حافظه‌هاي فلش در حال آلوده کردن رايانه‌هاي کل کشور هستند/گسترش ويروس مرگبار

[mahdishata]

در حالي كه جديدترين اخبار رسمي از آلوده شدن 30 هزار سيستم رايانه واحدهاي صنعتي در ايران به كرم استاكس‌نت حكايت دارد، برخي از كارشناسان امنيت سايبر در غرب مدعي شده‌اند كه هدف اصلي اين بدافزار نيروگاه هسته‌يي بوشهر بوده است.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، محققان امنيتي چندي قبل از شناسايي نخستين كرم اينترنتي خبر دادند كه سيستم‌هاي صنعتي SCADA هدف اصلي آن بودند.

نرم‌افزار SCADA كه ساخت شركت زيمنس است، براي كنترل روند ساخت از مكان‌هاي مركزي به‌عنوان مثال براي تغيير سرعت كار موتور يك دستگاه در كارخانه يا فشار در يك خط لوله مورد استفاده قرار مي‌گيرد و ممكن است محيط‌هاي معمولي استفاده آن خطوط لوله نفت يا نيروگاه‌هاي برق باشند.

اين بدافزار ابتدا در ماه ژوئن از سوي محققان شركت بلاروسي VirusBlokAda كشف شد و محققان امنيتي F-Secure با تشريح اين تهديد اعلام كردند كه هدف اين بدافزار سرقت اطلاعات است و به‌محض فعال شدن براي برداشتن هر نوع اطلاعات موجود از پايگاه‌هاي داده آماده است.

استاكس‌نت از زمانيكه كشف شد، تحت بررسي دقيقي قرار گرفته و هرچه بيش‌تر شناخته مي‌شود، هشدارها نسبت به قابليت و هدف آن افزايش مي‌يابد. اين كرم رمزنگاري شده پيچيده از ترفندهاي جالب جديدي مانند به دست گرفتن كنترل سيستم رايانه كاربر بدون اينكه وي برروي گزينه‌اي كليك كند، بهره مي‌گيرد و تنها با اتصال يك حافظه‌ USB آلوده منتشر مي‌شود.

در حالي كه محققان امنيتي در ابتدا بر اين تصور بودند كه هدف اصلي استاكس نت به دليل قابليت آن براي سرقت اسناد طراحي براي سيستم‌هاي كنترل صنعتي، جاسوسي است اما بررسي دقيق‌تر اين برنامه كه از نظر استانداردهاي بدافزاري فوق العاده بزرگ و پيچيده است، نشان داد كه مي‌تواند تغييراتي را نيز در اين سيستم‌ها بدهد.

كارشناسان مي‌گويند وقت، هزينه و نبوغ مهندسي نرم‌افزار بالايي براي شناسايي و بهره‌برداري از آسيب‌پذيري‌هايي سيستم‌هاي نرم‌افزار كنترل صنعتي براي ساخت اين بدافزار صرف شده است.

بر اساس پژوهش شركت امنيتي سيمانتك، استاكس نت در ابتدا از يك آسيب‌پذيري ترميم نشده در ويندوز مايكروسافت براي دسترسي يافتن به شبكه استفاده مي‌كند و سپس از دومين آسيب‌پذيري براي انتشار در داخل شبكه بهره‌برداري مي‌كند.

اين كرم از دستگاهي به دستگاه ديگر مي‌رود تا سرانجام سيستمي را بيابد كه SCADA در آن قرار دارد و از طريق يك سيستم كنترل و فرمان به نفوذگر گزارش مي‌دهد و دو آسيب‌پذيري ديگر براي دسترسي ويژه مورد بهره‌برداري قرار مي‌گيرند.

اما انتشار جغرافيايي غيرمعمول اين كرم جاسوس موجب شد ايران به عنوان هدف اصلي اين بدافزار مطرح شود. طبق آمار سيمانتك، حدود 60 درصد آلودگي به استاكس نت مربوط به ايران هستند و30 درصد ديگر از آلودگي به اين بدافزار، مربوط به كشورهاي اندونزي، هند، آذربايجان بوده و تنها 1.5 درصد از اين آلودگي به آمريكا رديابي شده است.

