11-15-2011، 03:26 PM
تروجانی جدید به نام «دیوکیو» به تازگی توسط پژوهشگران امنیت سایبری کشف شده، این تروجان گرچه شباهتهایی با کرم ویرانگر استاکسنت دارد، اما اهداف متفاوتی را دنبال میکند. کارشناسان امنیت گفته اند هدف این کرم اینترنتی جمعآوری اطلاعات از صنایع و نهادهای سیاسی است. تا کنون ۳ مورد در ایران شناسایی شدهاند و ممکن است این کرم جدید بسترساز حملات ویرانگر در آینده باشد.
این تروجان که به دیوکیو (Duqu) موسوم شده، میتواند با آلوده کردن کامپیوترهای کنترلگر نیروگاهها، پالایشگاههای نفت و دیگر زیرساختهای حیاتی کشورها، با هدف جمعآوری اطلاعات محرمانه درباره تاسیسات صنعتی، زمینه را برای وارد کردن خسارتهای سنگین در آینده فراهم کند.
کمپانی امنیتی سیمانتک (Symantec) بررسیهای اولیه روی کد این تروجان را انجام داده و نام «دیوکیو» را برای آن برگزیده است. دلیل انتخاب این نام، فایلهای پنهانی است که این تروجان با پسوند “~DQ” روی سیستمهای آلوده میسازد.
بررسی معماری این کد که در یک گزارش ۱۴ صفحهای منتشر شده، نشان داده که به احتمال زیاد برنامهنویسان «استاکسنت» که مهمترین و مخربترین کرم کامپیوتری تاریخ بوده، در طراحی و توسعه دیوکیو هم نقش داشتهاند. بر اساس کاوشهای سیمانتک، نشانههای اولیه آلودگی سیستمها به این تروجان از اول سپتامبر ۲۰۱۱ بروز یافت، اما ممکن است تکثیر آن در برخی از سازمانهای خاص – که ممکن است سازمانهای ایرانی هم در میان آنها باشند – احتمالا از اواخر دسامبر ۲۰۱۰ آغاز شده باشد.
متخصصان کمپانی امنیتی F-Secure نیز اعلام کردهاند که توسعهدهندگان این تروجان، به احتمال زیاد به کد اصلی استاکسنت که گفته میشود بیش از ۱۵ هزار خط و به زبان اسمبلی است، دسترسی داشتهاند.
چندین شباهت بارز در ساختار کدهای این دو ابزار مخرب وجود دارد که مهمترین آنها مربوط به درایورهای کد است. درایورهای استاکسنت بر مبنای گواهیهای امنیتی به سرقت رفته از دو کمپانیتایوانی طراحی شده و درایور دیوکیو هم مبتنی بر گواهی به سرقت رفته از یکی از همان کمپانیهای تایوانی است.
تفاوت رویکرد و عملکرد دیوکیو با استاکسنت در این است که تروجان جدید، مانند استاکسنت، تجهیزات کنترل صنعتی و کنترلگرهای منطقی برنامهپذیر (PLC) نیروگاهها یا دیگر زیرساختها را هدف مستقیم حمله قرار نمیدهد و بیشتر برای شناسایی تجهیزات و شبکهها، دادههای گوناگونی را از طریق سیستمهای آلوده جمعآوری میکند تا برای حملات احتمالی در آینده، این دادهها در اختیار یک کرم مخرب دیگر، با شرح وظایف متفاوت قرار گیرد. به همین خاطر متخصصان امنیتی از همین حالا هشدار دادهاند که ممکن است دور جدیدی از حملات گسترده سایبری به سیستمهای کنترلگر زیرساختها آغاز شود.
فایلهای مرتبط با دیوکیو، بهصورت کاملا مخفیانه و نامحسوس روی سیستمهای کامپیوتری نصب و تکثیر میشوند و اطلاعات محرمانه جمعآوریشده از طریق سیستمهای آلوده به این تروجان، به محض اتصال به اینترنت برای سرورهای مرکز کنترل و فرماندهی آن ارسال میشود.
