تبلیغات
control - ویروس استاکس نت و سیستم های کنترلی زیمنس
درباره وب سایت

ارتباط با ما:


mehdi400v@yahoo.com
آرشیو وب سایت
نویسندگان
موضوعات
لینک دوستان
آمار وب سایت
  • بازدیدهای امروز :
  • بازدیدهای دیروز :
  • كل بازدیدها :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • كل مطالب ارسال شده:
  • آخرین بازدید :
  • آخرین بروز رسانی :
ورود به پروژه






کرم Stuxnet (استاکس نت) اولین بار در ژوئن 2010 توسط یك شركت روسی نام VirusBlockAda که اعلام کرد نرم افزاری را بر روی سیستم رایانه یکی از مشتریان ایرانی خود مشاهده کرده، کشف شد. به گفته "الیاس لووی" مدیر ارشد فنی بخش "پاسخگویی ایمنی سایمنتک"با توجه به تاریخ نشانه های دیجیتالی که از این کرم رایانه ای به جا مانده، می توان گفت این نرم افزار از ماه ژانویه سال جاری میان رایانه ها در گردش بوده است.این اولین كرم كشف شده ای است كه می تواند بر روی سیستم های صنعتی فعالیت نماید. این كرم به منظور حمله به سیستم های مدیریت كنترل و داده (SCADA) كه به منظور كنترل و مونیتورینگ سیستم های صنعتی به كار می رود، طراحی شده و قابلیت برنامه ریزی مجدد PLC ها و مخفی نگه داشتن تغییرات انجام شده را دارد. همچنین اولین كرمی است كه به منظور حمله به زیر بنای صنایع مهم طراحی شده است. بیشتر خبر گذاری های خارجی ادعا می كنند كه این برنامه مخرب جهت هدف گیری تاسیسات و صنایع با ارزش ایران كه بیشتر از تولیدات كنترلی شركت زیمنس استفاده كرده اند طراحی شده است. زیمنس اظهار داشته است كه این كرم تا به حال خسارتی به بار نیاورده است. شركت Kaspersky شاخه روسیه اظهار كرده است كه این ویروس می تواند آغاز گر نسل جدیدی از اسلحه های نرم افزاری و جنگ نرم افزاری باشد كه كشورها می توانند بر علیه یكدیگر به كار گیرند مگر اینكه مردم به راحتی از استفاده از محصولات مایكروسافت خودداری نمایند. كوین هوگان مدیر ارشد سایمنتك اعلام كرده است 60 درصد آلودگی در ایران مشاهده شده است. 

سیستم های مورد هدف اصولا از نرم افزارهای شركت زیمنس از جمله Wincc، PCS7 و Supervisory Control And Data Acquisition SCADA‌ استفاده كرده اند.


طریقه آلوده شدن


این كرم در وهله اول از طریق فلش مموری های قابل حمل سیستم ها را آلوده می نماید سپس از طریق شبكه و نرم افزار مونیتورینگ Wincc به آلوده كردن سیستم های دیگر می پردازد. در این روش، ویروس دارای یک شمارشگر است و تعداد دفعاتی که یک حافظه می تواند باعث آلودگی شود، به سه دفعه محدود شده است. این محدودیت نشان می دهد که ویروس نویسان نمی خواستند که دامنه آلودگی گسترش یابد و تاکید داشته اند که انتشار آلودگی فقط محدود به چند کامپیوتر اطراف آلودگی اولیه باشد. همچنین در روش انتشار از طریق شبکه محلی، یک آلودگی فقط در سه هفته اول به دیگر ماشین های داخل شبکه، انتشار می یابد و پس از آن، هیچگونه فعالیتی برای شیوع و انتشار خود انجام نمی دهد. اما عجایب Stuxnet به اینجا ختم نمی شود. این كرم همچنین از یك حفره ویندوز كه در سال 2008 توسط به روز رسانی MS08-067 اصلاح شده بود نیز استفاده می كند. این نقص امنیتی همان آسیب پذیری مورد استفاده كرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود كه به میلیون ها سیستم در سراسر جهان آسیب وارد كرد. زمانی كه Stuxnet از طریق USB وارد یك شبكه می شود، با استفاده از آسیب پذیری های EoP حق دسترسی admin به سایر PC ها را برای خود ایجاد می كند، سیستم هایی را كه برنامه های مدیریت WinCC، PCS 7و SCADA اجرا می كنند پیدا می كند، كنترل آنها را با سوء استفاده از یكی از آسیب پذیری های print spooler یا MS08-067 در اختیار می گیرد، و سپس كلمه عبور پیش فرض زیمنس را برای در اختیار گرفتن نرم افزار SCADA آزمایش می كند. سپس مهاجمان می توانند نرم افزار (Programmable Logic Control) PLC را مجددا برنامه ریزی كنند تا دستورات جدید را مطابق میل خود صادر نمایند. این بد افزار به عنوان یك Malware بسیار غیر معمول به نظر می رسد. اینگونه طراحی به علم كاملی از پروسه های صنعتی نیاز دارد. ضمن آنكه این كرم به طرز غیر معمولی در اندازه بزرگ می باشد و حدود5/0 مگابایت است. همچنین به زبان های برنامه نویسی متفاوتی از جمله C و ++C نوشته شده است كه برای یكMalware عادی نمی باشد. این كرم دارای دو Certificate دزدیده شده از JMicron و Realtek می باشدكه به آن اجازه می دهد برای مدت طولانی نا شناخته و پنهان باقی بماند. از قابلیت های دیگر آن این است كه از طریق روش Peer to Peer قابل ارتقاء یافتن است. این بدافزار، هم زمان چهار نقص امنیتی اصلاح نشده ویندوز را مورد سوء استفاده قرار می دهد كه سوء استفاده از این تعداد آسیب پذیری برای یك بدافزار بسیار زیاد است. بنا بر اطلاعات ارائه شده توسط مایكروسافت، این ویروس همچنین می تواند در یك وب سایت، اشتراك های شبكه از راه دور یا در فایل های Word نیز مخفی شده و از این طریق به گسترش آلودگی بپردازد.


