استاکس‌نت

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به: ناوبری، جستجو
تاثیر استاکس‌نت بر کشورها[۱]

استاکس‌نت (به انگلیسی: Stuxnet) یک بدافزار رایانه‌ای (طبق نظر شرکت‌های نرم‌افزار امنیت رایانه‌ای: کرم رایانه‌ای[۲][۳] یا تروجان[۴]) است که اولین‌بار در تاریخ ۱۳ ژوئیه ۲۰۱۰ توسط ضدویروس وی‌بی‌ای۳۲ شناسایی شد.[۵] این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی، فایل‌های با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس می‌باشد را جمع‌آوری کرده و به یک سرور خاص ارسال می‌کند.[۶]

براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنی‌سازی اورانیوم نطنز بوده‌است.[۷]

در اواخر ماه مه ۲۰۱۲ رسانه های آمریکایی اعلام کردند که استاکس‌نت مستقیماً به دستور اوباما رئیس جمهور آمریکا طراحی، ساخته و راه اندازی شده.[۸]گرچه در همان زمان احتمال این می‌رفت که آمریکا تنها عامل سازنده نباشد.[۹] در ژوئیه سال ۲۰۱۳ میلادی، ادوارد اسنودن اعلام کرد این بد افزار با همکاری مشترک آمریکا و اسرائیل ساخته شده است.[۱۰][۱۱]

انتشار[ویرایش]

این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت.[۶] نخستین بار کارشناسان کامپیوتری بلاروس متوجه وجود ویروسی شدند که هدف آن سامانه‌های هدایتگر تأسیسات صنعتی با سیستم عامل ویندوز است.[۱۲] کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشته‌اند[۱۳] و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.[۱۴] این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده می‌کند.[۱۵] روزنامه نیویورک تایمز در تاریخ ۱۶ ژانویه ۲۰۱۱ میلادی، در مقاله‌ای مدعی شد که «اسرائیل استاکس‌نت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابه‌ای که ایران از آن‌ها در تاسیسات غنی‌سازی اورانیوم نطنز استفاده می‌کند، با موفقیت آزمایش کرده‌بود».[۱۶] این در حالی‌ست که دولت اسرائیل یا دولت آمریکا هیچ‌گاه به طور رسمی دست‌داشتن در انتشار استاکس‌نت را تایید نکرده‌اند.[۱۷]

وزیر ارتباطات ایران در آبان ۱۳۸۹ اعلام کرد که رایانه‌های آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشاء ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظه‌های جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کرده‌اند.[۱۸] هفته‌نامهٔ اشپیگل در مقاله‌ای این احتمال را مطرح کرده است که این ویروس ناخواسته توسط کارشناسان شرکت اتم استروی اکسپورت روسیه و به وسیله یک حافظه جانبی فلش به رایانه‌های نیروگاه اتمی بوشهر منتقل شده است.[۱۲] به گفته خبرگزاری تابناک این فرد جاسوس دوجانبه ایرانی و عضو سازمان مجاهدین خلق ایران است که حافظه را به تجهیزات ایران وارد کرده‌است[۱۹].

کشورهای آسیب‌دیده[ویرایش]

یک مطالعه درباره گسترش استاکس‌نت که توسط سیمانتک انجام گرفت، نشان داد که کشورهای آسیب دیده اصلی در روزهای اولیه انتشار ویروس، ایران، اندونزی و هند بودند:[۲]

کشور کامپیوترهای آلوده‌شده
ایران ۵۸٫۸۵%
اندونزی ۱۸٫۲۲%
هند ۸٫۳۱%
آذربایجان ۲٫۵۷%
ایالات متحده ۱٫۵۶%
پاکستان ۱٫۲۸%
دیگر ۹٫۲%

عملکرد[ویرایش]

استاکس‌نت از طریق رایانامه و حافظه‌های جانبی منتشر می‌شود.این بدافزار پس از آلوده ساختن سیستم، فایل‌های زیر را در سیستم کپی می‌نماید:

  1.  %Windir%\inf\mdmcpq3.PNF
  2.  %Windir%\inf\mdmeric3.PNF
  3.  %Windir%\inf\oem6C.PNF323
  4.  %Windir%\inf\oem7A.PNF
  5.  %windir%\system32\drivers\mrxcls.sys
  6.  %windir%\system32\drivers\mrxnet.sys

و برای راه‌اندازی سرویس‌های خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب می‌کند:

  1. HKLM\System\CurrentControlSet\Services\Services\MRxNet
  2. HKLM\System\CurrentControlSet\Services\Services\MRxCls

سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق می‌کند و پس از جمع آوری اطلاعات مربوط به شبکه‌ها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وب‌گاه‌های زیر از طریق راه دور می‌کند:

  • www.windowsupdate.com
  • www.msn.com
  • www.mypremierfutbol.com
  • www.todaysfutbol.com

استاکس نت همچنین برای گسترش و انتشار خود در سیستم‌های دیگر، فایل‌های زیر را در حافظه‌های جانبی که به رایانه‌های آلوده شده متصل شوند، کپی می‌کند :

  1.  %DriveLetter%\~WTR4132.tmp
  2.  %DriveLetter%\~WTR4141.tmp
  3.  %DriveLetter%\Copy of Shortcut to.lnk
  4.  %DriveLetter%\Copy of Copy of Shortcut to.lnk
  5.  %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
  6.  %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

هدف[ویرایش]

بنابر اظهارنظر کارشناسان سیمانتک، این بدافزار سیستم‌هایی را هدف قرار داده است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدل‌هایی از یک شرکت در فنلاند و یا تهران بوده است. استاکس نت به دنبال این دستگاه‌ها بر روی سیستم قربانی می‌گردد و فرکانسی را که دستگاه‌های مذکور با آن کار می‌کنند، شناسایی کرده و به دنبال بازه‌ای از ۸۰۰ تا ۱۲۰۰ هرتز می‌گردد. دستگاه‌های صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تاسیسات غنی‌سازی اورانیوم استفاده می‌شوند. هدف استاکس نت را نمی‌توان نیروگاه‌های هسته‌ای ایران دانست؛ به این دلیل که در این مراکز از این مبدل‌ها استفاده نمی‌شود. بنابراین مرکز غنی‌سازی نطنز تنها مرکز است که می‌تواند هدف احتمالی آن قرار گیرد.

این بدافزار فرکانس‌های مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا می‌برد و سپس آن را تا کمتر از ۲ هرتز پایین می‌آورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم می‌کند. در اصل، این بدافزار سرعتی را که موتور با آن کار می‌کند، به هم می‌ریزد که می‌تواند منجر شود هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید و یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی سازی نمی‌توانند به درستی اورانیوم را غنی سازی کند. این کار همچنین می‌تواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.[۲۰]

پیشگیری و پاکسازی[ویرایش]

برای پاکسازی سیستم بصورت دستی ابتدا باید سیستم ریستور را غیر فعال نمود سپس در حالت سیف مد تمام فایل‌ها و کلیدهای کپی شده توسط بدافزار در سیستم را پاک کرد. همچنین برای پیشگیری از آلوده شدن به استاکس‌نت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط مایکروسافت برطرف کرد.

جستارهای وابسته[ویرایش]

پیوند به بیرون[ویرایش]

پانویس[ویرایش]

  1. http://www.symantec.com/security_response/writeup.jsp?docid=2010-071400-3123-99
  2. ۲٫۰ ۲٫۱ «W32.Stuxnet»(انگلیسی)‎. وب‌گاه سیمانتک. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  3. «Worm.Win32.Stuxnet.f»(انگلیسی)‎. وب‌گاه سکیورلیست. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  4. «Trojan-Dropper:W۳۲/Stuxnet»(انگلیسی)‎. وب‌گاه اف‌سکیور. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  5. «ویروسی که صنایع ایران را هدف قرار داده‌است»(فارسی)‎. وب‌گاه عصرایران. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  6. ۶٫۰ ۶٫۱ «۶۵ درصد از قربانیان بدافزار Stuxnet(استاکس نت) ایرانی هستند»(فارسی)‎. ایرنا. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  7. علی پارسا. «سرانجام راز استاکس‌نت کشف شد: هدف تأسیسات غنی سازی اورانیوم نطنز». وب‌گاه وین بتا. ۲۶ آبان ۱۳۸۹. بازبینی‌شده در ۲۵ نوامبر ۲۰۱۰. 
  8. Obama continued, accelerated use of Bush-era Stuxnet computer attacks on Iran
  9. مجله استادندارد اتریشی
  10. Snowden: US and Israel did create Stuxnet attack code
  11. بی‌بی‌سی فارسی
  12. ۱۲٫۰ ۱۲٫۱ نخستین حمله‌ی سایبری به نیروگاه اتمی بوشهر؟، دویچه وله فارسی
  13. «ویروسی که صنایع ایران را هدف قرار داده‌است» ‎(فارسی)‎. وب‌گاه عصرایران. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  14. «Iran was prime target of SCADA worm»(انگلیسی)‎. وب‌گاه مجله بیزنس ویک. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  15. «ویروسی که صنایع ایران را هدف قرار داده‌است». وب‌گاه عصرایران. بازبینی‌شده در ۱۸ مرداد ۱۳۸۹. 
  16. «Israel Tests on Worm Called Crucial in Iran Nuclear Delay»(انگلیسی)‎. وب‌گاه نیویورک تایمز، ۲۶ دی ۱۳۸۹. بازبینی‌شده در دی ۱۳۸۹. 
  17. نیویورک تایمز: «استاکس نت طرح آمریکا و اسرائیل بود»، بی‌بی‌سی فارسی
  18. شناسایی منشاء ویروس رایانه‌ای استاکس نت/ وضعیت کنترل ویروس در کشور خبرگزاری مهر
  19. «عامل انتقال ویروس استاکس‌نت به تجهیزات نطنز مشخص شد». تابناک، ۲۸ فروردین ۱۳۹۱. بازبینی‌شده در ۲۸ فروردین ۱۳۹۱. 
  20. [Chien]. «Stuxnet: A Breakthrough»(انگلیسی)‎. وب‌گاه رسمی سیمانتک. ۱۲ نوامبر ۲۰۱۰. بازبینی‌شده در ۲۵ نوامبر ۲۰۱۰.