دیوکیو مانند بسیاری از تروجانهای دیگر، تمام کلیدهای فشرده شده روی کیبردهای متصل به سیستمهای آلوده را ثبت میکند و میتواند به بسیاری از جزئیات فعالیتهای سیستم نیز دست یابد و آنالیزشان کند. پیکربندی کد نشان میدهد که طول عمر دیوکیو روی یک سیستم ۳۶ روز است و در پایان روز سیوششم، بهصورت اتوماتیک از روی سیستم حذف میشود تا ردی از خود به جا نگذارد و فرایند سرقت و انتقال دادهها، نامحسوس باقی بماند.
کارشناسان روسی نیز تا کنون تنها ۴ مورد از این کرمهای اینترنتی را پیدا کردند که سه مورد آن در ایران و یک مورد در سودان بوده است. این کارشناسان بدون اشاره به اهداف مورد نظر در ایران اعلام کردند که دو حمله متوالی در ۴ و ۱۶ اکتبر (۱۲ و ۲۴ مهر) در ایران، توجه آنها را به خود جلب کرده است.
هر دو این حملات از یک کامپیوتر فرستاده شدند که “پروایدر اینترنتی” آن آمریکایی بوده است.
به عقیده کارشناسان آزمایشگاه کاسپرسکی دو تلاش پشت سرهم، نشانگر حملهبرنامهریزی شده به یک هدف مشخص است.
این کارشناسان بدون اشاره به جزییات بیشتر تنها اعلام کردند که دیوکیو تخریبی عمل نمیکند و هدف آن جمعآوری اطلاعات است.
الکساندر گوستو کارشناسان امنیتی آزمایشگاه کاسپرسکی در مورد کرم دیوکیو گفته است :«هرچند اهداف مورد نظر این کرم در ایران قرار دارند، اما تا کنون هیچ مدرکی مبنی بر اینکه هدف دوکو صنایع یا تأسیسات اتمی ایران بوده باشد وجود ندارد.»
وی در ادامه تأکید کرده است که نمیتوان تأیید کرد دیوکیو اهدافی مانند استاکسنت را دنبال میکند. دیوکیو حاوی کدی برای سیستمهای کنترل صنعتی نیست و خود به خود نیز تکثیر نمیشود.
الکساندر گوستو معتقد است: «البته از آنجا که عملکرد دیوکیو منحصر به فرد است، برداشت ما این است که این کرم کاملأ هدفمند و تخصصی عمل خواهد کرد.»
تیلمن وارنر یکی از کارشناسان باتجربه آزمایشگاه کاسپرسکی گفته است: «ما هنوز نمیدانیم که این کرم چطور کامپیوتر را آلوده میکنند.»
دیوکیو بعد از ورود به کامپیوتر، برنامه امنیتی کامپیوتر را به گونهای تغییر میدهد که کامپیوتر دیگر قادر به شناسایی دوکو نیست. به این ترتیب این کرم در خفا به فعالیتخود ادامه میدهد.
تیلمن وارنر تأکید کرده است که قدرت تخریبی این کرم به «گونهای باور نکردنی بالاست.»
وی معتقد است: «این کرم برای ربودن اطلاعات از شرکتها یا نهادهای سیاسی طراحی شده است و بسیار پیچیدهتر از استاکسنت عمل میکند. طراحی چنین برنامهای به بودجه فراوان، زمان و دانش بسیار نیاز دارد.»
این تروجان که به دیوکیو (Duqu) موسوم شده، میتواند با آلوده کردن کامپیوترهای کنترلگر نیروگاهها، پالایشگاههای نفت و دیگر زیرساختهای حیاتی کشورها، با هدف جمعآوری اطلاعات محرمانه درباره تاسیسات صنعتی، زمینه را برای وارد کردن خسارتهای سنگین در آینده فراهم کند.