کارشناسان با بررسی ویروس Stuxnet به روش جدید دیگری که این ویروس برای شیوع و انتشار خود استفاده میکند، پی برده اند. با این روش، حتی کامپیوترهای آلوده ای که پاکسازی شده اند، دوباره در معرض آلودگی به این ویروس قرار میگیرند. در این روش جدید شناسایی شده، ویروسStuxnet یک برنامه DLL مخرب و آلوده را به فایل های خاصی از نوع Step7 تزریق میکند. بدین ترتیب بر روی هر کامپیوتر سالمی که یک فایلStep7 آلوده باز شود، آن کامپیوتر نیز به ویروس Stuxnet آلوده خواهد شد. فایل هایStep7 توسط نرم افزارStep7 که بخشی از سیستم مدیریت صنعتی شرکت زیمنس است، ساخته میشوند. این نرم افزار وظیفه برنامه ریزی و انجام تنظیمات سخت افزارهای سیستم کنترل صنعتی شرکت زیمنس را بر عهده دارد و اطلاعات تولیدی این نرم افزار در فایل های از نوع Step7 ذخیره میشود. حال اگر آلودگی این کامپیوترها شناسایی شود، معمولاً ابتدا از فایل های اطلاعاتی روی آن کامپیوترها بایگانی گرفته شده و سپس اقدام به پاکسازی آن می شود. در صورتی که در این حالت، پس از پاکسازی و بازگرداندن بایگانی فایل ها، به محض باز کردن یکی از فایل های Step7 دستکاری شده توسط Stuxnet ،آن کامپیوتر دوباره آلوده خواهد شد. در بسیاری از مجموعه های صنعتی بزرگ، این احتمال وجود دارد که عملیات برنامه نویسی و تنظیمات تحت سیستمهای شرکت زیمنس در یک بخش خاص از آن مجموعه انجام شده و فایل های ساخته شده Step7 از این بخش به دیگر بخش های مجموعه ارسال شود تا مورد استفاده قرار گیرند. با روشی که ویروس Stuxnet بکار گرفته است، در این حالت فقط کافی است که فایل های Step7 آلوده باشند تا کل مجموعه صنعتی آلوده شود.


كلیه این قابلیت ها نمایان می سازد كه این یك كار گروهی بوده است و نوشته یكنفر به تنهایی نمی باشد. اریك بایرز كه سال ها در زمینه رفع اشكال و تعمیرات سیستم های زیمنس تجربه دارد بیان میكند كه اگر نخواهیم بگوییم سال ها برای نوشتن آن وقت صرف شده است حداقل ماه ها نفر ساعت كار برده است. 

با وجود اینكه سایمانتك اطلاعات دقیقی از شركت های آلوده شده دارد، از افشای اطلاعات در مورد نام و تعداد شركت های آلوده شده به دلیل مسائل امنیتی خودداری می كند. سیمانتك اطلاعات خود در اینباره را از طریق نظارت بر ارتباطاتی كه دستگاه های آلوده با سرور command and control بدافزار Stuxnet برقرار می كرده اند، به دست آورده است. آنها با شركت های آلوده شده تماس گرفته و به آنها در مورد چگونگی مقابله با این بدافزار آگاهی داده اند. بنا بر نظر محققان امنیتی، بدافزار مذكور یك توسعه جدی در زمینه تهدیدات رایانه ای محسوب می شود و متأسفانه كنترل سیستم های فیزیكی در محیط های كنترل صنعتی را در اختیار هكرها قرار می دهد.


