ویروس مهاجم به صنعت نفت شناسایی شد

 خبرنگار همشهری مطلع شد تیمی فنی در شرکت امنیتی پاندا، تحقیقات جامعی درباره میزان نفوذ این ویروس و رفتارهای آن در ایران و جهان، انجام داده است. به همین جهت دو نفر از اعضای تیم مذکور به همشهری دعوت شدند و در میزگردی حضوری به تشریح این یافته‌ها پرداختند.

متعاقب آن گزارشی فنی به سفارش همشهری در باره جزئیات این رویداد تهیه و در دسترس قرار گرفت. آنچه در پی می‌آید ترکیبی از گفت‌وگو با مهدی جان بزرگی مدیر فنی پاندا در ایران و اسماعیل ذبیحی کارشناس مسئول و گزارش رسمی این شرکت امنیتی است.

ابتدا وجود این ویروس به‌علت فعالیت‌های تخریبی که برای آن بیان شد مانند سوزاندن مادربرد و یا پاک کردن غیرقابل بازگشت هارددیسک در محیط ویندوز، توسط بسیاری از کارشناسان مورد تایید قرار نگرفت اما تحقیقات فنی تازه‌ای که توسط شرکت ایمن‌رایانه، نماینده رسمی و انحصاری شرکت امنیتی Panda Security در ایران انجام شده، نشان می‌دهد که نفوذ ویروس وایپر و یا دست‌کم نفوذ ویروس دیگری با عملکردهای کاملا شبیه به وایپر به برخی مراکز سازمانی کشور امکان‌پذیر بوده است. جالب اینجاست که طیفی از سازمان‌های تابعه وزارت نفت ایران که به نرم‌افزارها یا سخت‌افزارهای امنیتی متفاوت مجهز بوده‌اند، با اختلال‌های ناشی از ویروس وایپر مواجه نشده‌اند.

براساس گزارش‌های تایید شده، تنها بخش‌هایی از این وزارتخانه آلوده شده‌اند که از یک نوع خاص از برنامه‌های ضدویروس استفاده می‌کرده‌اند، به همین دلیل شائبه ‌وجود حفره‌های امنیتی اصلاح‌نشده در این نوع ضدویروس که اخیراً در رسانه‌های معتبر جهان منتشر شده بود، قوت بیشتری یافته است.

از طرف دیگر، نشریه معتبر Virus Bulletin در شماره اکتبر 2011 خود از پراکندگی نسبتا وسیع یک ویروس عجیب و غریب تنها در کشور کوبا خبر داد. روند گزارش‌دهی نیز به‌نحوی بود که گویا فقط کامپیوترهای مجهز به همین ضد‌ویروس به‌صورت هدفدار مورد حمله واقع شده‌اند. این ویروس که در آن زمان، W32/VRBAT نامگذاری شد، تنها در عرض چند روز، هزاران هارددیسک را فقط در محدوده کشور کوبا از کار انداخت و سپس به‌طور ناگهانی کاملا محو شد!

با بررسی دقیق رایانه‌های آلوده، مشخص شد کلیه حافظه‌های جانبی متصل شده به این رایانه‌ها، حاوی یک فایل اجرایی با عنوان USBCheck.exe بودند که بعدها به‌عنوان عامل اصلی تخریب معرفی شد.شرکت ایمن رایانه، با همکاری شرکت پاندا در اسپانیا، موفق شد تا نمونه‌ای از ویروس W32/VRBAT را به دست آورد و با بررسی رفتار و عملکرد این ویروس در لابراتوارهای ضد‌بدافزار خود، به نتایج بسیار جالبی دست‌پیدا کرد که تا حد زیادی پرده از راز ویروس حمله‌کننده به صنعت نفت برمی‌دارد.

براساس این یافته‌ها، کاربرانی که از برنامه‌های ایمن‌ساز پورت‌های یو اس بی، به محض اتصال حافظه‌های جانبی حاوی USBCheck.exe هدف حمله ویروس W32/VRBAT قرار می‌گیرند. درصورتی که کاربر سطح دسترسی بالایی در شبکه نداشته باشد، این ویروس، خود را در فولدر temp قرار داده و تمام حافظه‌های جانبی متصل شده به سیستم را تا زمان حصول دسترسی مدیریتی آلوده می‌کند.

