04.01.2012

ظهور «دیوکیو»؛ تروجان ویرانگر و هم‌تای استاکس‌نت

بررسی استراتژیک: کمپانی امنیتی سیمانتک جامع‌ترین بررسی را پیرامون تروجان دیوکیو انجام داده است.تروجان «دیوکیو» که به تازگی توسط پژوهشگران امنیت سایبری کشف شده، گرچه شباهت‌هایی با کرم ویرانگر استاکس‌نت دارد، اما اهداف متفاوتی را دنبال می‌کند و بیشتر ابزار شناسایی و جاسوسی صنعتی و بسترساز حملات ویرانگر در آینده است .

پژوهشگران امنیت شبکه‌های اطلاعاتی، تروجان جدیدی را کشف کرده‌اند که گفته می‌شود شباهت‌های هراس‌آوری به کرم ویرانگر استاکس‌نت دارد. بر اساس گزارش‌های امنیتی منتشر شده توسط متخصصان، این تروجان که به دیوکیو (Duqu) موسوم شده، می‌تواند با آلوده کردن کامپیوترهای کنترل‌گر نیروگاه‌ها، پالایشگاه‌های نفت و دیگر زیرساخت‌های حیاتی کشورها، با هدف جمع‌آوری اطلاعات محرمانه درباره تاسیسات صنعتی، زمینه را برای وارد کردن خسار‌ت‌های سنگین در آینده فراهم کند.کمپانی امنیتی سیمانتک (Symantec) بررسی‌های اولیه روی کد این تروجان را انجام داده و نام «دیوکیو» را برای آن برگزیده است. دلیل انتخاب این نام، فایل‌های پنهانی است که این تروجان با پسوند “~DQ” روی سیستم‌های آلوده می‌سازد.ادامه….

بررسی معماری این کد که در یک گزارش ۱۴ صفحه‌ای منتشر شده، نشان داده که به احتمال زیاد برنامه‌نویسان «استاکس‌نت» که مهم‌ترین و مخرب‌ترین کرم کامپیوتری تاریخ بوده، در طراحی و توسعه دیوکیو هم نقش داشته‌اند. بر اساس کاوش‌های سیمانتک، نشانه‌های اولیه آلودگی سیستم‌ها به این تروجان از اول سپتامبر ۲۰۱۱ بروز یافت، اما ممکن است تکثیر آن در برخی از سازمان‌های خاص – که ممکن است سازمان‌های ایرانی هم در میان آنها باشند – احتمالا از اواخر دسامبر ۲۰۱۰ آغاز شده باشد.

هدف اصلی از طراحی و توسعه استاکس‌نت، تخریب برنامه‌ هسته‌ای ایران و به تعویق انداختن آن بود

متخصصان کمپانی امنیتی F-Secure نیز اعلام کرده‌اند که توسعه‌دهندگان این تروجان، به احتمال زیاد به کد اصلی استاکس‌نت که گفته می‌شود بیش از ۱۵ هزار خط و به زبان اسمبلی است، دسترسی داشته‌اند. استاکس‌نت از ماه ژوئیه ۲۰۱۰ تاسیسات غنی‌سازی اورانیوم را هدف قرار داد و بنا به گزارش‌های متعدد، به سیستم‌های کنترل‌گر سانتریفیوژها آسیب‌های جدی و فلج‌کننده‌ای وارد کرده است. هنوز دقیقا مشخص نیست که دیوکیو فقط برای هدف قرار دادن تاسیسات و زیرساخت‌های ایران طراحی شده، یا ممکن است اهداف دیگری هم در ذهن طراحان و توسعه‌دهندگان آن باشد.

شباهت‌ها و تفاوت‌های دیوکیو و استاکس‌نت

چندین شباهت بارز در ساختار کدهای این دو ابزار مخرب وجود دارد که مهم‌ترین آنها مربوط به درایورهای کد است. درایورهای استاکس‌نت بر مبنای گواهی‌های امنیتی به سرقت رفته از دو کمپانی‌تایوانی طراحی شده و درایور دیوکیو هم مبتنی بر گواهی به سرقت رفته از یکی از همان کمپانی‌های تایوانی است.دیوکیو، با هدف شناسایی و جاسوسی صنعتی طراحی شده است.

تفاوت رویکرد و عملکرد دیوکیو با استاکس‌نت در این است که تروجان جدید، مانند استاکس‌نت، تجهیزات کنترل صنعتی و کنترل‌گرهای منطقی برنامه‌پذیر (PLC) نیروگاه‌ها یا دیگر زیرساخت‌ها را هدف مستقیم حمله قرار نمی‌دهد و بیشتر برای شناسایی تجهیزات و شبکه‌ها، داده‌های گوناگونی را از طریق سیستم‌های آلوده جمع‌آوری می‌کند تا برای حملات احتمالی در آینده، این داده‌ها در اختیار یک کرم مخرب دیگر، با شرح وظایف متفاوت قرار گیرد. به همین خاطر متخصصان امنیتی از همین حالا هشدار داده‌اند که ممکن است دور جدیدی از حملات گسترده سایبری به سیستم‌های کنترل‌گر زیرساخت‌ها آغاز شود.

فایل‌های مرتبط با دیوکیو، به‌صورت کاملا مخفیانه و نامحسوس روی سیستم‌های کامپیوتری نصب و تکثیر می‌شوند و اطلاعات محرمانه جمع‌آوری‌شده از طریق سیستم‌های آلوده به این تروجان، به محض اتصال به اینترنت برای سرورهای مرکز کنترل و فرماندهی آن ارسال می‌شود.دیوکیو مانند بسیاری از تروجان‌های دیگر، تمام کلیدهای فشرده شده روی کی‌بردهای متصل به سیستم‌های آلوده را ثبت می‌کند و می‌تواند به بسیاری از جزئیات فعالیت‌های سیستم نیز دست یابد و آنالیزشان کند. پیکربندی کد نشان می‌دهد که طول عمر دیوکیو روی یک سیستم ۳۶ روز است و در پایان روز سی‌وششم، به‌صورت اتوماتیک از روی سیستم حذف می‌شود تا ردی از خود به جا نگذارد و فرایند سرقت و انتقال داده‌ها، نامحسوس باقی بماند.

استاکس‌نت اما کرمی کامپیوتری بود که توسعه‌دهندگان آن، هدفی جز تخریب و ویرانی برایش تعریف نکرده بودند. تاثیرات ویرانگر استاکس‌نت تا اندازه‌ای بوده که برخی از متخصصان امنیت آن را «هیروشیمای جنگ سایبری» خوانده‌اند. از مدت‌ها پیش بسیاری از متخصصان امنیتی اعلام کردند که دست پشتیبانی دولت‌ها را می‌توان در پس پروژه بزرگ و پیچیده استاکس‌نت دید، تا این‌که چندی پیش اشپیگل آنلاین سرانجام اعلام کرد که این کرم کامپیوتری «اسلحه جادویی موساد» برای ایجاد اختلال در برنامه هسته‌ای ایران بود و بیشتر کارهای مرتبط با طراحی و توسعه آن در جایی در حوالی تل‌آویو، پایتخت اسرائیل، انجام شد.

هنوز نمی‌توان با قطعیت از ارتباط ارگانیک توسعه‌دهندگان این دو ابزار مخرب سایبری سخن گفت. پیچیدگی کد «دیوکیو» و زبدگی طراحان و توسعه‌دهندگان آن نشان می‌دهد که در آینده نزدیک باید منتظر خبرهای بیشتری پیرامون یک حمله سایبری گسترده به تاسیسات صنعتی و زیرساخت‌های حیاتی کشورهایی نظیر ایران بود، که معمولا هدف چنین حملاتی قرار می‌گیرند و پیچیدگی حملات و شیوه‌های تازه به کار گرفته شده در آن‌، توان دفاع را از آنها سلب می‌کند.

پیام برای این مطلب مسدود شده.

Free Blog Themes and Blog Templates