مایكروسافت نیز یك اصلاحیه فوری را برای برطرف ساختن نقص امنیتی مذكور منتشر كرده است، ولی تنها نصب اصلاحیه، نمی تواند از سیستم هایی كه از نرم افزار زیمنس استفاده می كنند، محافظت به عمل آورد زیرا این بدافزار قادر است كد خود را در سیستم های مذكور مخفی كرده و بدون اینكه كسی متوجه شود، در فعالیت های كارخانه و یا نیروگاه مداخله كند. آن همچنین می تواند فعالیت های جدیدی را برای یك خط لوله و یا یك نیروگاه تعریف كند كه ممكن است صاحبان سیستم متوجه آن نشوند. به همین دلیل سیستم هایی كه آلوده شده اند باید كاملاً مورد بازرسی قرار گیرند تا اطمینان حاصل شود به همان شیوه ای كه مورد انتظار است، كار می كنند. واضح است كه انجام بازرسی مذكور بسیار سخت و زمان بر و در عین حال ضروری است. در واقع علاوه بر نصب اصلاحیه لازم است، پاكسازی كامل در مورد رایانه های آلوده نیز انجام شود. محققان امنیتی سایمانتك می دانند كه بدافزار Stuxnet قابلیت انجام چه كارهایی را دارد ولی نمی دانند كه این بدافزار دقیقاً چه كاری را بر روی سیستم های آلوده انجام می دهد. برای مثال آنها می دانند كه بدافزار مذكور داده ها را مورد وارسی قرار می دهد و همچنین با توجه به تاریخ، فعالیت های متفاوتی را انجام می دهد ولی هنوز در مورد فعالیت های مذكور چیزی نمی دانند. یكی از محققان امنیتی درباره انتشار این بدافزار عقیده دارد كه این وضعیت نشان دهنده مشكلاتی فراتر از تنها یك كرم رایانه ای است و مشخص كننده مشكلات امنیتی عمده ای در بخش صنعت است. به نظر وی مردم درك نمی كنند كه نمی توانند تنها به راه حل های امنیتی مورد استفاده در دنیای فناوری اطلاعات برای حفظ داده ها در دنیای كنترل صنعتی اكتفا كنند، برای مثال آنتی ویروس ها نتوانستند و نمی توانستند وجود این تهدید ویژه را تشخیص دهند. او می گوید: "آنتی ویروس ها یك احساس امنیت كاذب را ایجاد می كنند، زیرا این ضعف خود را از دید عموم می پوشانند."بنا بر نظر سایمانتك، بدافزار مذكور یك پروژه بزرگ است و یك شركت جاسوسی صنعتی و یا یك دولت در ورای این حملات قرار دارد زیرا حملات مذكور پیچیده محسوب می شوند. افرادی كه در ورای بدافزار مذكور قرار دارند هزینه های زیادی را صرف به دست آوردن كد سوءاستفاده آسیب پذیری جدید و اصلاح نشده در ویندوز، برنامه نویسان ماهر و دانش در مورد سیستم های كنترل صنعتی و همچنین فریب رایانه های قربانی برای پذیرش امضاهای دیجیتالی جعلی كرده اند.

 

اگرچه شركت زیمنس محصولی را جهت پاك سازی این كرم ارائه كرده است و از مشتریان خواسته تا در صورت مشاهده این كرم با قسمت مشتری این شركت تماس گرفته شود، مسئولین كشوری مردم را از استفاده از این نرم افزار بر حذر داشته اند چراكه به نظرمی رسد این نرم افزار نه تنها مشكل را بر طرف نمی كند بلكه ویروس را ارتقاء می بخشد. اگرچه مرحله پاكسازی آن در سطح كشور آغاز شده است اما تا به حال 3 ورژن جدید از این ویروس مشاهده شده است. به نظر میرسد این كرم سعی در ربودن اطلاعات مهم سیستم های صنعتی و ارسال آنها به جایی خارج از ایران دارد. كشورهای اندونزی، چین و هندوستان هم به واسطه ی این نرم افزار مخرب مورد هجوم قرار گرفته اند. مقامات پكن نگران هستند كه این ویروس رایانه های بیشتری را مورد هجوم خود قرار دهد. روزنامه هندی، روزنامه دیلی تلگراف چاپ لندن نیز گزارشی را درباره احتمال دست داشتن اسرائیل در طراحی استاکس نت منتشر کرده اند. نکته ای که در گزارش هر دوی این روزنامه ها جالب توجه است آن است که هر دو می نویسند: فایل ایجاد شده توسط استاکس نت از نام “Myrtus”برای نفوذ در رایانه ها استفاده می کند.


