ویروس Duqu و توجه به روش‌های پیشگیرانه حفاظتی در شبکه‌ سازمانی

تحقیقات نشان می‌دهد که بخش‌های قابل توجهی از ساختار کدهای نوشته شده برای فایل ویروس Duqu، درست شبیه به کدهای مربوط به فایل ویروس استاکس‌نت است.

اطلاع‌رسانی شرکت ایمن رایانه پندار
انتشار ویروس استاکس‌نت درست به همان میزانی که برای دنیای خرابکاران اینترنتی و به ویژه گروه‌های سازمان یافته اتفاق مبارکی بود، برای دنیای امنیت فناوری اطلاعات نیز تجربه‌ای عبرت آموز و پربار به حساب آمد.
همانقدر که تبهکاران رایانه‌ای از دست یافتن به یک بلوغ تخریبی به خود بالیدند، شرکت‌های امنیتی و دست‌اندرکاران حفاظت از اطلاعات رایانه‌ای نیز با خشنودی شاهد اتفاقات بی‌سابقه‌ای بودند که منجر به تحولی عمیق در باورهای امنیتی جامعه کاربران رایانه و اینترنت شد.

بله، استاکس‌نت نخستین تهدید رایانه‌ای بود که با واکنش جدی رسانه‌ها و محافل ارشد سیاسی در کشورهای مختلف جهان همراه شد. دست کم نتیجه این واکنش‌ها و گاه جنجال‌ها هر چند به بزرگنمایی قدرت و قابلیت این ویروس کم نظیر انجامید اما در نهایت به افزایش آگاهی عمومی درباره قدرت تهدید‌ها و بدافزارهای رایانه‌ای کمک قابل توجهی کرد.

هر چند تحلیل‌های بسیاری بر روی این بدافزار انجام شد اما مهارت بکار رفته در تولید و انتشار این کرم رایانه‌ای و یا شاید اتفاقات و فشارهای پشت پرده مانع از شناسایی و ردیابی منتشرکنندگان آن گردید که هنوز هم چیزی در حد گمان و اتهام باقی مانده.

اما حالا، پس از گذشت بیشتر از یکسال از کشف استاکس‌نت، انتشار یک کرم رایانه‌ای دیگر با عنوان "Duqu" ، خاطره استاکس‌نت را دوباره زنده کرده است. تا حدی که از این بدافزار به عنوان برادرخوانده و یا فرزند استاکس‌نت یاد می‌کنند.
 
بازار گمانه‌ زنی‌ها هم دوباره داغ شده: آیا تیم سازنده استاکس نت با آن همه حمایت مالی و فنی، مجددا فعال شده است؟ آیا سایه خطر انفجارهای فاجعه بار ، اختلال‌های شدید عملیاتی، سرقت اطلاعات فوق محرمانه و یا نفوذهای غیر مجاز تروریست‌های مجازی در مراکز استراتژیک و زیر بنایی کشورها مثل نیروگاه‌ها، کارخانه‌ها و بخش‌های صنعتی دوباره بازگشته است؟ 

تحقیقات اولیه شرکت‌های امنیتی نشان می‌دهد که بخش‌های قابل توجهی از ساختار کدهای نوشته شده برای فایل ویروس Duqu، درست شبیه به کدهای مربوط به فایل ویروس استاکس‌نت است.
بر این اساس به نظر می‌رسد افرادی که ویروس Duqu را تولید و منتشر کرده‌اند همان گروهی باشند که عامل انتشار استاکس‌نت بوده‌اند یا دست کم با یک یا چند فرد فعال در آن گروه تماس مستقیم داشته‌اند.

نکته بسیار مهم اینجاست که ویروس Duqu برای انتشار اولیه و وسیع خود در شبکه جهانی اینترنت از یک حفره امنیتی اصلاح شده(!) در هسته عملیاتی سیستم‌های عامل ویندوز استفاده کرده است.
سوءاستفاده یک ویروس، از یک حفره امنیتی اصلاح شده در چهار ماه قبل و نفوذ موفق به درون سیستم‌های رایانه‌ای، مورد بسیار عجیب و نادری‌ست؛ اما به هر حال در مورد ویروس Duqu این اتفاق افتاده و در روزهای آینده باید منتظر جنجال‌های شدید رسانه‌ای و انتقادهای تند کارشناسان امنیتی علیه شرکت مایکروسافت باشیم.

به هر حال شرکت‌های مختلف امنیتی تحلیل‌های متنوعی از نوع عملکرد، نحوه انتشار و روش‌‌های تخریبی ویروس Duqu منتشر کرده‌اند اما به گفته کارشناسان امنیتی شرکت Panda Security برآیند این تحلیل‌ها، اطلاعات آماری و بررسی‌های عملیاتی نشان می‌دهد که ویروس Duqu یک بدافزار ترکیبی شامل ویژگی‌های یک کرم، یک تروجان و یک روتکیت،است که بیشتر به منظور نفوذ به درون شبکه مراکز صنعتی، سرقت اطلاعات محرمانه و جاسوسی سایبر طراحی شده و برخلاف استاکس‌نت از قابلیت ایجاد تغییرات خطرناک در تنظیمات سیستم‌های کنترل صنعتی که به نوبه خود ممکن است منجر به حوادث فاجعه‌بار و اختلال شدید عملیاتی در مراکز حساس گردند برخوردار نیست.
با این وجود، ویروس Duqu نیز به نحوی طراحی شده تا از راه دور قابل کنترل و فرمان دهی توسط منتشر کننده خود باشد. 

البته همین حالا تنها پس از گذشت چند روز از شناسایی این ویروس بیش از صدها و یا هزاران تحلیل فنی، بررسی تخصصی، فرضیات تخریبی و حتی تبعات سیاسی نظامی برای آن منتشر شده که بسیاری از آنها هدفی جز مطرح کردن برندهای تجاری شرکت‌های امنیتی ندارند، اما درکمتر تحلیلی می‌توان یافت که فارغ از نوع و نحوه عملکرد، روش انتشار، قدرت تخریب و طول و تفصیل‌های تخصصی در خصوص این ویروس نسبتاً خطرناک، به راهکارهای ساده برای مقابله با این ویروس پرداخته شده باشد.
 
بر اساس اعلام پاندا، استاکس‌نت و Duqu شاید به مدد هدف‌گیری‌های خاص خود مانند شبکه مراکز حیاتی و استراتژیک و اطلاعات و تجهیزات بسیار حساس و ... وجهه سیاسی و رسانه‌ای یافته و خود را بر سر زبان‌ها انداخته باشند اما این کدهای مخرب، کاری سخت در نفوذ به امن‌ترین و حفاظت شده‌ترین محیط‌های عملیاتی در پیش دارند.
همانطور که دیدیم، در مورد استاکس نت فرضیه های تخریبی وحشتناکی مطرح شد که هیچ کدام صورت عملی به خود نگرفت.

بر اساس اظهارات مهدی جانبزرگی، کارشناس امنیت فناوری اطلاعات در شرکت پاندا، واقعیت این است که البته در مراکزی که امنیت جدی گرفته نشده باشد، حتی ویروس های بسیار ساده تر و ابتدایی تر هم می‌توانند خسارت بار باشند.
تا قبل از ظهور استاکس نت و "Duqu"، امنیت اطلاعات در بسیاری از شبکه‌های حساس و استراتژیک منحصر بود به نصب یک ضدویروس و نهایتاً بروز رسانی آن، اما اکنون مدیران فناوری اطلاعات در بسیاری از شبکه‌های سازمانی، امنیت اطلاعات را به چشم یک روند پویا و زنده می‌بینند که از بخش‌های گوناگونی تشکیل شده و همگی نیاز به بررسی دائم و بازبینی مستمر دارند. نصب یک ضدویروس هم تنها یکی از بخش‌های کوجک تأمین امنیت کامل در شبکه‌های سازمانی است.

این اولین درس استاکس نت بود که بسیاری از مراکز مهم کشور را از آلودگی‌های شدید رایانه‌ای، اختلال عملیاتی و از دست رفتن اطلاعات حساس ناشی از حملات برادرخوانده آن، Duqu نجات داد. هرجند باز هم هستند شبکه‌هایی که متأسفانه هنوز هم اولین و ساده ترین درس استاکس نت را خوب فرا نگرفته‌اند.
جالب اینجاست که تمام درس‌هایی که باید از استاکس نت می‌گرفتیم، لزوماً احتمال دچار شدن شبکه‌های سازمانی به آلودگی‌های رایانه‌ای و حملات اینترنتی را فارغ از نوع تهدید، به کمترین حد ممکن کاهش می‌دهند.

عدم اتصال رایانه ها و شبکه های حیاتی و بسیار حساس به شبکه‌های محلی و به ویژه اینترنت، استفاده از چندین لایه امنیتی، استفاده از روش‌های پیشگیرانه ضدویروس مانند Panda TruPrevent، بکارگیری سیستم‌های شناسایی و پیشگیری از نفوذ، پوشش کامل سه محور اصلی نفوذ بدافزارها در صورت اتصال به اینترنت، یعنی رایانه‌های نهایی سازمانی، سرورهای پست الکترونیک و درگاه‌های اینترنت، نصب و استقرار سخت‌افزارهای امنیتی مانند GateDefender Performa در درگاه اصلی اینترنت شبکه برای پالایش محتویات اطلاعاتی ورودی و خروجی و نیز مدیریت یکپارچه تهدیدات اینترنتی توسط دستگاهای UTM و از همه مهم‌تر، توجه بیشتر به استفاده از راهکارهای قدرتمند مبتنی بر ابر مانند مجموعه نرم‌افزارهای Panda Cloud Protection برای تأمین امنیت کامل و مستمر در شبکه‌های سازمانی متصل به اینترنت، تنها بخشی از درس‌هایی ست که اگر به شکل سختگیرانه مورد توجه و پیاده‌سازی قرار بگیرند، نه تنها ویروس‌های خطرناکی مانند Duqu، بلکه تقریباً تمام حملات و تهدیدهای رایانه‌ای قایل ردیابی و انسداد هستند؛ البته با توجه به این مسئله که امنیت صددرصد، برای همیشه در هیچ رایانه ای قابل حصول نیست.

Duqu، بدافزار چموشی ست که ممکن است شما را به دردسر بیاندازد، اما مانند تمام ویروس‌ها و کدهای مخرب رایانه‌ای دیگر بی‌نیاز از روش‌های ارتباطی، ابزار انتقالی و محیط های عملیاتی مناسب نیست. هر کدام از این عوامل می توانند پاشنه آشیل یک نرم افزار مخرب باشند.
بنابراین، آخرین درس استاکس نت می تواند این باشد که امنیت شبکه‌های سازمانی و رایانه‌های حساس بهتر است مبتنی بر پیشگیری و انسداد ویروس‌ها باشد تا درمان و پاکسازی ...