به گفته يكي از محققان سيمانتك، اين حقيقت كه آلودگي به اين كرم در ايران بيش‌تر از هر نقطه ديگر جهان است، ما را به اين فكر مي‌اندازد كه اين تهديد ايران را هدف گرفته بود و در ايران هدف بسيار بسيار باارزشي براي كسي كه اين برنامه مخرب را نوشته، وجود داشته است.

حتي اين گمان وجود دارد كه اين كرم ماموريت مختل كردن نيروگاه برق هسته‌يي بوشهر يا تاسيسات غني‌سازي اورانيوم نطنز را داشته است. اگرچه اذعان شده كه شواهد كافي براي نتيجه‌گيري در مورد آنچه كه هدف اين كرم بوده يا كساني كه آن را ساخته‌اند، وجود ندارد.

اما اصغر زارعان - معاون ايمني، حفاظت و امنيت سازمان انرژي اتمي - در گفت‌وگو با يكي از خبرگزاري‌هاي داخلي تاکيد کرد که تاکنون در بررسي‌هاي به عمل آمده در حوزه هسته‌اي هيچ موردي از نفوذ ويروس استاکس نت مشاهده نشده است.

هم‌چنين محمود ليايي - مديركل دفتر صنايع برق‌، الكترونيك و فن‌آوري اطلاعات وزارت صنايع و معادن - در گفت‌وگو با خبرگزاري فرانس پرس، در اين باره گفته كه حدود 30 هزار آي.پي در ايران به كرم جاسوس استاكس‌نت آلوده شده‌اند، اما اين كرم جاسوس نتوانسته خسارت جدي به رايانه‌هاي ايراني بزند.

محمود جعفري - مجري طرح نيروگاه اتمي بوشهر - هم در اين باره به شبكه العالم گفت: كرم جاسوس استاكس‌نت هيچ خسارتي به سيستم‌هاي اصلي نيروگاه اتمي بوشهر نزده است و در ادامه افزود: كليه رايانه‌هاي نيروگاه در حال انجام كار طبيعي خود هستند.

با توجه به سطح بالاي پيشرفتگي استاكس نت، برخي اين گمان را مطرح كرده‌اند كه استاكس‌نت از سوي هكرهايي طراحي شده كه مورد حمايت دولتي قرار داشته‌اند و در اين ميان برخي به آمريكا و برخي ديگر به رژيم صهيونيستي به عنوان عامل ساخت اين كرم اينترنتي اشاره كرده‌اند.

به گفته كارشناسان، اين كرم كه پايگاه‌هاي صنعتي ايران را هدف گرفته، ممكن است بخشي از حمله سايبر اين دو كشور به ايران باشد.

در اين بين يك مقام امنيت سايبر بلندپايه آمريكا مدعي شده كه آمريكا نمي‌داند چه كسي عامل اين حمله اينترنتي است و هم‌چنان در حال بررسي اين كرم است.

به گفته شون مك گيورك - مدير مركز امنيت سايبر و يكپارچگي ارتباطات ملي آمريكا - بررسي‌هايي برروي اين نرم افزار انجام گرفته اما اين مركز بيش‌تر از اينكه عامل اين حمله را جست‌وجو كند، به‌دنبال جلوگيري از انتشار آن است.

بحث درباره انتشار و فعاليت استاكس‌نت كه مدتي است يكي از سوژه‌هاي داغ دنياي فن‌آوري است، تازه مدتي است كه مورد توجه رسانه و كارشناسان داخلي قرار گرفته و توجه جدي‌تر به موضوع امنيت ديجيتال را پررنگ ساخته است.

[S@nti@go_s&k]

دوستان این کرم توی کامپیوترهای شخصی کسی هم نفوذ کرده اگر نفوذ کرده چجوری فهمیدین .

میخوام بدونم خبرش راسته یا ..............

[mahdishata]

من ويروسي شدم
نود هم گفت الوده ام.ولي اصلا سيستم نه كند شده نه مشكلي داره.البته تو xp ويروس با انتي ويروس از بين نميره

[mahdishata]

ورود کرم استاکس‌نت به 30هزار رایانه در داخل کشور که بیشتر آن‌ها صنعتی هستند، آغازگر دوره جدیدی از جرایم سایبری است که هکرها با نفوذ به سیستم‌های صنعتی و حیاتی، مستقیما زندگی مردم را هدف قرار می‌دهند.

استاکس‌نت، اولین کرم در نوع خود است که می‌تواند به زیرساخت‌های حساسی مانند نیروگاه‌های برق و شبکه‌های قدرت حمله کند؛ چیزی که کارشناسان سال‌ها بود که منتظر ظهورش بودند.

در روز 26 سپتامبر / 4 شهریور، خبرگزاری جمهوری اسلامی گزارش داد که کامپیوترهای نیروگاه هسته‌ای بوشهر مورد حمله کرم استاکس‌نت قرار گرفته و به آن آلوده شده‌اند. نیوساینتیست در گزارشی به این کرم و اهمیت آن پرداخته است.

هیاهو بر سر یک کرم؟ چرا؟

ویروس‌های کامپیوتری، کرم‌ها و تروژان‌ها عمدتا به کامپیوترهای شخصی و یا سرورهایی حمله می‌کنند که تجارت الکترونیک را می‌گردانند. آنها می‌توانند فایل‌ها یا متون کلیدی را پاک کنند و حتی مانع دسترسی به وب‌سایت‌ها شوند، ولی هیچ‌گاه زندگی بشر را به مخاطره نیانداخته‌اند.

اما استاکس‌نت از نوع دیگری است. تا این زمان، این اولین بدافزاری است که توانایی نفوذ به داخل انواع کامپیوترهایی را دارد که دستگاه‌های موجود در قلب صنعت را کنترل می‌کنند، و به حمله‌کننده این امکان را می‌دهند تا کنترل سیستم‌های حیاتی مانند پمپ‌ها، موتورها، هشدار دهنده‌ها و شیرها را در یک محیط صنعتی در دست بگیرند.

در بدترین حالت ممکن، سیستم‌های ایمنی یک نیروگاه هسته‌ای را می‌توان خاموش کرد، در یک تصفیه‌خانه فاضلاب آب سالم را با آب آلوده مخلوط کرد، شیرهای یک خط لوله نفت باز کرد و زمین یا دریا را آلوده کرد.

پاتریک فیتزجرالد، مدیر ارشد بخش هوش مخرب در سیمنتک می‌گوید: «در اختیار گرفتن کنترل سیستم‌های صنعتی مانند یک سد، تصفیه‌خانه یا یک نیروگاه برق توسط حمله‌کننده، کاملا غیرمعمول است و چنین حالتی را به یک خطر بسیار جدی با تاثیرات جهانی بسیار عمیق بدل می‌کند. این واقعه همه چیز را تغییر داد».

چرا برای حمله به یک کارخانه و یا نیروگاه به نوع متفاوتی از کرم‌های اینترنتی نیاز داریم؟
ماشین‌های صنعتی به طور مستقیم با آن نوع از کامپیوترهایی که ما از انها استفاده می‌کنیم، کنترل نمی‌شوند. تجهیزات مورد استفاده در یک فرایند صنعتی توسط سیستم جداگانه اختصاصی به نام کنترل‌گر منطقی برنامه‌پذیر، پی.ال.سی (Programmable Logic Controller) اداره می‌شوند که با نرم‌افزارهای اسکادا (Supervisory Control And Data Acquisition) کار می‌کنند.

با اجرای اسکادا، پی.‌ال.‌سی فرایند را با مرزهای ایمنی مشخص کنترل می‌کند، موتورها را روشن و خاموش می‌کند، مخازن را خاموش می‌کند و با استفاده از بازخورد داده‌ها، فرایند را بدون نیاز به دخالت انسان بهینه می‌کند؛ چیزی که ماهیت اصلی سیتم‌های اتوماسیون را تشکیل می‌دهد.

پس چگونه یک کرم به داخل سیستم می‌رود؟

این کار ساده‌ای‌ نیست، چرا که این نرم‌افزارها بر روی کامپیوترهای معمولی کار نمی‌کنند. شرکت‌هایی که پی‌ال‌سی‌ها را می‌فروشند، هر یک از زبان برنامه‌نویسی خاص خود استفاده می‌کنند؛ و این مسئله‌ای است که کار نفوذ به داخل آنها را برای هکرها سخت کرده است.