میرتاس چیست: Myrtus کلمه ای است با ریشه عبری که اشاره به داستان “استر"دارد. استر زن دوم خشایارشاه در ایران باستان است که زنی یهودی بوده و با وساطت عموی خود مردخای که از مشاوران پادشاه ایران بود، خشایار شاه راضی به ازدواج با او می شود. بر اساس این گزارش، استر به نوعی ملکه یهودیان جهان شناخته می شود و به نوشته این دو روزنامه، رژیم اسرائیل با الهام گرفتن از این شخصیت تاریخی در پی نفوذ در تاسیسات ایران بوده است. 

اما در این میان شرکت آلمانی “رالف لانگر"که یک شرکت امنیت رایانه ای است فرضیه جدیدی را مطرح می کند. این شرکت مدعی شده که ممکن است کرم جاسوسی استاکس نت توسط پیمانکاران روسی به تاسیسات صنعتی ایران منتقل شده باشد.


علائم سیستم آلوده:


چنانچه فایل ها یا كلید های رجیستری زیر در سیستم وجود داشته باشند سیستم شما الوده است:


%system%\drivers\mrxcls.sys

%system%\drivers\mrxnet.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\”ImagePath”=”%System%\drivers\mrxcls.sys”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\”ImagePath”=”%System%\drivers\mrxnet.sys”


فایل های ایجاد شده ممكن است با پسوند.tmp در مسیر زیر مخفی شده باشند:


%DriveLetter%\~WTR[FOUR NUMBERS].tmp


اگرچه بیشتر نگرانی های در مورد این مهمان نا خوانده به نیروگاه بوشهر مربوط می شود اما حقیقت امر این است كه در سال های اخیر در مناطق صنعتی مانند پارس جنوبی كه 30 درصد گاز كل كشور را تامین می نماید به علت سهولت دسترسی به كالا در كلیه فازهای به صورت گسترده ای PLC های زیمنس مورد استفاده قرار گرفته اند و با توجه به اینكه در كشور ما فرهنگ استفاده از آنتی ویرو س جایگاه ضعیفی دارد این نگرانی را بیشتر می كند كه PLC های به كار گرفته شده در پروژه های نفتی بدون آلودگی نباشند.


در پایان بهتر است موارد ذیل را مد نظر داشته باشیم:


- این کرم می تواند در داخل یک سازمان خودش را در منابع به اشتراک گذاشته شده شبکه (در صورت انتخاب کلمات عبور ضعیف) پخش کند. 

- استاکس نت می تواند خودش را از طریق هر چیزی که شما آن را به عنوان یک درایو نصب می کنید، پخش کند. مثلا، گوشی تلفن همراه، هارد اکسترنال، فریم عکس و غیره 

- سیستم را آلوده کرده و خودش را با یک روت کیت مخفی می کند و به نظاره می نشیند تا اینکه سیستم آلوده به یک سیستم کارخانه ایی زیمنس متصل شود.


 پیچیده است چرا که از چندین حفره امنیتی استفاده کرده و به عنوان درایور خود بر روی سیستم قرار می گیرد.


- درایور استاکس نت با یک گواهی نامه دزدیده شده از Realtek امضا می شود. 

- یک کلید رجیستری با مقدار 19790509 برای علامت زدن دستگاه آلوده ایجاد می کند و به این طریق قادر به شناسایی سیستم های از پیش آلوده است. این عدد تاریخ 9 می 1979 می باشد. 

- نسخه ی فعلی تاریخ انقضای 24 ژوئن 2012 دارد. روند پخش استاکس نت در این تاریخ متوقف خواهد شد.


مدیرعامل شرکت فناوری اطلاعات در خصوص راهکار مقابله با کرم جاسوس سیستم‌های صنعتی، گفت‌: پاکسازی توسط تیم‌های امدادی دستگاه‌ها و تحت هماهنگی تیم ماهر در حال انجام است و نمایندگان تمام دستگاه‌های حیاتی و حساس نیز در مرکز ماهر مستقر هستند. این مركز به صورت خاص از طرف فناوری اطلاعات در جهت مبارزه با این ویروس راه اندازی شده است و در حال حاضر تنها مركز معتبر در سطح كل كشور می باشد. آدرس اینترنتی و اطلاعات تماس این مركز: www.certcc.ir تلفن تماس:22115950




طبقه بندی: کنترل و ابزار دقیق، تکنولوژی،
ارسال توسط مهدی میرحسینی | تاریخ : پنجشنبه 15 آبان 1393 | نظرات ()
عناوین آخرین مطالب ارسالی
صفحات دیگر