کمپانی امنیتی سیمانتک (Symantec) بررسیهای اولیه روی کد این تروجان را انجام داده و نام «دیوکیو» را برای آن برگزیده است. دلیل انتخاب این نام، فایلهای پنهانی است که این تروجان با پسوند “~DQ” روی سیستمهای آلوده میسازد.
بررسی معماری این کد که در یک گزارش ۱۴ صفحهای منتشر شده، نشان داده که به احتمال زیاد برنامهنویسان «استاکسنت» که مهمترین و مخربترین کرم کامپیوتری تاریخ بوده، در طراحی و توسعه دیوکیو هم نقش داشتهاند. بر اساس کاوشهای سیمانتک، نشانههای اولیه آلودگی سیستمها به این تروجان از اول سپتامبر ۲۰۱۱ بروز یافت، اما ممکن است تکثیر آن در برخی از سازمانهای خاص – که ممکن است سازمانهای ایرانی هم در میان آنها باشند – احتمالا از اواخر دسامبر ۲۰۱۰ آغاز شده باشد.
متخصصان کمپانی امنیتی F-Secure نیز اعلام کردهاند که توسعهدهندگان این تروجان، به احتمال زیاد به کد اصلی استاکسنت که گفته میشود بیش از ۱۵ هزار خط و به زبان اسمبلی است، دسترسی داشتهاند.
چندین شباهت بارز در ساختار کدهای این دو ابزار مخرب وجود دارد که مهمترین آنها مربوط به درایورهای کد است. درایورهای استاکسنت بر مبنای گواهیهای امنیتی به سرقت رفته از دو کمپانیتایوانی طراحی شده و درایور دیوکیو هم مبتنی بر گواهی به سرقت رفته از یکی از همان کمپانیهای تایوانی است.
تفاوت رویکرد و عملکرد دیوکیو با استاکسنت در این است که تروجان جدید، مانند استاکسنت، تجهیزات کنترل صنعتی و کنترلگرهای منطقی برنامهپذیر (PLC) نیروگاهها یا دیگر زیرساختها را هدف مستقیم حمله قرار نمیدهد و بیشتر برای شناسایی تجهیزات و شبکهها، دادههای گوناگونی را از طریق سیستمهای آلوده جمعآوری میکند تا برای حملات احتمالی در آینده، این دادهها در اختیار یک کرم مخرب دیگر، با شرح وظایف متفاوت قرار گیرد. به همین خاطر متخصصان امنیتی از همین حالا هشدار دادهاند که ممکن است دور جدیدی از حملات گسترده سایبری به سیستمهای کنترلگر زیرساختها آغاز شود.
فایلهای مرتبط با دیوکیو، بهصورت کاملا مخفیانه و نامحسوس روی سیستمهای کامپیوتری نصب و تکثیر میشوند و اطلاعات محرمانه جمعآوریشده از طریق سیستمهای آلوده به این تروجان، به محض اتصال به اینترنت برای سرورهای مرکز کنترل و فرماندهی آن ارسال میشود.
دیوکیو مانند بسیاری از تروجانهای دیگر، تمام کلیدهای فشرده شده روی کیبردهای متصل به سیستمهای آلوده را ثبت میکند و میتواند به بسیاری از جزئیات فعالیتهای سیستم نیز دست یابد و آنالیزشان کند. پیکربندی کد نشان میدهد که طول عمر دیوکیو روی یک سیستم ۳۶ روز است و در پایان روز سیوششم، بهصورت اتوماتیک از روی سیستم حذف میشود تا ردی از خود به جا نگذارد و فرایند سرقت و انتقال دادهها، نامحسوس باقی بماند.
کارشناسان روسی نیز تا کنون تنها ۴ مورد از این کرمهای اینترنتی را پیدا کردند که سه مورد آن در ایران و یک مورد در سودان بوده است. این کارشناسان بدون اشاره به اهداف مورد نظر در ایران اعلام کردند که دو حمله متوالی در ۴ و ۱۶ اکتبر (۱۲ و ