پرش به محتوا

استاکس‌نت

از ویکی‌پدیا، دانشنامهٔ آزاد
(تغییرمسیر از استاکس نت)
بدافزار استاکس‌نت
نام عمومیاستاکس‌نت
نام فنیاستاکس‌نت
Worm:Win32/Stuxnet.[Letter]
TrojanDropper:Win32/Stuxnet
W32.Stuxnet
W32.Stuxnet!lnk
Troj/Stuxnet-[Letter]
Trojan-Dropper.Win32.Stuxnet.[letter]
Worm.Win32.Stuxnet.(letter)
TR/Drop.Stuxnet.(letter). (number)
Worm.Win32.Stuxnet
Trojan-Dropper:W32/Stuxnet
Rootkit:W32/Stuxnet
RTKT_STUXNET.[Letter]
LNK_STUXNET.[Letter]
WORM_STUXNET.[Letter]
دسته‌بندیکرم رایانه‌ای
گونهقطره چکانی
نویسنده(گان)اکوئیشن گروپ
سیستم‌عامل‌های تأثیرپذیر

اِستاکس‌نِت (به انگلیسی: Stuxnet) یک بدافزار رایانه‌ای (طبق نظر شرکت‌های نرم‌افزار امنیت رایانه‌ای: کرم رایانه‌ای[۱][۲] یا تروجان[۳]) است که اولین‌بار در تاریخ ۱۳ ژوئیه ۲۰۱۰ توسط ضدویروس وی‌بی‌ای۳۲ شناسایی شد.[۴] این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی، فایل‌های با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس می‌باشد را جمع‌آوری کرده و به یک سرور خاص ارسال می‌کند.[۵] براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنی‌سازی اورانیوم نطنز بوده‌است.[۶][۷][۸]

مبدأ

[ویرایش]

در اواخر ماه مه ۲۰۱۲ رسانه‌های آمریکایی اعلام کردند که استاکس‌نت مستقیماً به دستور اوباما رئیس‌جمهور وقت آمریکا طراحی، ساخته و راه اندازی شده.[۹] گرچه در همان زمان احتمال این می‌رفت که آمریکا تنها عامل سازنده نباشد.[۱۰] در ۷ ژوئیه سال ۲۰۱۳، ادوارد اسنودن در مصاحبه‌ای با اشپیگل اعلام کرد این بدافزار با همکاری مشترک آژانس امنیت ملی ایالات متحده آمریکا و اسرائیل طی عملیاتی به نام عملیات بازی‌های المپیک ساخته شده‌است.[۱۱][۱۲] در سال ۲۰۱۶ الکس گیبنی مستندی به نام روزهای صفر در مورد استاکس‌نت منتشر کرد که در آن این ویروس محصول مشترک ایالات متحده آمریکا و واحد ۸۲۰۰ ارتش اسرائیل معرفی شده‌است.[۱۳]

تاکنون موضع‌گیری رسمی از سوی هیچ کشوری به مبدأ این بدافزار اشاره مستقیم نکرده، با این حال برای نخستین بار مانی محرابی عضو هیئت علمی اندیشکده روابط بین‌الملل ایران در گفتگو با بخش جهانی خبرگزاری اسپوتنیک روسیه، آژانس اطلاعات مرکزی ایالات متحده آمریکا موسوم به سیا به همراه سازمان اطلاعات و وظایف ویژه اسرائیل، موساد را مسئول این بدافزار معرفی و هدف آن را آسیب‌رسانی به ساختار برنامه هسته‌ای ایران معرفی کرد.[۱۴] این ادعا با واکنش مسئولان دولت اسرائیل مواجه شد.[۱۵]

انتشار

[ویرایش]

نخستین کشورهایی که به شکل گسترده به این بدافزار آلوده شدند کشورهای ایران، اندونزی و هندوستان بودند. نخستین بار توسط کارشناس کامپیوتری ایرانی در مشهد که نمایندگی آنتی‌ویروس بلاروسی، وی‌بی‌ای ۳۲ را در این شهر را داشت متوجه وجود ویروسی شد که هدف آن سامانه‌های هدایتگر تأسیسات صنعت هسته‌ای با سیستم عامل ویندوز است.[۱۶] کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشته‌اند[۱۷] و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.[۱۸] این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده می‌کند.[۱۹] روزنامه نیویورک تایمز در تاریخ ۱۶ ژانویه ۲۰۱۱، در مقاله‌ای مدعی شد که «اسرائیل استاکس‌نت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابه‌ای که ایران از آن‌ها در تاسیسات غنی‌سازی اورانیوم نطنز استفاده می‌کند، با موفقیت آزمایش کرده‌بود».[۲۰] این در حالی است که دولت اسرائیل یا دولت آمریکا به‌طور رسمی دست‌داشتن در انتشار استاکس‌نت را تأیید نکرده‌اند.[۲۱]

