استاکسنت
نام عمومی | استاکسنت |
---|---|
نام فنی | استاکسنت
|
دستهبندی | کرم رایانهای |
گونه | قطره چکانی |
نویسنده(گان) | اکوئیشن گروپ |
سیستمعاملهای تأثیرپذیر |
اِستاکسنِت (به انگلیسی: Stuxnet) یک بدافزار رایانهای (طبق نظر شرکتهای نرمافزار امنیت رایانهای: کرم رایانهای[۱][۲] یا تروجان[۳]) است که اولینبار در تاریخ ۱۳ ژوئیه ۲۰۱۰ توسط ضدویروس ویبیای۳۲ شناسایی شد.[۴] این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانههای کاربران صنعتی، فایلهای با قالب اسکادا که مربوط به نرمافزارهای WinCC و PCS7 شرکت زیمنس میباشد را جمعآوری کرده و به یک سرور خاص ارسال میکند.[۵] براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنیسازی اورانیوم نطنز بودهاست.[۶][۷][۸]
مبدأ
[ویرایش]در اواخر ماه مه ۲۰۱۲ رسانههای آمریکایی اعلام کردند که استاکسنت مستقیماً به دستور اوباما رئیسجمهور وقت آمریکا طراحی، ساخته و راه اندازی شده.[۹] گرچه در همان زمان احتمال این میرفت که آمریکا تنها عامل سازنده نباشد.[۱۰] در ۷ ژوئیه سال ۲۰۱۳، ادوارد اسنودن در مصاحبهای با اشپیگل اعلام کرد این بدافزار با همکاری مشترک آژانس امنیت ملی ایالات متحده آمریکا و اسرائیل طی عملیاتی به نام عملیات بازیهای المپیک ساخته شدهاست.[۱۱][۱۲] در سال ۲۰۱۶ الکس گیبنی مستندی به نام روزهای صفر در مورد استاکسنت منتشر کرد که در آن این ویروس محصول مشترک ایالات متحده آمریکا و واحد ۸۲۰۰ ارتش اسرائیل معرفی شدهاست.[۱۳]
تاکنون موضعگیری رسمی از سوی هیچ کشوری به مبدأ این بدافزار اشاره مستقیم نکرده، با این حال برای نخستین بار مانی محرابی عضو هیئت علمی اندیشکده روابط بینالملل ایران در گفتگو با بخش جهانی خبرگزاری اسپوتنیک روسیه، آژانس اطلاعات مرکزی ایالات متحده آمریکا موسوم به سیا به همراه سازمان اطلاعات و وظایف ویژه اسرائیل، موساد را مسئول این بدافزار معرفی و هدف آن را آسیبرسانی به ساختار برنامه هستهای ایران معرفی کرد.[۱۴] این ادعا با واکنش مسئولان دولت اسرائیل مواجه شد.[۱۵]
انتشار
[ویرایش]نخستین کشورهایی که به شکل گسترده به این بدافزار آلوده شدند کشورهای ایران، اندونزی و هندوستان بودند. نخستین بار توسط کارشناس کامپیوتری ایرانی در مشهد که نمایندگی آنتیویروس بلاروسی، ویبیای ۳۲ را در این شهر را داشت متوجه وجود ویروسی شد که هدف آن سامانههای هدایتگر تأسیسات صنعت هستهای با سیستم عامل ویندوز است.[۱۶] کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشتهاند[۱۷] و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.[۱۸] این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده میکند.[۱۹] روزنامه نیویورک تایمز در تاریخ ۱۶ ژانویه ۲۰۱۱، در مقالهای مدعی شد که «اسرائیل استاکسنت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابهای که ایران از آنها در تاسیسات غنیسازی اورانیوم نطنز استفاده میکند، با موفقیت آزمایش کردهبود».[۲۰] این در حالی است که دولت اسرائیل یا دولت آمریکا بهطور رسمی دستداشتن در انتشار استاکسنت را تأیید نکردهاند.[۲۱]
انتشار در ایران
[ویرایش]وزیر ارتباطات ایران در آبان ۱۳۸۹ اعلام کرد که رایانههای آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشأ ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظههای جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کردهاند.[۲۲] هفتهنامهٔ اشپیگل در مقالهای این احتمال را مطرح کردهاست که این ویروس ناخواسته توسط کارشناسان شرکت اتم استروی اکسپورت روسیه و به وسیله یک حافظهٔ جانبی به رایانههای نیروگاه اتمی بوشهر منتقل شدهاست.[۱۶] به گفته خبرگزاری تابناک این فرد جاسوس دوجانبه ایرانی و عضو سازمان مجاهدین خلق ایران است که حافظه را به تجهیزات ایران وارد کردهاست.[۲۳]
