استاکس نت (Stuxnet) نوعی بدافزار است که حدود ۱۰ سال گذشته، تعداد بسیاری از سیستم های رایانه ای بهویژه در واحدهای صنعتی بزرگ دنیا را آلوده کرد.
مرکز آپا (آگاهی رسانی، پشتیبانی و امداد رایانه ای) دانشگاه صنعتی اصفهان روز یکشنبه با انتشار گزارشی بر روی پایگاه اینترنتی خود به بررسی ادعاهای اخیر درباره چگونگی انتشار این ویروس در کشورمان پرداخت و عنوان کرد: پس از افشای اطلاعاتی جدید در مورد نحوه توزیع استاکسنت، خطرناکترین بدافزار دهه اخیر، دوباره این کِرم جنجالی در سر تیتر خبرها قرار گرفته است. به این بهانه به بررسی جزئیات فنی و حواشی نفوذ استاکسنت به نیروگاه اتمی نطنز پرداختیم و محتملترین سناریویی که برای حمله این بدافزار متصور هستیم را ارائه کردیم.
در این گزارش آمده است: " استاکسنت دنیای ما را به مکانی تبدیل کرد که کدها در آن آغازگر (و شاید خاتمهدهنده) جنگها هستند.
یازدهم شهریور، خبرگزاری یاهونیوز اطلاعاتی را در مورد حمله استاکسنت (Stuxnet) یکی از جنجالیترین بدافزارهای دهه اخیر افشا کرد. در این گزارش در مورد نقش یک نفوذی از سرویس اطلاعاتی هلند در نیروگاه اتمی نطنز پرده برداشته شد. اکنون به بررسی منشأ و پدیدآورندگان استاکسنت میپردازیم و این که چگونه این بدافزار توانست به یکی از امنیتیترین مراکز کشورمان یعنی نیروگاه اتمی نطنز راه یابد. در ادامه جزئیات فنی استاکسنت و آمار کشوهای قربانی آن را بررسی میکنیم. در آخر نیز محتملترین سناریویی که برای حمله متصور هستیم و همچنین پیشنهادهایی برای جلوگیری از وقوع مجدد این حملات را ارائه میکنیم.
بازیهای المپیک
استاکسنت بدافزاری است که به نیروگاه اتمی نظنز در سال ۲۰۰۷ نفوذ کرد و سبب ایجاد خرابیهایی در این نیروگاه شد. در این خرابکاری از ابتدا همکاری ایالت متحده آمریکا و اسرائیل واضح بود اما آنچه که در گزارش اخیر افشا شد وجود قطعی یک نفوذی هلندی و همچنین همکاری احتمالی فرانسه و آلمان در این خرابکاری بود. هرچند به نظر میرسد سازمان اطلاعات بریتانیا نیز در این پروژه همکاری داشته است. همکاری این پنج کشور سبب شد تا این پروژه را در خفا بازیهای المپیک بنامند که یادآور پنج قاره با نماد پنج حلقه است.
سازمان موساد و سیا در سال ۲۰۰۴ از سازمان اطلاعاتی هلند موسوم به اِی آی وی دی ( AIVD ) میخواهند تا آنها را در نفوذ به تجهیزات نیروگاه اتمی نطنز یاری کند. هلندیها با بر عهده گرفتن خطرناکترین و شاید مهمترین بخش این پروژه، یک مهندس مکانیک را به عنوان مهره نفوذی اجیر کرده و راهی تهران میکنند.
البته خبرگزاری یاهونیوز هدف از این حمله را نه تخریب کلی تأسیسات بلکه تنها ایجاد وقفه برای به دست آوردن زمان میداند تا با اعمال فشار بر ایران، پنج کشور پشت پرده پروژه بازیهای المپیک بتوانند اهداف دیپلماتیک خود را به نتیجه برسانند.
