این ویروس تنها بهدنبال سیستم مدیریتی اسکادا (scada) زیمنس که معمولا در کارخانههای بزرگ تولیدی و صنعتی مورد استفاده قرار میگیرد، بوده و تلاش میکند اسرار صنعتی رایانههای این کارخانهها را روی اینترنت بارگذاری (upload) کند. تاکنون گمان میرفت هدف اصلی این ویروس، ساختارهای صنعتی ایران بوده و به همین جهت برخی از گزارشها مدعی بود که 60درصد کل آلودگیها به وسیله این ویروس در ایران رخ داده است. با این حال اکنون خبرها حکایت از آلودگی حداقل 15شرکت صنعتی بزرگ در آلمان به این ویروس دارد.
سخنگوی زیمنس در گفتوگو با روزنامه زوددویچه زایتونگ تأیید کرده است که تعدادی از طرحهای بزرگ صنعتی آلمان به وسیله ویروس استاکسنت مورد حمله قرار گرفته و برخی از اطلاعات سری آنها به سرقت رفته است. 5مورد از این 15مورد کشف آلودگی در بخش کنترل مرکزی صنایع بوده است که وظیفه کنترل و نظارت بر فعالیتهای اساسی صنایع را بر عهده دارند. با این حال زیمنس میگوید که برای حذف و از کار انداختن این ویروس از کارخانههای مذکور، همکاری کرده است و اکنون هیچ مورد آلودگی جدید وجود ندارد.
این نخستین حمله ویروسی به ساختارهای صنعتی در این سطح بوده و به همین دلیل بهعنوان یک سوپر ویروس لقب گرفته است. ویروس مذکور از پیچیدگی خاصی برخوردار بوده و قادر است ساختارهای حیاتی یک کارخانه مانند موتورها، پمپها، سیستمهای هشدار و سایر فرامین صنعتی را از کار بیندازد.
برخی گزارشها میگویند که ویروس مذکور قادر است دیگهای بخار یا خطوط لوله گاز یا حتی تأسیسات حساس صنایع را منفجر کند.
سیستمهای مدیریت و کنترل زیمنس عمدتا در صنایع بزرگ مانند نیروگاههای آبی، گازی و هستهای، سکوهای نفتی، مدیریت منابع آب و سایر ساختارهای صنعتی بزرگ بهکار میرود. زیمنس میگوید که تحقیقاتش در باره سازنده این ویروس یا هدف اصلی آن هنوز به نتیجه نهایی نرسیده است. ویروس استاکس نت در واقع مانند یک تروجان قادر است بعد از رسوخ به رایانههای صنعتی، اطلاعاتی را از طریق اینترنت به مبدا خود ارسال کند.
وضعیت در ایران
شرکت زیمنس که نرمافزارهایش تحت حمله این ویروس قرار گرفته، تعداد مشتریان خود را در ایران اعلام نمیکند اما به تازگی اعلام کرده 2شرکت آلمانی به واسطه این ویروس آلوده شدهاند. براساس گزارشهای منتشر شده نرم افزار آنتیویروس رایگانی که اخیرا روی وبسایت زیمنس قرار گرفته تاکنون هزار و 500 بار دانلود شده است. سیمانتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک بهوجود آمده بهمنظور اتصال به سرورهای کنترل و فرمان کرم رایانهای به سوی رایانههای خود جمعآوری کرده است.
طی دورهای سه روزه رایانههایی که در 14هزار آدرس ip حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان، ارتباط برقرار کنند که این نشان میدهد تعداد کمی از رایانههای خانگی در سراسر جهان به این کرم آلوده شدهاند. تعداد دقیق رایانههای آلوده میتواند حدود 15 تا 20هزار باشد زیرا بسیاری از شرکتها برای چند رایانه یک آدرس ip درنظر میگیرند. به این دلیل است که سیمانتک میتواند آدرسهای ip مورد استفاده سیستمهای رایانهای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، همچنین میتواند تعیین کند کدام رایانه آلوده شده است.
به گفته این شرکت، رایانههای آلوده شده به سازمانهای متعددی تعلق داشتهاند که از نرمافزار و سیستمهای اسکادا استفاده میکردند؛ ویژگیای که به روشنی مورد هدف حمله هکرها بوده است.
اطلاعات فنی درباره استاکس نت
به گفته کارشناسان، این بدافزار جدید که در واقع یک Rootkit است، از یک آسیبپذیری در فایلهای میانبر با پسوند.lnk سوءاستفاده میکند.
RootKitها برنامههایی هستند که از نظر ساختار کاری بسیار شبیه Trojanها و Backdoorها هستند ولی با این تفاوت که شناسایی RootKit بسیار مشکلتر از درهای پشتی است زیرا RootKitها علاوه بر اینکه بهعنوان یک برنامه کاربردی خارجی مثل شنونده Netcat و ابزارهای در پشتی مثل Sub7 روی سیستم اجرا میشوند بلکه جایگزین برنامههای اجرایی مهم سیستم عامل و گاهی مواقع جایگزین خود هسته کرنل میشوند و به هکرها این اجازه را میدهند که از طریق در پشتی و پنهان شدن در عمق سیستم عامل به آن نفوذ کنند و مدت زیادی با خیال راحت با نصب ردیابها (Sniffer) و دیگر برنامههای مانیتورینگ روی سیستم، اطلاعاتی را که نیاز دارند به دست آورند. بدافزار مذکور، نرمافزار siemens wincc scada را که روی ویندوز 7 نسخه enterprise و سیستمهای x86 اجرا میشود، آلوده میسازد.
این ویروس از طریق درایوهای یواسبی گسترش پیدا میکند و زمانی که یک آیکون میانبر روی صفحه نمایش قربانی نشان داده میشود، بهصورت اتوماتیک اجرا میشود. هدف بدافزار مذکور گرفتن حق دسترسی مدیریتی و دسترسی به دادههای سیستمهای اسکاداست که معمولا توسط سازمانهای دارای زیرساختهای حیاتی مورد استفاده قرار میگیرد. این بدافزار از نام کاربری و کلمه عبوری که در نرمافزار زیمنس بهصورت hard-coded وجود دارد، سوءاستفاده میکند. همچنین گفته میشود که این بدافزار جدید از یک امضای دیجیتال مربوط به معتبرترین شرکت سختافزاری یعنی realtek semiconductor corporation برای اعتباردهی به درایورهای خود استفاده میکند.
استاکس نت توسط ابزارهای یواس بیدار انتقال پیدا میکند. زمانی که ابزاری آلوده، به این شکل به رایانه اتصال پیدا میکند، کدهای آن به جستوجوی سیستمهای زیمنس پرداخته و خود را روی هر ابزار یو اس بیدار دیگری که بیابد، کپی خواهند کرد. به نوشته سیمانتک دلیل اصلی تولید این ویروس مشخص نیست اما انگیزههای جاسوسی صنعتی، تروریسم صنعتی یا حتی انگیزههای منفی برخی کارکنان و همچنین انگیزههای کشف اطلاعات محرمانه توسط رقبا ممکن است از جمله دلایل ایجاد این ویروس بوده باشد.
