استاکس‌نت

استاکس‌نت (به انگلیسی: Stuxnet) یک بدافزار رایانه‌ای‌ (طبق نظر شرکت‌های نرم‌افزار امنیت رایانه‌ای: کرم رایانه‌ای^[1][2] یا تروجان^[3]) است که اولین‌بار در تاریخ 13 جولای 2010 توسط ضدویروس وی‌بی‌ای32 شناسایی شد.^[4] این بدافزار با استفاده از نقص امنیتی موجود در میانبرهای ویندوز، با آلوده کردن رایانه‌های کاربران صنعتی، فایل‌های با قالب اسکادا که مربوط به نرم‌افزارهای WinCC و PCS7 شرکت زیمنس می‌باشد را جمع‌آوری کرده و به یک سرور خاص ارسال می‌کند.^[5]

براساس نظر کارشناسان شرکت سیمانتک، این بدافزار به دنبال خرابکاری در تأسیسات غنی‌سازی اورانیوم نطنز بوده‌است.^[6]

در اواخر ماه مه 2012 رسانه های آمریکایی اعلام کردند که استاکس‌نت مستقیما به دستور اوباما رئیس جمهور آمریکا طراحی، ساخته و راه اندازی شده.^[7] این ولی دلیل نیست که استاکس‌نت تنها در کارگاه های کشور آمریکا ساخته و پرداخته شده باشد. ^[8]

انتشار

این بدافزار در اواسط تیرماه 1389 در سراسر جهان انتشار یافت.^[5] نخستین بار کارشناسان کامپیوتری بلاروس متوجه وجود ویروسی شدند که هدف آن سامانه‌های هدایتگر تأسیسات صنعتی با سیستم عامل ویندوز است.^[9] کارشناسان معتقدند طراحان این بدافزار یک منطقه جغرافیایی خاص را مدنظر داشته‌اند^[10] و طبق گزارش مجله Business week هدف از طراحی این بدافزار دستیابی به اطلاعات صنعتی ایران است.^[11] این بدافزار برای جلوگیری از شناسایی شدن خود از امضای دیجیتال شرکت Realtek استفاده می‌کند.^[12] روزنامه نیویورک تایمز در تاریخ 16 ژانویه 2011 میلادی، در مقاله‌ای مدعی شد که «اسرائیل استاکس‌نت را در مرکز اتمی دیمونا و بر روی سانتریفیوژهای مشابه‌ای که ایران از آن‌ها در تاسیسات غنی‌سازی اورانیوم نطنز استفاده می‌کند، با موفقیت آزمایش کرده‌بود».^[13] این در حالی‌ست که دولت اسرائیل یا دولت آمریکا هیچ‌گاه به طور رسمی دست‌داشتن در انتشار استاکس‌نت را تایید نکرده‌اند.^[14]

وزیر ارتباطات ایران در آبان 1389 اعلام کرد که رایانه‌های آلوده شده به این ویروس شناسایی و در مرحله پاکسازی قرار دارند. وی همچنین اظهار کرد که منشاء ورود این ویروس به ایران نه از طریق شبکه اینترنت بلکه از طریق حافظه‌های جانبی بوده که افرادی از خارج از کشور به ایران آورده و بدون بررسی لازم به کامپیوترهای در داخل ایران متصل کرده‌اند.^[15] هفته‌نامه? اشپیگل در مقاله‌ای این احتمال را مطرح کرده است که این ویروس ناخواسته توسط کارشناسان شرکت اتم‌ استروی ‌اکسپورت روسیه و به وسیله یک حافظه جانبی فلش به رایانه‌های نیروگاه اتمی بوشهر منتقل شده است.^[9] به گفته خبرگزاری تابناک این فرد جاسوس دوجانبه ایرانی و عضو سازمان مجاهدین خلق ایران است که حافظه را به تجهیزات ایران وارد کرده‌است^[16].