اما درصورت اجرای ویروس با دسترسی سطح بالا، ویروس خود را به فولدر Windows و با نام svchost.exe منتقل می‌کند. اکنون پس از یک دوره خاموش که ویروس در آن تنها اقدام به انتشار خود از طریق حافظه‌های جانبی محافظت نشده می‌کند، مرحله بعدی تخریب آغاز می‌شود: ایجاد تغییر در فایل‌های حیاتی سیستم و نیز کپی کردن دو فایل دیگر در پارتیشن نصب ویندوز که بستر را برای ضربه نهایی آماده می‌کند.

وقتی در آخرین مرحله، رایانه خود را روشن می‌کنید، به جای سیستم عامل فعلی شما، یک سیستم عامل دیگر توسط ویروس فعال می‌شود. حالا در این سیستم عامل ساده هر دستوری قابل اجراست. قفل کردن هارددیسک و یا فرمت کردن، پاک کردن و حتی حذف کامل (wipe) اطلاعات.

البته در کشور کوبا منتشرکننده‌های ویروس تنها هارددیسک‌های هدف را با استفاده از گذاشتن رمز عبور روی آن قفل کردند و نکته جالب اینکه رمز عبور هر کدام از هارددیسک‌ها نیز شماره سریال آنها تعریف شده بود. یعنی در نهایت هیچ خطر و یا تهدید خاصی متوجه هیچ کدام از رایانه‌های آلوده نشد و در عمل شاهد هیچ‌گونه اختلالی نبودیم!

آیا خرابکارهای اینترنتی در یک کشور کوچک آمریکای لاتین با شرایطی تقریبا بسته و غیرآزاد، تنها به آزمایش عملکرد یک ویروس رایانه‌ای خطرناک پرداخته‌اند؟

با کنار هم نهادن تمام گزینه‌ها می‌توان فرضیه بسیار قدرتمندتری را نتیجه گرفت: حمله صورت‌گرفته در کشور کوبا را می‌شود نوعی تمرین و آزمایش برای حمله یا حملات بعدی به اهداف مهم و استراتژیک کشورهای دیگر جهان ازجمله ایران درنظر گرفت.

بهترین و موثرترین راهکار حفاظتی، درنظر گرفتن مرحله اصلی تخریب و جلوگیری از فعالیت این ویروس و یا ویروس‌های مشابه در هنگام آغاز عملی حمله است. در این رابطه به‌نظر نمی‌رسد که راهکارهای سنتی ویروس‌یابی یعنی شناسایی ویروس‌ها بر مبنای فایل به روزرسانی موثر باشد. این یک راهکار پساکنترلی محسوب می‌شود و ویروس‌های بسیار جدید معمولا از این سد دفاعی به راحتی عبور می‌کنند. نمونه‌ای از قدرتمندترین روش‌های حفاظت پیشگیرانه در مقابله با ویروس‌های اینترنتی به فناوریTruPrevent مشهور است. این تکنولوژی حفاظتی می‌تواند به محض اجرای یک فایل، تمام رفتارها، حرکات و نحوه عملکرد آن را به سرعت بررسی کند تا درصورت مشکوک بودن یا مخرب بودن آن فایل، از ادامه اجرایش جلوگیری شود.

بنابراین، ویروس‌های ثبت نشده و بسیار جدید نیز با این روش به‌راحتی به دام می‌افتند و پس از قرنطیه شدن و تشخیص قابلیت‌های تخریبی، در پایگاه‌های اطلاعات امنیتی و به‌عنوان یک ویروس جدید ثبت می‌شوند. نصب اصلاحیه‌های امنیتی سیستم عامل روی تمام ایستگاه‌های کاری شبکه و نیز تعریف صحیح پیکربندی امنیت شبکه می‌توانند در شناسایی و کنترل سریع و پیشگیرانه حملات و ویروس‌های رایانه‌ای مفید باشند.