روزنامه هلندی «فولکسکرانت» در مقاله ای مدعی شده است که با توجه به تحقیقات دو ساله روزنامهنگاران هلندی و مصاحبه با ۱۹ نفر از کارمندان دو سازمان اطلاعاتی هلند، سال ۲۰۰۶ مایکل هیدن، رئیس وقت سازمان جاسوسی آمریکا (سیا) در سفر به لاهه با مقامهای سرویس اطلاعات نظامی هلند (ام ای ف د) دیدار کرد و به آنها گفت که دیگر دستگاه اطلاعاتی هلند یعنی آ ای اف د دارد به سیا در یک «مأموریت فوقسری» کمک میکند. این روزنامه به نقل از منبعی که در این جلسه حاضر بوده، نوشته آقای هیدن گفته لازم است که «پمپهای آب» وارد مجتمع نطنز شود؛ پمپهایی که حاوی یک «توانایی فنی» هستند که پس از نصبشان باعث میشوند سانتریفیوژها از کار بیفتند.این منبع میگوید رئیس سیا گفته رسیدن به این فناوری یک تا دو میلیارد دلار هزینه داشته است.[۷]
به نوشته روزنامه هلندی، سیا استاکسنت را در این پمپها پنهان کرده بود تا پس از نصبش، به شبکه کامپیوتری نطنز - که به اینترنت متصل نبود - وارد شود؛ و این پمپها را اریک ون سابن، مأمور سرویس اطلاعاتی هلند در تأسیسات نطنز در سال ۲۰۰۸ نصب کرد. او مسئولیت انتقال و نصب تجهیزات آلوده را به عهده گرفته بود. او در سال ۲۰۰۵ وقتی که کارمند شرکت حمل و نقل tts مستقر در دبی بود که برای دور زدن تحریم ها با ایران همکاری میکرد، جذب cia شد. او در سال ۲۰۱۰ در شهر دبی، موتورسیکلتش واژگون شد و جان خود را از دست داد.[۷]
انتشار در بقیه کشورها
[ویرایش]یک مطالعه دربارهٔ گسترش استاکسنت که توسط شرکت سیمانتک انجام گرفت، نشان داد که کشورهای آسیبدیده اصلی در روزهای اولیه انتشار ویروس، ایران، اندونزی و هند بودند:[۱]
کشور | کامپیوترهای آلودهشده |
---|---|
ایران | ۵۸٫۸۵٪ |
اندونزی | ۱۸٫۲۲٪ |
هند | ۸٫۳۱٪ |
آذربایجان | ۲٫۵۷٪ |
ایالات متحده | ۱٫۵۶٪ |
پاکستان | ۱٫۲۸٪ |
دیگر | ۹٫۲٪ |
همچنین مطالعه دیگری توسط آزمایشگاه امنیت سایبرنتیک آیو به قلم میلاد کهساری الهادی با عنوان «کالبدشکافی بدافزار استاکس نت» بر روی این بدافزار صورت گرفتهاست که در آن حمله سایبری استاکس نت به زیرساخت کشور جمهوری اسلامی ایران از جنبههای مختلف مورد بررسی قرار گرفتهاست. از قبیل اینکه چرا سازمانهای امنیتی برای انهدام زیرساخت هسته ای ایران مجبور به استفاده از این بدافزار شدند و پس از شناسایی این بدافزار، چه تغییراتی در اکوسیستم امنیت سایبر و امنیت ملی در جهان صورت گرفت.[نیازمند منبع]
هدف
[ویرایش]بنابر اظهارنظر کارشناسان سیمانتک[نیازمند منبع]، این بدافزار سیستمهایی را هدف قرار دادهاست که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدلهایی از یک شرکت در فنلاند یا تهران بودهاست. استاکسنت به دنبال این دستگاهها بر روی سیستم قربانی میگردد و فرکانسی را که دستگاههای مذکور با آن کار میکنند، شناسایی کرده و به دنبال بازهای از ۸۰۰ تا ۱۲۰۰ هرتز میگردد. دستگاههای صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تأسیسات غنیسازی اورانیوم استفاده میشوند. هدف استاکس نت را میتوان نیروگاههای هستهای ایران دانست؛ به این دلیل که در این مراکز از این مبدلها استفاده میشود؛ بنابراین مراکز غنیسازی نطنز و بوشهر تنها مراکزی است که میتواند هدف احتمالی آن قرار گیرد.
این بدافزار فرکانسهای مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا میبرد و سپس آن را تا کمتر از ۲ هرتز پایین میآورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم میکند. در اصل، این بدافزار سرعتی را که موتور با آن کار میکند، به هم میریزد که میتواند منفجر شود یا هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنیسازی نمیتوانند به درستی اورانیوم را غنیسازی کند. این کار همچنین میتواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.[۲۴]
اطلاعات فنی
[ویرایش]آلودهسازی سیستم
[ویرایش]استاکسنت از طریق رایانامه و حافظههای جانبی منتشر میشود. این بدافزار پس از آلوده ساختن سیستم، فایلهای زیر را در سیستم کپی مینماید:
%Windir%\inf\mdmcpq3.PNF
%Windir%\inf\mdmeric3.PNF
%Windir%\inf\oem6C.PNF323
%Windir%\inf\oem7A.PNF54
%windir%\system32\drivers\mrxcls.sys
%windir%\system32\drivers\mrxnet.sys
و برای راهاندازی سرویسهای خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب میکند:
HKLM\System\CurrentControlSet\Services\Services\MRdfr2xNet
HKLM\System\CurrentControlSet\Services\Services\MR45xCls
سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق میکند و پس از جمعآوری اطلاعات مربوط به شبکهها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وبگاههای زیر از طریق راه دور میکند:
www.windowsupdate.com
www.msn.com
www.mypremierfutbol.com
www.todaysfutbol.com
استاکس نت همچنین برای گسترش و انتشار خود در سیستمهای دیگر، فایلهای زیر را در حافظههای جانبی که به رایانههای آلوده شده متصل شوند، کپی میکند:
%DriveLetter%\~WTR45132.tmp
%DriveLetter%\~WTR48141.tmp
%DriveLetter%\Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
%DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
پیشگیری و پاکسازی
[ویرایش]برای پاکسازی سیستم به صورت دستی ابتدا باید سیستم ریستور (به انگلیسی: System Restore) را غیرفعال نمود سپس در حالت سیف مد (به انگلیسی: Safe Mode) تمام فایلها و کلیدهای کپی شده توسط بدافزار در سیستم را حذف کرد. همچنین برای پیشگیری از آلوده شدن به استاکسنت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط شرکت مایکروسافت برطرف کرد.
جستارهای وابسته
[ویرایش]پیوند به بیرون
[ویرایش]- دی تلگراف، لندن Barack Obama ordered Stuxnet cyber attack on Iran
- واشینگتن پست Stuxnet was work of U.S. and Israeli experts, officials say
- بلوم برگ بیزینس ویک Risks of boomerangs a reality in world of cyberwar
پانویس
[ویرایش]- ↑ ۱٫۰ ۱٫۱ "W32.Stuxnet" (به انگلیسی). وبگاه Symantec. Archived from the original on 20 July 2010. Retrieved 18 مرداد 1389.
{{cite web}}
: Check date values in:|تاریخ بازدید=
(help) - ↑ "Worm.Win32.Stuxnet.f" (به انگلیسی). وبگاه سکیورلیست. Retrieved 18 مرداد 1389.
{{cite web}}
: Check date values in:|تاریخ بازدید=
(help) - ↑ "Trojan-Dropper:W۳۲/Stuxnet" (به انگلیسی). وبگاه افسکیور. Retrieved 18 مرداد 1389.
{{cite web}}
: Check date values in:|تاریخ بازدید=
(help) - ↑ «ویروسی که صنایع ایران را هدف قرار دادهاست». وبگاه عصرایران. دریافتشده در ۱۸ مرداد ۱۳۸۹.
- ↑ «۶۵ درصد از قربانیان بدافزار Stuxnet(استاکس نت) ایرانی هستند». ایرنا. دریافتشده در ۱۸ مرداد ۱۳۸۹.[پیوند مرده]
- ↑ علی پارسا (۲۶ آبان ۱۳۸۹). «سرانجام راز استاکسنت کشف شد: هدف تأسیسات غنیسازی اورانیوم نطنز». وبگاه وین بتا. بایگانیشده از اصلی در ۲۴ نوامبر ۲۰۱۰. دریافتشده در ۲۵ نوامبر ۲۰۱۰.