انتشار در ایران

[ویرایش]

وزیر ارتباطات ایران در آبان ۱۳۸۹ اعلام کرد که رایانه‌های آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشأ ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظه‌های جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کرده‌اند.[۲۲] هفته‌نامهٔ اشپیگل در مقاله‌ای این احتمال را مطرح کرده‌است که این ویروس ناخواسته توسط کارشناسان شرکت اتم استروی اکسپورت روسیه و به وسیله یک حافظهٔ جانبی به رایانه‌های نیروگاه اتمی بوشهر منتقل شده‌است.[۱۶] به گفته خبرگزاری تابناک این فرد جاسوس دوجانبه ایرانی و عضو سازمان مجاهدین خلق ایران است که حافظه را به تجهیزات ایران وارد کرده‌است.[۲۳]

روزنامه هلندی «فولکس‌کرانت» در مقاله ای مدعی شده است که با توجه به تحقیقات دو ساله روزنامه‌نگاران هلندی و مصاحبه با ۱۹ نفر از کارمندان دو سازمان اطلاعاتی هلند، سال ۲۰۰۶ مایکل هیدن، رئیس وقت سازمان جاسوسی آمریکا (سیا) در سفر به لاهه با مقام‌های سرویس اطلاعات نظامی هلند (ام ای ف د) دیدار کرد و به آن‌ها گفت که دیگر دستگاه اطلاعاتی هلند یعنی آ ای اف د دارد به سیا در یک «مأموریت فوق‌سری» کمک می‌کند. این روزنامه به نقل از منبعی که در این جلسه حاضر بوده، نوشته آقای هیدن گفته لازم است که «پمپ‌های آب» وارد مجتمع نطنز شود؛ پمپ‌هایی که حاوی یک «توانایی فنی» هستند که پس از نصبشان باعث می‌شوند سانتریفیوژها از کار بیفتند.این منبع می‌گوید رئیس سیا گفته رسیدن به این فناوری یک تا دو میلیارد دلار هزینه داشته است.[۷]

به نوشته روزنامه هلندی، سیا استاکس‌نت را در این پمپ‌ها پنهان کرده بود تا پس از نصبش، به شبکه کامپیوتری نطنز - که به اینترنت متصل نبود - وارد شود؛ و این پمپ‌ها را اریک ون سابن، مأمور سرویس اطلاعاتی هلند در تأسیسات نطنز در سال ۲۰۰۸ نصب کرد. او مسئولیت انتقال و نصب تجهیزات آلوده را به عهده گرفته بود. او در سال ۲۰۰۵ وقتی که کارمند شرکت حمل و نقل tts مستقر در دبی بود که برای دور زدن تحریم ها با ایران همکاری می‌کرد، جذب cia شد. او در سال ۲۰۱۰ در شهر دبی، موتورسیکلتش واژگون شد و جان خود را از دست داد.[۷]

انتشار در بقیه کشور‌ها

[ویرایش]

یک مطالعه دربارهٔ گسترش استاکس‌نت که توسط شرکت سیمانتک انجام گرفت، نشان داد که کشورهای آسیب‌دیده اصلی در روزهای اولیه انتشار ویروس، ایران، اندونزی و هند بودند:[۱]

کشور کامپیوترهای آلوده‌شده
ایران ۵۸٫۸۵٪
اندونزی ۱۸٫۲۲٪
هند ۸٫۳۱٪
آذربایجان ۲٫۵۷٪
ایالات متحده ۱٫۵۶٪
پاکستان ۱٫۲۸٪
دیگر ۹٫۲٪

همچنین مطالعه دیگری توسط آزمایشگاه امنیت سایبرنتیک آیو به قلم میلاد کهساری الهادی با عنوان «کالبدشکافی بدافزار استاکس نت» بر روی این بدافزار صورت گرفته‌است که در آن حمله سایبری استاکس نت به زیرساخت کشور جمهوری اسلامی ایران از جنبه‌های مختلف مورد بررسی قرار گرفته‌است. از قبیل اینکه چرا سازمان‌های امنیتی برای انهدام زیرساخت هسته ای ایران مجبور به استفاده از این بدافزار شدند و پس از شناسایی این بدافزار، چه تغییراتی در اکوسیستم امنیت سایبر و امنیت ملی در جهان صورت گرفت.[نیازمند منبع]

هدف

[ویرایش]

بنابر اظهارنظر کارشناسان سیمانتک[نیازمند منبع]، این بدافزار سیستم‌هایی را هدف قرار داده‌است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدل‌هایی از یک شرکت در فنلاند یا تهران بوده‌است. استاکس‌نت به دنبال این دستگاه‌ها بر روی سیستم قربانی می‌گردد و فرکانسی را که دستگاه‌های مذکور با آن کار می‌کنند، شناسایی کرده و به دنبال بازه‌ای از ۸۰۰ تا ۱۲۰۰ هرتز می‌گردد. دستگاه‌های صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تأسیسات غنی‌سازی اورانیوم استفاده می‌شوند. هدف استاکس نت را می‌توان نیروگاه‌های هسته‌ای ایران دانست؛ به این دلیل که در این مراکز از این مبدل‌ها استفاده می‌شود؛ بنابراین مراکز غنی‌سازی نطنز و بوشهر تنها مراکزی است که می‌تواند هدف احتمالی آن قرار گیرد.

این بدافزار فرکانس‌های مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا می‌برد و سپس آن را تا کمتر از ۲ هرتز پایین می‌آورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم می‌کند. در اصل، این بدافزار سرعتی را که موتور با آن کار می‌کند، به هم می‌ریزد که می‌تواند منفجر شود یا هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی‌سازی نمی‌توانند به درستی اورانیوم را غنی‌سازی کند. این کار همچنین می‌تواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.[۲۴]

اطلاعات فنی

[ویرایش]

آلوده‌سازی سیستم

[ویرایش]

استاکس‌نت از طریق رایانامه و حافظه‌های جانبی منتشر می‌شود. این بدافزار پس از آلوده ساختن سیستم، فایل‌های زیر را در سیستم کپی می‌نماید:

%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
%Windir%\inf\oem6C.PNF323
%Windir%\inf\oem7A.PNF54
%windir%\system32\drivers\mrxcls.sys
%windir%\system32\drivers\mrxnet.sys

و برای راه‌اندازی سرویس‌های خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب می‌کند:

HKLM\System\CurrentControlSet\Services\Services\MRdfr2xNet
HKLM\System\CurrentControlSet\Services\Services\MR45xCls

سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق می‌کند و پس از جمع‌آوری اطلاعات مربوط به شبکه‌ها و پیکربندی آن‌ها در رایانه قربانی سعی به ارتباط با وبگاه‌های زیر از طریق راه دور می‌کند:

www.windowsupdate.com
www.msn.com
www.mypremierfutbol.com
www.todaysfutbol.com

استاکس نت همچنین برای گسترش و انتشار خود در سیستم‌های دیگر، فایل‌های زیر را در حافظه‌های جانبی که به رایانه‌های آلوده شده متصل شوند، کپی می‌کند:

%DriveLetter%\~WTR45132.tmp
%DriveLetter%\~WTR48141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

پیشگیری و پاکسازی

[ویرایش]

برای پاکسازی سیستم به صورت دستی ابتدا باید سیستم ریستور (به انگلیسی: System Restore) را غیرفعال نمود سپس در حالت سیف مد (به انگلیسی: Safe Mode) تمام فایل‌ها و کلیدهای کپی شده توسط بدافزار در سیستم را حذف کرد. همچنین برای پیشگیری از آلوده شدن به استاکس‌نت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط شرکت مایکروسافت برطرف کرد.