در این گزارش نقل میشود که در سال ۲۰۰۰ همزمان با تأسیس نیروگاه اتمی نظنز، سازمان AIVD سامانه پست الکترونیکی یکی از سازمانهای دفاعی ایران را هک میکند تا اطلاعاتی در مورد برنامه هستهای ایران به دست آورد. اسرائیل و ایالت متحده آمریکا تا سال ۲۰۰۴ مخفیانه فعالیتهای نیروگاه هستهای نطنز را زیر نظر میگیرند تا این که به این نتیجه میرسند برای به دست آوردن اطلاعات بیشتر به یک نفوذی در نظنز نیاز دارند و بدین منظور از AIVD درخواست کمک میکنند. به نظر میرسد تا اینجا خبری از بدافزار استاکسنت نیست.
سازمان AIVD دو نقشه موازی با هم طراحی میکند که هر دو، یک شرکت سوری مجزا در منطقه نطنز را شامل میشدند به امید این که یکی از این شرکتها بتواند به نیروگاه اتمی نطنز نفوذ پیدا کند. شرکت اول، شک مقامات ایرانی را بر میانگیزد و در راهیابی به نیروگاه اتمی شکست میخورد؛ اما شرکت دوم موفق میشود و نفوذی در نقش یک مهندس مکانیک به نیروگاه وارد میشود. اگرچه به وی در زمینه نصب سانتریفیوژها مسئولیتی داده نمیشود، اما میتواند اطلاعاتی در مورد پیکربندی سیستم آنها به دست آورد. این اطلاعات به مهاجمین کمک میکند که کد بدافزار را مطابق تأسیسات نطنز بهروزرسانی کنند و یک حمله دقیق را طراحی کنند.
مهاجمان در ماه مه ۲۰۰۶ و فوریه ۲۰۰۷ کد را بهروزرسانی میکنند ولی بهروزرسانی نهایی در ۲۴ سپتامبر ۲۰۰۷ صورت میگیرد. در بهروزرسانی آخر، توابع کلیدی کد را تغییر میدهند و در نهایت کد بدافزار را کامپایل (تفسیر) میکنند.
از آنجایی که سیستمهای کنترلی نظنز به اینترنت دسترسی نداشتند، استاکسنت تنها یک راه برای انتشار داشته است، درگاه یو اس بی (USB) این سیستمها. بر اساس این گزارش مهره هلندیها یا مستقیم با کمک درایو USB، استاکسنت را در این سیستمها نصب کرده یا سیستم یکی از مهندسان آنجا را آلوده کرده است که منجر به آلوده شدن PLC (رایانه های صنعتی) نیز شده است. قابل ذکر است که سیستمهای کنترل صنعتی توسط کدهای شبه اسمبلی به خصوصی که روی پی ال سی ها قرار دارد هدایت میشوند. تجهیزات PLC آلودهشده نیروگاه نیز اکثراً از محصولات شرکت آلمانی زیمنس (Siemens) بودند.
پس از ورود استاکسنت به سیستمهای کنترلی نطنز، نفوذی هلندی دیگر به نظنز بازنگشت اما استاکسنت فعالیت مخرب خود را مخفیانه تا سال ۲۰۰۸ ادامه داد. در سال ۲۰۰۹ مهاجمان تصمیم میگیرند که روش تهاجمی خود را تغییر دهند و نسخه جدیدی از کد را در ماههای ژوئن، مارس و آوریل ۲۰۱۰ منتشر میکنند.
از آنجایی که در انتشار نسخه دوم استاکسنت مهاجمان دیگر نیروی نفوذی در داخل نظنز نداشتند، این بار به روش دیگری عمل میکنند. آنها پنج شرکت ایرانی که وظیفه نصب سیستمهای کنترل صنعتی را در نطنز بر عهده داشتند هدف قرار میدهند تا ناخواسته حامل این بمب دیجیتال به داخل نیروگاه شوند.
لیام امرچو، مدیر توسعه امینت شرکت امنیت سایبری سیمانتک (Symantec)، استاکسنت را تحت بررسی و مهندسی معکوس قرار داد.
وی معتقد است که روشهای انتشاری نسخه دوم استاکسنت، نشاندهنده پیشرفت مهاجمان در طول این پنج سال است که بدون در اختیار داشتن نیروی نفوذی در داخل نیروگاه توانستند این حمله را عملی کنند.
