نرم افزار آنتی‌ویروس رایگانی که طی چند روز گذشته روی وب سایت زیمنس قرار گرفته تاکنون هزار و 500 بار دانلود شده است.سیمانتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک به وجود آمده به منظور اتصال به سرورهای کنترل و فرمان کرم رایانه‌ای به سوی رایانه‌های خود جمع‌آوری کرده است. طی دوره‌ای سه روزه رایانه‌هایی که در 14 هزار آدرس IP حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان ارتباط برقرار کنند که این نشان مي‌دهد تعداد کمي‌از رایانه‌های خانگی در سرتاسر جهان به این کرم آلوده شده اند. تعداد دقیق رایانه‌های آلوده مي‌تواند در حدود 15 تا 20 هزار باشد، زیرا بسیاری از شرکت‌ها برای چند رایانه یک آدرس IP در نظر مي‌گیرند.به این دلیل که سيمانتك مي‌تواند آدرس‌های IP مورد استفاده سیستم‌های رایانه‌ای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، مي‌تواند تعیین کند کدام رایانه آلوده شده است. به گفته این شرکت، رایانه‌های آلوده شده به سازمان‌های متعددی تعلق داشتند که از نرم افزار و سیستم‌های SCADA استفاده مي‌کردند، ویژگی که به روشنی مورد هدف حمله هکرها بوده است.


بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای USB دار انتقال پیدا مي‌کند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا مي‌کند، کدهای آن به جست‌وجوی سیستم‌های زیمنس گشته و خود را روی هر ابزار USB دار دیگری که بیابد، کپی خواهد کرد.به نوشته سیمانتک دلیل اصلی تولید این ویروس مشخص نیست، اما انگیزه‌های جاسوسی صنعتی، تروریسم صنعتی یا حتی انگیزه‌های منفی برخی کارکنان و همچنین انگیزه‌های کشف اطلاعات محرمانه توسط رقبا ممکن است از جمله دلایل ایجاد این ویروس بوده باشد.


هشدار به کاربران ایرانی
براساس گزارش‌های منتشر شده در اکثر سایت‌های معتبر دنیا این بدافزار جاسوسي با سوء استفاده از يك آسيب‌پذيري جديد و اصلاح نشده در ويندوز، به سرعت در حال گسترش است.
در همین زمینه اسماعیل ذبیحی، مسوول اطلاع‌رسانی شرکت ایمن رایانه پندار، نماینده انحصاری شرکت پاندا در ایران می‌گوید: «‌ریشه گسترش اين ويروس این حفره امنیتی مربوط به شرکت مایکروسافت است و اگر این حفره امنیتی وجود نداشت این ویروس تا این حد گسترش پیدا نمی‌کرد، البته شرکت مایکروسافت اصلاحیه موقت خود را منتشر کرده و اگر کاربران از این اصلاحیه استفاده کنند به مشکلی بر نخواهند خورد.» وی در خصوص گسترش این بدافزار در کشور می‌گوید: «این ویروس تنها دستگاه‌های scada را مورد حمله قرار می‌دهد؛ یعنی سیستم‌های کنترل مدیریت پروژه در صنایع بزرگ. و از آنجایی که ایران در صنایع بزرگ از محصولات زیمنس استفاده می‌کند بنابراین بیشتر دچار آسیب شده است.‌ همچنین از آنجایی که این ویروس به صورت نامحسوس است بدون اینکه صاحبان صنایع متوجه شوند اطلاعات نشت پیدا می‌کند.» براساس اظهارات وی هنوز مشخص نیست که چرا ایران و شرکت زیمنس در این بین قربانی شده‌اند. همچنین به گفته وی 13 درصد آلودگی‌ها از طریق ایمیل و دانلود مستقیم از اینترنت صورت گرفته است و بیشترین عامل پخش این ویروس در ایران از طریق USB بوده است با این حال به گفته ذبیحی تاکنون تنها 2 درصد کامپيوتر کشور به این ویروس آلوده شده‌اند.