جستارهای وابسته

[ویرایش]

پیوند به بیرون

[ویرایش]

پانویس

[ویرایش]
  1. ۱٫۰ ۱٫۱ "W32.Stuxnet" (به انگلیسی). وبگاه Symantec. Archived from the original on 20 July 2010. Retrieved 18 مرداد 1389. {{cite web}}: Check date values in: |تاریخ بازدید= (help)
  2. "Worm.Win32.Stuxnet.f" (به انگلیسی). وبگاه سکیورلیست. Retrieved 18 مرداد 1389. {{cite web}}: Check date values in: |تاریخ بازدید= (help)
  3. "Trojan-Dropper:W۳۲/Stuxnet" (به انگلیسی). وبگاه اف‌سکیور. Retrieved 18 مرداد 1389. {{cite web}}: Check date values in: |تاریخ بازدید= (help)
  4. «ویروسی که صنایع ایران را هدف قرار داده‌است». وبگاه عصرایران. دریافت‌شده در ۱۸ مرداد ۱۳۸۹.
  5. «۶۵ درصد از قربانیان بدافزار Stuxnet(استاکس نت) ایرانی هستند». ایرنا. دریافت‌شده در ۱۸ مرداد ۱۳۸۹.[پیوند مرده]
  6. علی پارسا (۲۶ آبان ۱۳۸۹). «سرانجام راز استاکس‌نت کشف شد: هدف تأسیسات غنی‌سازی اورانیوم نطنز». وبگاه وین بتا. بایگانی‌شده از اصلی در ۲۴ نوامبر ۲۰۱۰. دریافت‌شده در ۲۵ نوامبر ۲۰۱۰.
  7. ۷٫۰ ۷٫۱ ۷٫۲ «روایتی تازه از حمله استاکس‌نت به تأسیسات هسته‌ای نطنز». BBC Farsi. ۲۰۱۹-۰۹-۰۳. دریافت‌شده در ۲۰۱۹-۰۹-۰۳.
  8. «افشای هویت «مهندسی که با پمپ آب استاکس‌نت را به نطنز برد»». BBC News فارسی. ۲۰۲۴-۰۱-۰۸. دریافت‌شده در ۲۰۲۴-۰۱-۰۹.
  9. Obama continued, accelerated use of Bush-era Stuxnet computer attacks on Iran
  10. مجله استاندارد اتریشی
  11. Snowden Der Spiegel Interview
  12. در اشپیگل
  13. http://www.businessinsider.com/nitro-zeus-iran-infrastructure-2016-7
  14. Sputnik. "Stuxnet, the CIA/Mossad 'Worm of the Apocalypse' No Longer Threatens Iran". sputniknews.com (به انگلیسی). Retrieved 2018-01-28.
  15. «THE STUXNET "WORM OF THE APOCALYPSE": NO LONGER THREATENS IRAN | Gary Franchi's Next News Network». nextnewsnetwork.com (به انگلیسی). بایگانی‌شده از اصلی در ۲۹ ژانویه ۲۰۱۸. دریافت‌شده در ۲۰۱۸-۰۱-۲۸.
  16. ۱۶٫۰ ۱۶٫۱ نخستین حملهٔ سایبری به نیروگاه اتمی بوشهر؟، دویچه وله فارسی
  17. «ویروسی که صنایع [[ایران]] را هدف قرار داده‌است». وبگاه عصرایران. دریافت‌شده در ۱۸ مرداد ۱۳۸۹. تداخل پیوند خارجی و ویکی‌پیوند (کمک)
  18. "Iran was prime target of SCADA worm" (به انگلیسی). وبگاه مجله بیزنس ویک. Retrieved 18 مرداد 1389. {{cite web}}: Check date values in: |تاریخ بازدید= (help)
  19. «ویروسی که صنایع ایران را هدف قرار داده‌است». وبگاه عصرایران. دریافت‌شده در ۱۸ مرداد ۱۳۸۹.
  20. "Israel Tests on Worm Called Crucial in Iran Nuclear Delay" (به انگلیسی). وبگاه نیویورک تایمز. ۲۶ دی ۱۳۸۹. Retrieved 1 دی 1389. {{cite web}}: Check date values in: |تاریخ بازدید= و |تاریخ= (help)
  21. نیویورک تایمز: «استاکس نت طرح آمریکا و اسرائیل بود»، بی‌بی‌سی فارسی
  22. شناسایی منشأ ویروس رایانه‌ای استاکس نت/ وضعیت کنترل ویروس در کشور خبرگزاری مهر
  23. «عامل انتقال ویروس استاکس‌نت به تجهیزات نطنز مشخص شد». تابناک. ۲۸ فروردین ۱۳۹۱. دریافت‌شده در ۲۸ فروردین ۱۳۹۱.
  24. Eric Chien (۱۲ نوامبر ۲۰۱۰). "Stuxnet: A Breakthrough". وبگاه رسمی سیمانتک (به انگلیسی). Retrieved 25 November 2010. {{cite web}}: Unknown parameter |نشانی نویسنده= ignored (help)