باید توجه کرد که اگرچه این امر مزیت بزرگی برای نسخه دوم استاکسنت محسوب میشود؛ اما همین امر سبب شناخته شدن و لو رفتن این بدافزار شد. مهاجمان برای اطمینان از این که نسخه دوم استاکسنت حتماً بتواند به داخل نیروگاه نفوذ پیدا کند به آن چندین مکانیزم انتشاری اضافه کردند که سبب گسترش غیرقابل کنترل این بدافزار در سراسر جهان و در نتیجه کشف آن در ماه ژوئن ۲۰۱۰ شد. شاید این افشای زودرس یکی از دلایل مهمی باشد که پروژه بازیهای المپیک نتوانست تخریب گستردهای در نطنز ایجاد کند. با این وجود استاکسنت تغییر مهمی در ماهیت جنگافزارهای دهه اخیر ایجاد کرد.
وظیفه این بدافزار چه بوده است؟
هدف از نسخه اول این بدافزار بستن شیرهای خروجی گاز تعدادی از سانترفیوژها بود، به گونهای که گاز ورودی امکان تخلیه نداشته باشد. این امر فشار داخلی سانتفیوژها را بالا میبرد، گاز را هدر میداد و به سانتریفیوژها صدمات جدی وارد میکرد.
در نسخه دوم این بدافزار به جای آن که شیرهای خروج گاز سانتریفیوژها را ببندد، سرعت چرخش سانتریفیوژها را به محدوده غیرمجاز آنها میبرد. هدف از این کار تخریب سانتریفیوژها و کاهش بازدهی فرآیند غنیسازی آنها بوده است.
جزئیات فنی استاکسنت
بدون در نظر گرفتن جنجالهای سیاسی که در مورد استاکسنت وجود دارد این بدافزار از لحاظ فنی نیز دنیای بدافزارها را متحول کرد. به طوری که همچنان محققان آن را از پیچیدهترین تهدیداتی میدانند که در طول تاریخ بدافزارها با آن روبهرو شدند. در این بخش به بررسی فنی این بدافزار میپردازیم.
استاکسنت عمدتاً سیستمهای کنترلی صنعتی را هدف قرار میداد و این سیستمها را مطابق میل مهاجمان برنامهریزی میکرد. مهاجمان به این منظور، کد پی ال سی های ( PLC) سیستمهای کنترل صنعتی را به گونهای تغییر میدادند که بتوانند این تغییرات را از چشم اپراتور سیستم مخفی کنند. آنها برای آن که شانس موفقیت خود را در این حمله بالا ببرند مجموعهای از روشهای حمله را جمعآوری کرده بودند که میتوان از میان آنها به موارد زیر اشاره کرد: اکسپلویتهای روزصفرم، روتکیتهای ویندوزی، روتکیتهای PLC، روشهای فرار از آنتیویروس، روشهای پیچیدهای برای تزریق کد، روشهایی برای آلوده کردن شبکه، بهروزرسانیهای نقطه به نقطه، واسط فرمان و کنترل و سناریو حمله.
سیستمهای کنترل صنعتی توسط کدهای شبهاسمبلی به خصوصی که روی پی ال سی ها (PLC) قرار دارد هدایت میشوند. این پی ال سی ها معمولاً از طریق سیستمهای ویندوزی برنامهریزی میشوند که نه به اینترنت متصل هستند و نه حتی به شبکههای داخلی. از طرفی خود سیستمهای کنترل صنعتی هم به شبکههای داخلی متصل نمیشوند.
مشابه هر حمله دیگری، مهاجمان باید در فاز اول به شناسایی آسیبپذیریهای سیستمهای صنعتی میپرداختند. از آنجایی که هر پی ال سی به روش خاصی پیکربندی میشود، مهاجمان به نقشه و جزئیات هر کدام از آنها نیاز داشتند. این اسناد ممکن است از طریق یک نفوذی داخلی و یا از طریق نسخه ابتدایی از استاکسنت ربوده شده باشند. تنها با وجود این اطلاعات مهاجمان میتوانستند هر قسمت از این بدافزار را کاملاً دقیق و منطبق با پی ال سی های موجود توسعه دهند.
از طرفی از ابعاد دقیق حمله کاملاً مشخص است که این بدافزار قبلاً در محیطی شبیهسازیشده از نیروگاه اتمی نطنز تست شده است. این محیط میبایست شامل سختافزارهای لازم سیستمهای کنترل صنعتی بوده باشد ( پی ال سیها، ماژولها و لوازم جانبی که برای تست کد لازم بودهاند).
به علاوه آن که کدهای باینری مخرب آنها شامل درایور فایلهایی بوده است که نیاز به امضای دیجیتال داشتند. مهاجمان دو گواهی دیجیتال را به این منظور به تسخیر خود در آوردند. به نظر میرسد که مهاجمان برای به دست آوردن این گواهیها نیاز به یک عنصر داخلی داشتهاند.
استاکسنت پس از نفوذ به نیروگاه به دنبال سیستمهای ویندوزی خاصی به نام Field PG میگردد که تنها برای برنامهریزی پی ال سی ها استفاده میشوند. از آنجایی که بیشتر این کامپیوترها به شبکه متصل نیستند، استاکسنت مجبور است ابتدا از طریق آسیبپذیری روز صفرم " LAN " به سایر کامپیوترها راه یابد و سپس از طریق درایوهای قابل حمل به Field PG برسد. پس از این که استاکس نت به سیستم مقصد رسید کدهای پی ال سی ها را تغییر میدهد و دائماً ردپای خرابکاریهای خود را میپوشاند تا قربانیان متوجه منشأ این خرابکاریها نشوند.
لیام امرچو معتقد است که اگرچه بسیاری از وبسایتها ادعا میکنند که کد استاکسنت را برای دانلود قرار دادند، اما نباید به حرف آنها اعتماد کرد. وی معتقد است که کد منبع این کرم که توسط ایالت متحده و اسرائیل نوشته شد، منتشر و افشا نشده است و نمیتوان آن را از کد باینری استخراج کرد. (کد درایو که قسمت بسیار کوچکی از بسته اصلی است با مهندسی معکوس بازسازی شده است اما نباید آن را مشابه کد اصلی در نظر گرفت).
میراث استاکسنت
اگرچه آسیبپذیریهای پی ال سی های زیمنس پس از کشف استاکسنت در ماه ژوئن ۲۰۱۲ بهروزرسانی شدند اما بدافزارهای دیگری از تکنیکهای کد اصلی آن الهام گرفتند که به پسران استاکسنت معروف شدهاند. از جمله این بدافزارهای میتوان به Duqu، Flame، Havex، Industroyer و Triton اشاره کرد.
پیشنهادهایی برای جلوگیری از وقوع حملات مشابه در این تأسیسات
- مجزا ساختن شبکههای صنعتی از شبکههای تجاری عمومی با استفاده از دیوارهای آتش و DMZ
- رصد مستقیم و لحظهبهلحظه ماشینهایی که در فرآیند اتوماسیون تجهیزات صنعتی نقش دارند
- رصد و گرفتن log از تمامی فعالیتهای شبکه
- تهیه فهرستی از نرمافزارهای موجود در سیستمها و اعتبارسنجی آنها
- پیاده سازی امینت فیزیکی سخت برای دستیابی به شبکههای صنعتی"
کشورهای قربانی
مرکز آپای دانشگاه صنعتی اصفهان در پایان گزارش خود نموداری از وضعیت کشورهای قربانی استاکسنت در انتهای ماه سپتامبر سال ۲۰۱۰ منتشر کرد که در آن ایران، اندونزی و هند به ترتیب با ۶۰ هزار، ۱۰ هزار و پنج هزار هاست آلوده، بیشترین آلودگی را به این بدافزار داشتند.
مرکز تخصصی آپا دانشگاه صنعتی اصفهان به عنوان یک مرکز امداد امنیت رایانه ای، فعالیت خود را در زمینه تخصصی ارائه سرویس مدیریت حوادث امنیتی و آسیب پذیریهای شبکه از سال ۱۳۸۶ آغاز کرده است.
۶۰۲۲/ ۳۰۱۱
نظر شما