ظهور «دیوکیو»؛ تروجان ویرانگر و همتای استاکسنت
دویچهوله: تروجان «دیوکیو» که به تازگی توسط پژوهشگران امنیت سایبری کشف شده، گرچه شباهتهایی با کرم ویرانگر استاکسنت دارد، اما اهداف متفاوتی را دنبال میکند و بیشتر ابزار شناسایی و جاسوسی صنعتی است و بسترساز حملات ویرانگر در آینده.
پژوهشگران امنیت شبکههای اطلاعاتی، تروجان جدیدی را کشف کردهاند که گفته میشود شباهتهای هراسآوری به کرم ویرانگر استاکسنت دارد. بر اساس گزارشهای امنیتی منتشر شده توسط متخصصان، این تروجان که به دیوکیو (Duqu) موسوم شده، میتواند با آلوده کردن کامپیوترهای کنترلگر نیروگاهها، پالایشگاههای نفت و دیگر زیرساختهای حیاتی کشورها، با هدف جمعآوری اطلاعات محرمانه درباره تاسیسات صنعتی، زمینه را برای وارد کردن خسارتهای سنگین در آینده فراهم کند.
کمپانی امنیتی سیمانتک (Symantec) بررسیهای اولیه روی کد این تروجان را انجام داده و نام «دیوکیو» را برای آن برگزیده است. دلیل انتخاب این نام، فایلهای پنهانی است که این تروجان با پسوند “~DQ” روی سیستمهای آلوده میسازد.
بررسی معماری این کد که در یک گزارش ۱۴ صفحهای منتشر شده، نشان داده که به احتمال زیاد برنامهنویسان «استاکسنت» که مهمترین و مخربترین کرم کامپیوتری تاریخ بوده، در طراحی و توسعه دیوکیو هم نقش داشتهاند. بر اساس کاوشهای سیمانتک، نشانههای اولیه آلودگی سیستمها به این تروجان از اول سپتامبر ۲۰۱۱ بروز یافت، اما ممکن است تکثیر آن در برخی از سازمانهای خاص – که ممکن است سازمانهای ایرانی هم در میان آنها باشند – احتمالا از اواخر دسامبر ۲۰۱۰ آغاز شده باشد.
هدف اصلی از طراحی و توسعه استاکسنت، تخریب برنامه هستهای ایران و به تعویق انداختن آن بودهدف اصلی از طراحی و توسعه استاکسنت، تخریب برنامه هستهای ایران و به تعویق انداختن آن بود
متخصصان کمپانی امنیتی F-Secure نیز اعلام کردهاند که توسعهدهندگان این تروجان، به احتمال زیاد به کد اصلی استاکسنت که گفته میشود بیش از ۱۵ هزار خط و به زبان اسمبلی است، دسترسی داشتهاند. استاکسنت از ماه ژوئیه ۲۰۱۰ تاسیسات غنیسازی اورانیوم را هدف قرار داد و بنا به گزارشهای متعدد، به سیستمهای کنترلگر سانتریفیوژها آسیبهای جدی و فلجکنندهای وارد کرده است. هنوز دقیقا مشخص نیست که دیوکیو فقط برای هدف قرار دادن تاسیسات و زیرساختهای ایران طراحی شده، یا ممکن است اهداف دیگری هم در ذهن طراحان و توسعهدهندگان آن باشد.
بخوانید: استاکسنت؛ نگاهی به بمباران مجازی تاسیسات هستهای ایران
شباهتها و تفاوتهای دیوکیو و استاکسنت
چندین شباهت بارز در ساختار کدهای این دو ابزار مخرب وجود دارد که مهمترین آنها مربوط به درایورهای کد است. درایورهای استاکسنت بر مبنای گواهیهای امنیتی به سرقت رفته از دو کمپانیتایوانی طراحی شده و درایور دیوکیو هم مبتنی بر گواهی به سرقت رفته از یکی از همان کمپانیهای تایوانی است.
دیوکیو، با هدف شناسایی و جاسوسی صنعتی طراحی شده استدیوکیو، با هدف شناسایی و جاسوسی صنعتی طراحی شده است
تفاوت رویکرد و عملکرد دیوکیو با استاکسنت در این است که تروجان جدید، مانند استاکسنت، تجهیزات کنترل صنعتی و کنترلگرهای منطقی برنامهپذیر (PLC) نیروگاهها یا دیگر زیرساختها را هدف مستقیم حمله قرار نمیدهد و بیشتر برای شناسایی تجهیزات و شبکهها، دادههای گوناگونی را از طریق سیستمهای آلوده جمعآوری میکند تا برای حملات احتمالی در آینده، این دادهها در اختیار یک کرم مخرب دیگر، با شرح وظایف متفاوت قرار گیرد. به همین خاطر متخصصان امنیتی از همین حالا هشدار دادهاند که ممکن است دور جدیدی از حملات گسترده سایبری به سیستمهای کنترلگر زیرساختها آغاز شود.
فایلهای مرتبط با دیوکیو، بهصورت کاملا مخفیانه و نامحسوس روی سیستمهای کامپیوتری نصب و تکثیر میشوند و اطلاعات محرمانه جمعآوریشده از طریق سیستمهای آلوده به این تروجان، به محض اتصال به اینترنت برای سرورهای مرکز کنترل و فرماندهی آن ارسال میشود.
دیوکیو مانند بسیاری از تروجانهای دیگر، تمام کلیدهای فشرده شده روی کیبردهای متصل به سیستمهای آلوده را ثبت میکند و میتواند به بسیاری از جزئیات فعالیتهای سیستم نیز دست یابد و آنالیزشان کند. پیکربندی کد نشان میدهد که طول عمر دیوکیو روی یک سیستم ۳۶ روز است و در پایان روز سیوششم، بهصورت اتوماتیک از روی سیستم حذف میشود تا ردی از خود به جا نگذارد و فرایند سرقت و انتقال دادهها، نامحسوس باقی بماند.
استاکسنت اما کرمی کامپیوتری بود که توسعهدهندگان آن، هدفی جز تخریب و ویرانی برایش تعریف نکرده بودند. تاثیرات ویرانگر استاکسنت تا اندازهای بوده که برخی از متخصصان امنیت آن را «هیروشیمای جنگ سایبری» خواندهاند. از مدتها پیش بسیاری از متخصصان امنیتی اعلام کردند که دست پشتیبانی دولتها را میتوان در پس پروژه بزرگ و پیچیده استاکسنت دید، تا اینکه چندی پیش اشپیگل آنلاین سرانجام اعلام کرد که این کرم کامپیوتری «اسلحه جادویی موساد» برای ایجاد اختلال در برنامه هستهای ایران بود و بیشتر کارهای مرتبط با طراحی و توسعه آن در جایی در حوالی تلآویو، پایتخت اسرائیل، انجام شد.
هنوز نمیتوان با قطعیت از ارتباط ارگانیک توسعهدهندگان این دو ابزار مخرب سایبری سخن گفت. پیچیدگی کد «دیوکیو» و زبدگی طراحان و توسعهدهندگان آن نشان میدهد که در آینده نزدیک باید منتظر خبرهای بیشتری پیرامون یک حمله سایبری گسترده به تاسیسات صنعتی و زیرساختهای حیاتی کشورهایی نظیر ایران بود، که معمولا هدف چنین حملاتی قرار میگیرند و پیچیدگی حملات و شیوههای تازه به کار گرفته شده در آن، توان دفاع را از آنها سلب میکند.
احسان نوروزی
تحریریه: فرید وحیدی
پیام برای این مطلب مسدود شده.