تحقیقات نشان میدهد که بخشهای قابل توجهی از ساختار کدهای نوشته شده برای فایل ویروس Duqu، درست شبیه به کدهای مربوط به فایل ویروس استاکسنت است.
اطلاعرسانی شرکت ایمن رایانه پندار
انتشار ویروس استاکسنت درست به
همان میزانی که برای دنیای خرابکاران اینترنتی و به ویژه گروههای سازمان
یافته اتفاق مبارکی بود، برای دنیای امنیت فناوری اطلاعات نیز تجربهای
عبرت آموز و پربار به حساب آمد.
همانقدر که تبهکاران رایانهای از دست
یافتن به یک بلوغ تخریبی به خود بالیدند، شرکتهای امنیتی و دستاندرکاران
حفاظت از اطلاعات رایانهای نیز با خشنودی شاهد اتفاقات بیسابقهای بودند
که منجر به تحولی عمیق در باورهای امنیتی جامعه کاربران رایانه و اینترنت
شد.
بله، استاکسنت نخستین تهدید رایانهای بود که با واکنش جدی
رسانهها و محافل ارشد سیاسی در کشورهای مختلف جهان همراه شد. دست کم نتیجه
این واکنشها و گاه جنجالها هر چند به بزرگنمایی قدرت و قابلیت این ویروس
کم نظیر انجامید اما در نهایت به افزایش آگاهی عمومی درباره قدرت تهدیدها
و بدافزارهای رایانهای کمک قابل توجهی کرد.
هر چند تحلیلهای
بسیاری بر روی این بدافزار انجام شد اما مهارت بکار رفته در تولید و انتشار
این کرم رایانهای و یا شاید اتفاقات و فشارهای پشت پرده مانع از شناسایی و
ردیابی منتشرکنندگان آن گردید که هنوز هم چیزی در حد گمان و اتهام باقی
مانده.
اما حالا، پس از گذشت بیشتر از یکسال از کشف استاکسنت،
انتشار یک کرم رایانهای دیگر با عنوان "Duqu" ، خاطره استاکسنت را دوباره
زنده کرده است. تا حدی که از این بدافزار به عنوان برادرخوانده و یا فرزند
استاکسنت یاد میکنند.
بازار گمانه زنیها هم دوباره داغ شده:
آیا تیم سازنده استاکس نت با آن همه حمایت مالی و فنی، مجددا فعال شده است؟
آیا سایه خطر انفجارهای فاجعه بار ، اختلالهای شدید عملیاتی، سرقت
اطلاعات فوق محرمانه و یا نفوذهای غیر مجاز تروریستهای مجازی در مراکز
استراتژیک و زیر بنایی کشورها مثل نیروگاهها، کارخانهها و بخشهای صنعتی
دوباره بازگشته است؟
تحقیقات اولیه شرکتهای امنیتی نشان میدهد که
بخشهای قابل توجهی از ساختار کدهای نوشته شده برای فایل ویروس Duqu، درست
شبیه به کدهای مربوط به فایل ویروس استاکسنت است.
بر این اساس به نظر
میرسد افرادی که ویروس Duqu را تولید و منتشر کردهاند همان گروهی باشند
که عامل انتشار استاکسنت بودهاند یا دست کم با یک یا چند فرد فعال در آن
گروه تماس مستقیم داشتهاند.
نکته بسیار مهم اینجاست که ویروس Duqu
برای انتشار اولیه و وسیع خود در شبکه جهانی اینترنت از یک حفره امنیتی
اصلاح شده(!) در هسته عملیاتی سیستمهای عامل ویندوز استفاده کرده است.
سوءاستفاده
یک ویروس، از یک حفره امنیتی اصلاح شده در چهار ماه قبل و نفوذ موفق به
درون سیستمهای رایانهای، مورد بسیار عجیب و نادریست؛ اما به هر حال در
مورد ویروس Duqu این اتفاق افتاده و در روزهای آینده باید منتظر جنجالهای
شدید رسانهای و انتقادهای تند کارشناسان امنیتی علیه شرکت مایکروسافت
باشیم.
به هر حال شرکتهای مختلف امنیتی تحلیلهای متنوعی از نوع
عملکرد، نحوه انتشار و روشهای تخریبی ویروس Duqu منتشر کردهاند اما به
گفته کارشناسان امنیتی شرکت Panda Security برآیند این تحلیلها، اطلاعات
آماری و بررسیهای عملیاتی نشان میدهد که ویروس Duqu یک بدافزار ترکیبی
شامل ویژگیهای یک کرم، یک تروجان و یک روتکیت،است که بیشتر به منظور نفوذ
به درون شبکه مراکز صنعتی، سرقت اطلاعات محرمانه و جاسوسی سایبر طراحی شده و
برخلاف استاکسنت از قابلیت ایجاد تغییرات خطرناک در تنظیمات سیستمهای
کنترل صنعتی که به نوبه خود ممکن است منجر به حوادث فاجعهبار و اختلال
شدید عملیاتی در مراکز حساس گردند برخوردار نیست.
با این وجود، ویروس Duqu نیز به نحوی طراحی شده تا از راه دور قابل کنترل و فرمان دهی توسط منتشر کننده خود باشد.
البته
همین حالا تنها پس از گذشت چند روز از شناسایی این ویروس بیش از صدها و یا
هزاران تحلیل فنی، بررسی تخصصی، فرضیات تخریبی و حتی تبعات سیاسی نظامی
برای آن منتشر شده که بسیاری از آنها هدفی جز مطرح کردن برندهای تجاری
شرکتهای امنیتی ندارند، اما درکمتر تحلیلی میتوان یافت که فارغ از نوع و
نحوه عملکرد، روش انتشار، قدرت تخریب و طول و تفصیلهای تخصصی در خصوص این
ویروس نسبتاً خطرناک، به راهکارهای ساده برای مقابله با این ویروس پرداخته
شده باشد.
بر اساس اعلام پاندا، استاکسنت و Duqu شاید به مدد
هدفگیریهای خاص خود مانند شبکه مراکز حیاتی و استراتژیک و اطلاعات و
تجهیزات بسیار حساس و ... وجهه سیاسی و رسانهای یافته و خود را بر سر
زبانها انداخته باشند اما این کدهای مخرب، کاری سخت در نفوذ به امنترین و
حفاظت شدهترین محیطهای عملیاتی در پیش دارند.
همانطور که دیدیم، در مورد استاکس نت فرضیه های تخریبی وحشتناکی مطرح شد که هیچ کدام صورت عملی به خود نگرفت.
بر
اساس اظهارات مهدی جانبزرگی، کارشناس امنیت فناوری اطلاعات در شرکت پاندا،
واقعیت این است که البته در مراکزی که امنیت جدی گرفته نشده باشد، حتی
ویروس های بسیار ساده تر و ابتدایی تر هم میتوانند خسارت بار باشند.
تا
قبل از ظهور استاکس نت و "Duqu"، امنیت اطلاعات در بسیاری از شبکههای
حساس و استراتژیک منحصر بود به نصب یک ضدویروس و نهایتاً بروز رسانی آن،
اما اکنون مدیران فناوری اطلاعات در بسیاری از شبکههای سازمانی، امنیت
اطلاعات را به چشم یک روند پویا و زنده میبینند که از بخشهای گوناگونی
تشکیل شده و همگی نیاز به بررسی دائم و بازبینی مستمر دارند. نصب یک
ضدویروس هم تنها یکی از بخشهای کوجک تأمین امنیت کامل در شبکههای سازمانی
است.
این اولین درس استاکس نت بود که بسیاری از مراکز مهم کشور را
از آلودگیهای شدید رایانهای، اختلال عملیاتی و از دست رفتن اطلاعات حساس
ناشی از حملات برادرخوانده آن، Duqu نجات داد. هرجند باز هم هستند
شبکههایی که متأسفانه هنوز هم اولین و ساده ترین درس استاکس نت را خوب فرا
نگرفتهاند.
جالب اینجاست که تمام درسهایی که باید از استاکس نت
میگرفتیم، لزوماً احتمال دچار شدن شبکههای سازمانی به آلودگیهای
رایانهای و حملات اینترنتی را فارغ از نوع تهدید، به کمترین حد ممکن کاهش
میدهند.
عدم اتصال رایانه ها و شبکه های حیاتی و بسیار حساس به
شبکههای محلی و به ویژه اینترنت، استفاده از چندین لایه امنیتی، استفاده
از روشهای پیشگیرانه ضدویروس مانند Panda TruPrevent، بکارگیری سیستمهای
شناسایی و پیشگیری از نفوذ، پوشش کامل سه محور اصلی نفوذ بدافزارها در صورت
اتصال به اینترنت، یعنی رایانههای نهایی سازمانی، سرورهای پست الکترونیک و
درگاههای اینترنت، نصب و استقرار سختافزارهای امنیتی مانند GateDefender
Performa در درگاه اصلی اینترنت شبکه برای پالایش محتویات اطلاعاتی ورودی و
خروجی و نیز مدیریت یکپارچه تهدیدات اینترنتی توسط دستگاهای UTM و از همه
مهمتر، توجه بیشتر به استفاده از راهکارهای قدرتمند مبتنی بر ابر مانند
مجموعه نرمافزارهای Panda Cloud Protection برای تأمین امنیت کامل و مستمر
در شبکههای سازمانی متصل به اینترنت، تنها بخشی از درسهایی ست که اگر به
شکل سختگیرانه مورد توجه و پیادهسازی قرار بگیرند، نه تنها ویروسهای
خطرناکی مانند Duqu، بلکه تقریباً تمام حملات و تهدیدهای رایانهای قایل
ردیابی و انسداد هستند؛ البته با توجه به این مسئله که امنیت صددرصد، برای
همیشه در هیچ رایانه ای قابل حصول نیست.
Duqu، بدافزار چموشی ست که
ممکن است شما را به دردسر بیاندازد، اما مانند تمام ویروسها و کدهای مخرب
رایانهای دیگر بینیاز از روشهای ارتباطی، ابزار انتقالی و محیط های
عملیاتی مناسب نیست. هر کدام از این عوامل می توانند پاشنه آشیل یک نرم
افزار مخرب باشند.
بنابراین، آخرین درس استاکس نت می تواند این باشد که
امنیت شبکههای سازمانی و رایانههای حساس بهتر است مبتنی بر پیشگیری و
انسداد ویروسها باشد تا درمان و پاکسازی ...