- ↑ ۷٫۰ ۷٫۱ ۷٫۲ «روایتی تازه از حمله استاکسنت به تأسیسات هستهای نطنز». BBC Farsi. ۲۰۱۹-۰۹-۰۳. دریافتشده در ۲۰۱۹-۰۹-۰۳.
- ↑ «افشای هویت «مهندسی که با پمپ آب استاکسنت را به نطنز برد»». BBC News فارسی. ۲۰۲۴-۰۱-۰۸. دریافتشده در ۲۰۲۴-۰۱-۰۹.
- ↑ Obama continued, accelerated use of Bush-era Stuxnet computer attacks on Iran
- ↑ مجله استاندارد اتریشی
- ↑ Snowden Der Spiegel Interview
- ↑ در اشپیگل
- ↑ http://www.businessinsider.com/nitro-zeus-iran-infrastructure-2016-7
- ↑ Sputnik. "Stuxnet, the CIA/Mossad 'Worm of the Apocalypse' No Longer Threatens Iran". sputniknews.com (به انگلیسی). Retrieved 2018-01-28.
- ↑ «THE STUXNET "WORM OF THE APOCALYPSE": NO LONGER THREATENS IRAN | Gary Franchi's Next News Network». nextnewsnetwork.com (به انگلیسی). بایگانیشده از اصلی در ۲۹ ژانویه ۲۰۱۸. دریافتشده در ۲۰۱۸-۰۱-۲۸.
- ↑ ۱۶٫۰ ۱۶٫۱ نخستین حملهٔ سایبری به نیروگاه اتمی بوشهر؟، دویچه وله فارسی
- ↑ «ویروسی که صنایع [[ایران]] را هدف قرار دادهاست». وبگاه عصرایران. دریافتشده در ۱۸ مرداد ۱۳۸۹. تداخل پیوند خارجی و ویکیپیوند (کمک)
- ↑ "Iran was prime target of SCADA worm" (به انگلیسی). وبگاه مجله بیزنس ویک. Retrieved 18 مرداد 1389.
{{cite web}}
: Check date values in:|تاریخ بازدید=
(help) - ↑ «ویروسی که صنایع ایران را هدف قرار دادهاست». وبگاه عصرایران. دریافتشده در ۱۸ مرداد ۱۳۸۹.
- ↑ "Israel Tests on Worm Called Crucial in Iran Nuclear Delay" (به انگلیسی). وبگاه نیویورک تایمز. ۲۶ دی ۱۳۸۹. Retrieved 1 دی 1389.
{{cite web}}
: Check date values in:|تاریخ بازدید=
و|تاریخ=
(help) - ↑ نیویورک تایمز: «استاکس نت طرح آمریکا و اسرائیل بود»، بیبیسی فارسی
- ↑ شناسایی منشأ ویروس رایانهای استاکس نت/ وضعیت کنترل ویروس در کشور خبرگزاری مهر
- ↑ «عامل انتقال ویروس استاکسنت به تجهیزات نطنز مشخص شد». تابناک. ۲۸ فروردین ۱۳۹۱. دریافتشده در ۲۸ فروردین ۱۳۹۱.
- ↑ Eric Chien (۱۲ نوامبر ۲۰۱۰). "Stuxnet: A Breakthrough". وبگاه رسمی سیمانتک (به انگلیسی). Retrieved 25 November 2010.
{{cite web}}
: Unknown parameter|نشانی نویسنده=
ignored (help)
- جنگ سایبری در ایران
- اسرار
- امنیت رایانهای
- ایران در ۱۳۸۹
- ایران در ۲۰۱۰ (میلادی)
- بدافزارها
- برنامه هستهای ایران
- برنامه هستهای کره شمالی
- تئوریهای توطئه
- جنگ سایبری
- جنگ نیابتی ایران و اسرائیل
- حملههای سایبری
- حملههای رمزنگاری
- حملههای سایبری به بخش انرژی
- روابط اسرائیل و ایالات متحده آمریکا
- روابط ایران و اسرائیل
- روابط ایران و ایالات متحده آمریکا
- روابط کره شمالی و ایالات متحده آمریکا
- روتکیتها
- علوم رایانه در ۲۰۱۰ (میلادی)
- کرمهای رایانهای
- کره شمالی در ۲۰۱۰ (میلادی)
- کنترل دسترسی رایانه
- محاسبات صنعتی
- هک کردن در دهه ۲۰۱۰ (میلادی)