استاکسنت (به انگلیسی: Stuxnet) یک بدافزار رایانهای (طبق نظر شرکتهای نرمافزار امنیت رایانهای: کرم رایانهای[۲][۳] یا تروجان[۴]) است که اولینبار در تاریخ ۱۳ ژوئیه ۲۰۱۰ توسط ضدویروس ویبیای۳۲ شناسایی شد.[۵] این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانههای کاربران صنعتی، فایلهای با قالب اسکادا که مربوط به نرمافزارهای WinCC و PCS7 شرکت زیمنس میباشد را جمعآوری کرده و به یک سرور خاص ارسال میکند.[۶]
براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنیسازی اورانیوم نطنز بودهاست.[۷]
در اواخر ماه مه ۲۰۱۲ رسانه های آمریکایی اعلام کردند که استاکسنت مستقیماً به دستور اوباما رئیس جمهور آمریکا طراحی، ساخته و راه اندازی شده.[۸]گرچه در همان زمان احتمال این میرفت که آمریکا تنها عامل سازنده نباشد.[۹] در ژوئیه سال ۲۰۱۳ میلادی، ادوارد اسنودن اعلام کرد این بد افزار با همکاری مشترک آمریکا و اسرائیل ساخته شده است.[۱۰][۱۱]
انتشار
این بدافزار در اواسط تیرماه ۱۳۸۹ در سراسر جهان انتشار یافت.نخستین بار کارشناسان کامپیوتری بلاروس متوجه وجود ویروسی شدند که هدف آن سامانههای هدایتگر تأسیسات صنعتی با سیستم عامل ویندوز است.[۱۲] کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشتهاند[۱۳] و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.[۱۴] این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده میکند.[۱۵] روزنامه نیویورک تایمز در تاریخ ۱۶ ژانویه ۲۰۱۱ میلادی، در مقالهای مدعی شد که «اسرائیل استاکسنت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابهای که ایران از آنها در تاسیسات غنیسازی اورانیوم نطنز استفاده میکند، با موفقیت آزمایش کردهبود».[۱۶] این در حالیست که دولت اسرائیل یا دولت آمریکا هیچگاه به طور رسمی دستداشتن در انتشار استاکسنت را تایید نکردهاند.[۱۷]
وزیر ارتباطات ایران در آبان ۱۳۸۹ اعلام کرد که رایانههای آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشاء ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظههای جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کردهاند.[۱۸] هفتهنامهٔ اشپیگل در مقالهای این احتمال را مطرح کرده است که این ویروس ناخواسته توسط کارشناسان شرکت روسیه و به وسیله یک فلش به رایانههای نیروگاه اتمی بوشهر منتقل شده است.[۱۲] به گفته خبرگزاری تابناک این فرد جاسوس دوجانبه ایرانی و عضو سازمان مجاهدین خلق ایران است که حافظه را به تجهیزات ایران وارد کردهاست[۱۹].
کشورهای آسیبدیده
یک مطالعه درباره گسترش استاکسنت که توسط سیمانتک انجام گرفت، نشان داد که کشورهای آسیب دیده اصلی در روزهای اولیه انتشار ویروس، ایران، اندونزی و هند بودند:[۲]
کشور | کامپیوترهای آلودهشده |
---|---|
ایران | ۵۸٫۸۵% |
اندونزی | ۱۸٫۲۲% |
هند | ۸٫۳۱% |
آذربایجان | ۲٫۵۷% |
ایالات متحده | ۱٫۵۶% |
پاکستان | ۱٫۲۸% |
دیگر | ۹٫۲% |
عملکرد
استاکسنت از طریق رایانامه و حافظههای جانبی منتشر میشود.این بدافزار پس از آلوده ساختن سیستم، فایلهای زیر را در سیستم کپی مینماید:
- %Windir%infmdmcpq3.PNF
- %Windir%infmdmeric3.PNF
- %Windir%infoem6C.PNF323
- %Windir%infoem7A.PNF
- %windir%system32driversmrxcls.sys
- %windir%system32driversmrxnet.sys
و برای راهاندازی سرویسهای خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب میکند:
- HKLMSystemCurrentControlSetServicesServicesMRxNet
- HKLMSystemCurrentControlSetServicesServicesMRxCls
سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق میکند و پس از جمع آوری اطلاعات مربوط به شبکهها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وبگاههای زیر از طریق راه دور میکند:
- www.windowsupdate.com
- www.msn.com
- www.mypremierfutbol.com
- www.todaysfutbol.com
استاکس نت همچنین برای گسترش و انتشار خود در سیستمهای دیگر، فایلهای زیر را در حافظههای جانبی که به رایانههای آلوده شده متصل شوند، کپی میکند :
- %DriveLetter%~WTR4132.tmp
- %DriveLetter%~WTR4141.tmp
- %DriveLetter%Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Copy of Shortcut to.lnk
- %DriveLetter%Copy of Copy of Copy of Copy of Shortcut to.lnk
هدف
بنابر اظهارنظر کارشناسان سیمانتک، این بدافزار سیستمهایی را هدف قرار داده است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدلهایی از یک شرکت در فنلاند و یا تهران بوده است. استاکس نت به دنبال این دستگاهها بر روی سیستم قربانی میگردد و فرکانسی را که دستگاههای مذکور با آن کار میکنند، شناسایی کرده و به دنبال بازهای از ۸۰۰ تا ۱۲۰۰ هرتز میگردد. دستگاههای صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تاسیسات غنیسازی اورانیوم استفاده میشوند. هدف استاکس نت را نمیتوان نیروگاههای هستهای ایران دانست؛ به این دلیل که در این مراکز از این مبدلها استفاده نمیشود. بنابراین مرکز غنیسازی نطنز تنها مرکز است که میتواند هدف احتمالی آن قرار گیرد.
این بدافزار فرکانسهای مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا میبرد و سپس آن را تا کمتر از ۲ هرتز پایین میآورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم میکند. در اصل، این بدافزار سرعتی را که موتور با آن کار میکند، به هم میریزد که میتواند منجر شود هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید و یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی سازی نمیتوانند به درستی اورانیوم را غنی سازی کند. این کار همچنین میتواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.[۲۰]
پیشگیری و پاکسازی
برای پاکسازی سیستم بصورت دستی ابتدا باید را غیر فعال نمود سپس در حالت تمام فایلها و کلیدهای کپی شده توسط بدافزار در سیستم را پاک کرد. همچنین برای پیشگیری از آلوده شدن به استاکسنت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط مایکروسافت برطرف کرد.
نظرات شما عزیزان:
برچسبها:
.: طراحی شده توسط تک اسکین :.