با این حال با استفاده از کامپیوترهای معمولی تحت ویندوز که خود این پی‌ال‌سی‌ها را کنترل می‌کنند، راهی برای نفوذ به داخل آنها وجود دارد. یک هکر خارجی با استفاده از 4 نقطه آسیب‌پذیر در ویندوز مایکروسافت موفق شد کد بدافزار استاکس‌نت را در پی‌ال‌سی‌های تولیدی زیمنس آلمان تزریق کند، شرکتی که بیشترین سهم این بازار را در دست خود دارد.

این کار امکان‌پذیر است، زیرا پی‌ال‌سی‌ها ابزاری نیستند که به خوبی محافظت شده باشند. آن‌ها برای مدت چندین سال در جای اصلی خود کار می‌کنند و دسترسی الکترونیکی به آنها از طریق رمزهای عبور معروف آنها است که به ندرت تغییر می‌کنند. حتی هنگامی که وجود استاکس‌نت برملا شد، زیمنس برای پیشنهاد تغییر رمز عبور مردد بود. این کار می‌توانست به آشفتگی گسترده‌ای در سیستم‌ها منجر شود، چرا که سیستم‌های قدیمی‌تر با استفاده از رمزهای عبور قدیمی می‌خواستند با سیستم جدید ارتباط برقرار کنند.

اولین قربانیان استاکس‌نت در کجا بودند؟

به گفته فیتزجرالد به نظر می‌رسد که این کرم، اولین بار در ایران و از طریق یک کارت حافظه ساده یو‌اس‌بی وارد یک کامپیوتر شده باشد. گروه وی در دوبلین ایرلند، از ماه ژوئن، زمانی که این کرم اولین بار توسط یک گروه امنیتی در بلاروس کشف شد، در حال تحلیل و ارزیابی آن هستند.

اولین نقطه آسیب‌پذیر از 4 نقطه آسیب‌پذیر ویندوز، به کد قابل اجرا بر روی یک یو‌اس‌بی این امکان را می‌دهد که به روی کامپیوتر کپی شود. شاید این یواس‌بی به یک کارمند ایرانی نیروگاه داده شده باشد؛ یا خیلی ساده‌تر، در جایی رها شده باشد تا یک فرد کنجکاو از آن استفاده کند! (چه کسی از یک فلش‌مموری بدش می‌آید؟!)

فیتزجرالد می‌گوید: «این کرم سپس با استفاده از نقطه آسیب‌پذیر دوم، از ماشینی به ماشین دیگر بر روی شبکه منتشر می‌شود، و وقتی کامپیوتری را پیدا کند که از اسکادای زیمنس استفاده می‌کند، از طریق اینترنت به حمله‌کننده خارجی خبر می‌دهد».
«دو نقطه آسیب‌پذیر دیگر ویندوز به این کرم اجازه می‌دهد تا سطوح دیگر خود را اجرا کند و به حمله‌کننده امکان بدهد تا کد کامپیوتری با فرمت پی.‌ال.‌سی زیمنس را که با زبانی به نام STL نوشته شده، به پی‌.ال.‌سی تزریق کند. این کد جدید است که می‌تواند به عملکرد خطرناک سیستم منجر شود: شاید هشدارهای سیستم را خاموش کند، یا سطوح دمایی ایمن سیستم را تغییر دهد».

چگونه بفهمیم که استاکس‌نت در کجا فعال است؟

سیمنتک بر مخابره داده‌ها با 2 دامین اینترنتی که این کرم اطلاعات خود را با آن مبادله می‌کند، نظارت می‌کند. گروه فیتزجرالد با علامت‌گذاری جغرافیایی آی‌پی کامپیوترهای آلوده به استاکس‌نت در جریان مبادله داده‌ها با حمله‌کننده، دریافت که 58.8 درصد از کامپیوترهای آلوده در ایران؛ 18.2 درصد در اندونزی، 8.3 در هند، 2.6 درصد در آذربایجان، و 1.6 درصد در آمریکا واقع شده‌اند.

چه کسی کرم را نوشته است؟

هنوز هیچ‌کس پاسخ این سوال را نمی‌داند. ولی کار هر کس که بوده، کاری بسیار سطح بالا و حرفه‌ای انجام داده که برای استفاده از 4 نقطه آسیب‌پذیر ویندوز و همچنین به راه انداختن یک مجموعه از پی.‌ال‌.سی/ اسکادا برای آزمایش آن، نیاز به چیزی دارد که فیتزجرالد آن را « طیف گسترده‌ای از مهارت‌ها» می‌داند.