اما علی رضا صالحی، روابط عمومي‌‌شرکت کسپراسکای، بر این باور است که این بد افزار آن طور که رسانه‌ها آن را بزرگ جلوه می‌دهند، خطرناک نیست و مشکل جدی به وجود نخواهد آورد. وی در ادامه می‌گوید: «اين بدافزار جديد كه در واقع يك rootkit است، از يك آسيب پذيري در فايل‌هاي shortcut با پسوند .lnk سوء استفاده مي‌كند.


بدافزار مذكور نرم‌افزار Siemens WinCC Scada را كه روي ويندوز 7 نسخه Enterprise و سيستم‌هاي x86 اجرا مي‌شود، آلوده مي‌سازد. اين ويروس از طريق درايوهاي USB گسترش پيدا مي‌كند و زماني كه يك آيكون Shortcut روي صفحه نمايش قرباني نشان داده مي‌شود، به صورت اتوماتيك اجرا مي‌شود.» وی در ادامه می‌افزاید: «‌ هدف بدافزار مذكور گرفتن حق دسترسي مديريتي و دسترسي به داده‌هاي سيستم‌هاي Scada است كه معمولا توسط سازمان‌هاي داراي زيرساخت‌هاي حياتي مورد استفاده قرار مي‌گيرد. اين بدافزار از نام كاربري و كلمه عبوري كه در نرم‌افزار Siemens به صورت hard-coded وجود دارد، سوءاستفاده مي‌كند.» همچنین گفته می‌شود که این بدافزار جدید از یک امضای دیجیتالی مربوط به معتبرترین شرکت سخت‌افزاری یعنی Realtek Semiconductor Corporation براي اعتباردهي به درايورهاي خود استفاده مي‌كند.


به گفته صالحی پس از انتشار این بدافزار شرکت کسپر اسکای در 13 جولای، شرکت مکافی در 16 جولای و شرکت سیمانتک در 17 جولای آن را شناسایی و برای آن برنامه لازم را نوشته و انتشار داده اند.به گفته کارشناسان یکی از دلایل اصلی انتشار این بدافزار در کشور به ضعف سیستم امنیتی سازمان‌های از جمله سازمان‌های صنعتی کشور باز می‌گردد. در این خصوص صالحی می‌گوید: ‌« در سه سال اخیر توجه به حوزه امنیت پر رنگ‌تر شده و اغلب شرکت‌ها و سازمان‌های مهم و بزرگ به سمت استفاده از آنتی ویروس‌هاي اصل روی آورده‌اند. طبیعتا کسانی که از آنتی ویروس استاندارد و اصل استفاده می‌کنند مشکل چندانی نخواهند داشت، اما آن دسته از سازمانی‌هايي که از آنتی‌ویروس قفل شکسته استفاده می‌کنند طبیعتا با مشکل مواجه خواهند شد.» به باور وی این دسته از شرکت‌ها نه تنها در این مورد خاص بلکه در اکثر مواقع دچار مشکل می‌شوند و تنها راه‌حلی که این شرکت‌ها یا سازمان‌ها را می‌تواند در مقابل این حملات پشتیبانی کند این است که در کنار اختصاص دادن بودجه به سایر موارد سازمان خود به بخش امنيت اطلاعات خود نیز توجه ویژه‌ای نشان دهند.


صالحی در ادامه یادآور می‌شود از آن جایی که این ویروس، آن‌طور که گفته می‌شود خطرناک نیست کمتر کاربران خانگی را مورد هدف قرار می‌دهد، اما کاربران می‌توانند با استفاده از آنتی‌ویروس‌های اصل و استفاده از اصلاحیه شرکت مایکروسافت ضریب امنيت دستگاه خود را بالا ببرند.

................................................

منبع: itiran

تعداد مشاهده: 30 بار

:: عکس های پروژه های اجرا شده ::