کشورهای آسیب‌دیده

یک مطالعه درباره گسترش استاکس‌نت که توسط سیمانتک انجام گرفت، نشان داد که کشورهای آسیب دیده اصلی در روزهای اولیه انتشار ویروس، ایران، اندونزی و هند بودند:^[1]

عملکرد

استاکس‌نت از طریق رایانامه و حافظه‌های جانبی منتشر می‌شود.این بدافزار پس از آلوده ساختن سیستم، فایل‌های زیر را در سیستم کپی می‌نماید:

 %Windir%\inf\mdmcpq3.PNF

 %Windir%\inf\mdmeric3.PNF

 %Windir%\inf\oem6C.PNF323

 %Windir%\inf\oem7A.PNF

 %windir%\system32\drivers\mrxcls.sys

 %windir%\system32\drivers\mrxnet.sys

و برای راه‌اندازی سرویس‌های خود پس از بالا آمدن ویندوز کلیدهای زیر را در رجیستری ویندوز نصب می‌کند:

HKLM\System\CurrentControlSet\Services\Services\MRxNet

HKLM\System\CurrentControlSet\Services\Services\MRxCls

سپس این بدافزار در حافظه سیستم مقیم شده و برای عبور از دیوار آتش سیستم، کدهای خود را به اینترنت اکسپلورر تزریق می‌کند و پس از جمع آوری اطلاعات مربوط به شبکه‌ها و پیکربندی آنها در رایانه قربانی سعی به ارتباط با وب‌گاه‌های زیر از طریق راه دور می‌کند:

www.windowsupdate.com

www.msn.com

www.mypremierfutbol.com

www.todaysfutbol.com

استاکس نت همچنین برای گسترش و انتشار خود در سیستم‌های دیگر، فایل‌های زیر را در حافظه‌های جانبی که به رایانه‌های آلوده شده متصل شوند، کپی می‌کند :

 %DriveLetter%\~WTR4132.tmp

 %DriveLetter%\~WTR4141.tmp

 %DriveLetter%\Copy of Shortcut to.lnk

 %DriveLetter%\Copy of Copy of Shortcut to.lnk

 %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk

 %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

هدف

بنابر اظهارنظر کارشناسان سیمانتک، این بدافزار سیستم‌هایی را هدف قرار داده است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدل‌هایی از یک شرکت در فنلاند و یا تهران بوده است. استاکس نت به دنبال این دستگاه‌ها بر روی سیستم قربانی می‌گردد و فرکانسی را که دستگاه‌های مذکور با آن کار می‌کنند، شناسایی کرده و به دنبال بازه‌ای از 800 تا 1200 هرتز می‌گردد. دستگاه‌های صنعتی که از این مبدل استفاده کنند بسیار محدود هستند و غالباً در تاسیسات غنی‌سازی اورانیوم استفاده می‌شوند. هدف استاکس نت را نمی‌توان نیروگاه‌های هسته‌ای ایران دانست؛ به این دلیل که در این مراکز از این مبدل‌ها استفاده نمی‌شود. بنابراین مرکز غنی‌سازی نطنز تنها مرکز است که می‌تواند هدف احتمالی آن قرار گیرد.

این بدافزار فرکانس‌های مبدل را ابتدا تا بالاتر از 1400 هرتز بالا می‌برد و سپس آن را تا کمتر از 2 هرتز پایین می‌آورد و سپس آن را فقط برای بالاتر از 1000 هرتز تنظیم می‌کند. در اصل، این بدافزار سرعتی را که موتور با آن کار می‌کند، به هم می‌ریزد که می‌تواند منجر شود هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید و یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی سازی نمی‌توانند به درستی اورانیوم را غنی سازی کند. این کار همچنین می‌تواند منجر به خرابی موتور به صورت فیزیکی نیز بشود.^[17]

پیشگیری و پاکسازی

برای پاکسازی سیستم بصورت دستی ابتدا باید سیستم ریستور را غیر فعال نمود سپس در حالت سیف مد تمام فایل‌ها و کلیدهای کپی شده توسط بدافزار در سیستم را پاک کرد. همچنین برای پیشگیری از آلوده شدن به استاکس‌نت لازم است نقص امنیتی موجود در ویندوز را با استفاده از اصلاحیه منتشر شده توسط مایکروسافت برطرف کرد.

برگرفته از ویکی‌پدیا، دانشنامه آزاد