این امر سبب شده که برخی از مفسران بگویند که احتمالا یک سازمان دولتی با مجموعه گسترده‌ای از منابع تکنیکی در پس استاکس‌نت قرار دارند. اما یادمان نرود که گردش مالی دنیای جرایم کامپیوتری به میلیاردها دلار بالغ می‌شود و بنابراین امکان اخاذی را نیز نباید از نظر دور داشت.

آیا دفاع در برابر استاکس‌نت امکان پذیر است؟

استاکس‌نت شامل یک فایل 600 کیلوبایتی است که هنوز به طور کامل تحلیل نشده؛ اما به گفته بوری ریونر، مدیر فناوری‌های جدید در شرکت امنیت کامپیوتری جهانی EMC، «سرمایه‌گذاری گسترده بر روی امنیت» توسط سازندگان اسکادا/ پی.‌ال.‌سی در شرایط فعلی بسیار حیاتی است. و افراد شاغل در صنایع حساس نیز باید مراقب حمله‌های با استفاده از مهندسی اجتماعی باشند؛ از اهدای حافظه‌های یو‌اس‌بی توسط افراد مختلف گرفته تا حتی کلیک بر روی یک لینک غیرمطمئن که از طریق ای‌میل یا شبکه‌های اجتماعی برای شما ارسال شده است.

رینور اشاره می‌کند که دنیا برای شبکه‌های قدرت هوشمند، به سوی کنترل گسترده‌تر بر روی شبکه‌هایی مانند اینترنت می‌رود: «این امر می‌تواند خطرناک باشد، چرا که چنین شبکه‌هایی به هدف آسان‌تری برای هکرها تبدیل می‌شوند. امنیت شبکه‌های هوشمند باید از همان نقطه آغاز در آنها جاسازی شود».

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[S@nti@go_s&k]

من ويروسي شدم
نود هم گفت الوده ام.ولي اصلا سيستم نه كند شده نه مشكلي داره.البته تو xp ويروس با انتي ويروس از بين نميره

از کجا میدونی همین استاکس نته؟

['POP']

من ويروسي شدم
نود هم گفت الوده ام.ولي اصلا سيستم نه كند شده نه مشكلي داره.البته تو xp ويروس با انتي ويروس از بين نميره

دو شکل مختلف این malware بنام Trojan-Dropper.Win32.Stuxnet.d و Worm.Win32.Stuxnet.a نامگذاری [Kaspersky Lab] رو روی چند PC خانگی دیدم
و بوسیله‌ی کاسپرسکی ( 2011 ) شناسایی و پاک شد

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[mahdishata]

از کجا میدونی همین استاکس نته؟

فكر نكنم بد افزار ديگه اي به اسم استاكس نت وجود داشته باشه

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دو شکل مختلف این malware بنام Trojan-Dropper.Win32.Stuxnet.d و Worm.Win32.Stuxnet.a نامگذاری [Kaspersky Lab] رو روی چند PC خانگی دیدم
و بوسیله‌ی کاسپرسکی ( 2011 ) شناسایی و پاک شد

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

يادم رفت خبر رو اينجا بزارم ولي تو يه منبع معتبر خوندم كه تو xp اين ويروس پاك نميشه ولي تو ويندوز سون ميشه.البته اون متخصص كه باهاش مصاحبه شده بود حتي تو اينكه با انتي ويروس ها اين بد افزار غير فعال هم بشه شك كرده بود.(شايد توهم توطئه!)

[S@nti@go_s&k]

خوب پس باید چکار کنی ویندوزو فرمت کنی ؟

راستی برای فایلای شخصیت مشکل پیش نیومده ؟

[Terova]

این ویروس دنبال یک سیستم صنعتی یا خاص میگرده کاری با سیستم شخصی نداره

[mahdishata]

به هيچ عنوان مشكلي واسه من پيش نيومده
حالا خدا اخر و عاقبت اين ويروس رو به خير كنه.يه بار ديدي مثل ويروس يوسف علي يه جايي ازمون بهره برداري كرد.
در ضمن ويروسي كه اينقدر پشتش گرمه بعيد ميدونم پاك بشه.من كه كلا بي خيالش شدم
اينا هم جالبه.مرتبط به بخش نيست ولي در مورد ويروسه

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید