ویروس کامپیوتری استاکس نت
ویروس کامپیوتری استاکس نت

استاکس‌نت (به انگلیسی: Stuxnet) یک بدافزار رایانه‌ای (طبق نظر شرکت‌های نرم‌افزار امنیت رایانه‌ای: کرم رایانه‌ای[۲][۳] یا تروجان[۴]) است که اولین‌بار در تاریخ ۱۳ ژوئیه ۲۰۱۰ توسط ضدویروس وی‌بی‌ای۳۲ شناسایی شد.[۵] این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی، فایل‌های با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس می‌باشد را جمع‌آوری کرده و به یک سرور خاص ارسال می‌کند.[۶]

براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنی‌سازی اورانیوم نطنز بوده‌است.[۷]

در اواخر ماه مه ۲۰۱۲ رسانه های آمریکایی اعلام کردند که استاکس‌نت مستقیماً به دستور اوباما رئیس جمهور آمریکا طراحی، ساخته و راه اندازی شده.[۸]گرچه در همان زمان احتمال این می‌رفت که آمریکا تنها عامل سازنده نباشد.[۹] در ژوئیه سال ۲۰۱۳ میلادی، ادوارد اسنودن اعلام کرد این بد افزار با همکاری مشترک آمریکا و اسرائیل ساخته شده است.[۱۰][۱۱]

 

 

انتشار

این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت.نخستین بار کارشناسان کامپیوتری بلاروس متوجه وجود ویروسی شدند که هدف آن سامانه‌های هدایتگر تأسیسات صنعتی با سیستم عامل ویندوز است.[۱۲] کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشته‌اند[۱۳] و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.[۱۴] این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده می‌کند.[۱۵] روزنامه نیویورک تایمز در تاریخ ۱۶ ژانویه ۲۰۱۱ میلادی، در مقاله‌ای مدعی شد که «اسرائیل استاکس‌نت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابه‌ای که ایران از آن‌ها در تاسیسات غنی‌سازی اورانیوم نطنز استفاده می‌کند، با موفقیت آزمایش کرده‌بود».[۱۶] این در حالی‌ست که دولت اسرائیل یا دولت آمریکا هیچ‌گاه به طور رسمی دست‌داشتن در انتشار استاکس‌نت را تایید نکرده‌اند.[۱۷]

وزیر ارتباطات ایران در آبان ۱۳۸۹ اعلام کرد که رایانه‌های آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشاء ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظه‌های جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کرده‌اند.[۱۸] هفته‌نامهٔ اشپیگل در مقاله‌ای این احتمال را مطرح کرده است که این ویروس ناخواسته توسط کارشناسان شرکت روسیه و به وسیله یک فلش به رایانه‌های نیروگاه اتمی بوشهر منتقل شده است.[۱۲] به گفته خبرگزاری تابناک این فرد جاسوس دوجانبه ایرانی و عضو سازمان مجاهدین خلق ایران است که حافظه را به تجهیزات ایران وارد کرده‌است[۱۹].

کشورهای آسیب‌دیده

یک مطالعه درباره گسترش استاکس‌نت که توسط سیمانتک انجام گرفت، نشان داد که کشورهای آسیب دیده اصلی در روزهای اولیه انتشار ویروس، ایران، اندونزی و هند بودند:[۲]

کشورکامپیوترهای آلوده‌شده
ایران ۵۸٫۸۵%
اندونزی ۱۸٫۲۲%
هند ۸٫۳۱%
آذربایجان ۲٫۵۷%
ایالات متحده ۱٫۵۶%
پاکستان ۱٫۲۸%
دیگر ۹٫۲%

عملکرد

استاکس‌نت از طریق رایانامه و حافظه‌های جانبی منتشر می‌شود.این بدافزار پس از آلوده ساختن سیستم، فایل‌های زیر را در سیستم کپی می‌نماید:

  1.  %Windir%infmdmcpq3.PNF
  2.  %Windir%infmdmeric3.PNF
  3.  %Windir%infoem6C.PNF323
  4.  %Windir%infoem7A.PNF
  5.  %windir%system32driversmrxcls.sys
  6.  %windir%system32driversmrxnet.sys

و برای راه‌اندازی سرویس‌های خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب می‌کند:

  1. HKLMSystemCurrentControlSetServicesServicesMRxNet
  2. HKLMSystemCurrentControlSetServicesServicesMRxCls

سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق می‌کند و پس از جمع آوری اطلاعات مربوط به شبکه‌ها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وب‌گاه‌های زیر از طریق راه دور می‌کند:

  • www.windowsupdate.com
  • www.msn.com
  • www.mypremierfutbol.com
  • www.todaysfutbol.com

استاکس نت همچنین برای گسترش و انتشار خود در سیستم‌های دیگر، فایل‌های زیر را در حافظه‌های جانبی که به رایانه‌های آلوده شده متصل شوند، کپی می‌کند :

  1.  %DriveLetter%~WTR4132.tmp
  2.  %DriveLetter%~WTR4141.tmp
  3.  %DriveLetter%Copy of Shortcut to.lnk
  4.  %DriveLetter%Copy of Copy of Shortcut to.lnk
  5.  %DriveLetter%Copy of Copy of Copy of Shortcut to.lnk
  6.  %DriveLetter%Copy of Copy of Copy of Copy of Shortcut to.lnk

هدف

بنابر اظهارنظر کارشناسان سیمانتک، این بدافزار سیستم‌هایی را هدف قرار داده است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدل‌هایی از یک شرکت در فنلاند و یا تهران بوده است. استاکس نت به دنبال این دستگاه‌ها بر روی سیستم قربانی می‌گردد و فرکانسی را که دستگاه‌های مذکور با آن کار می‌کنند، شناسایی کرده و به دنبال بازه‌ای از ۸۰۰ تا ۱۲۰۰ هرتز می‌گردد. دستگاه‌های صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تاسیسات غنی‌سازی اورانیوم استفاده می‌شوند. هدف استاکس نت را نمی‌توان نیروگاه‌های هسته‌ای ایران دانست؛ به این دلیل که در این مراکز از این مبدل‌ها استفاده نمی‌شود. بنابراین مرکز غنی‌سازی نطنز تنها مرکز است که می‌تواند هدف احتمالی آن قرار گیرد.

این بدافزار فرکانس‌های مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا می‌برد و سپس آن را تا کمتر از ۲ هرتز پایین می‌آورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم می‌کند. در اصل، این بدافزار سرعتی را که موتور با آن کار می‌کند، به هم می‌ریزد که می‌تواند منجر شود هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید و یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی سازی نمی‌توانند به درستی اورانیوم را غنی سازی کند. این کار همچنین می‌تواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.[۲۰]

پیشگیری و پاکسازی

برای پاکسازی سیستم بصورت دستی ابتدا باید را غیر فعال نمود سپس در حالت تمام فایل‌ها و کلیدهای کپی شده توسط بدافزار در سیستم را پاک کرد. همچنین برای پیشگیری از آلوده شدن به استاکس‌نت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط مایکروسافت برطرف کرد.



نظرات شما عزیزان:



برچسب‌ها:

تاريخ : یک شنبه 28 تير 1394برچسب:,
| 14:50 | نويسنده : MiLAD |
طراح قالب : تک اسکين | Weblog Themes By : Tak Skin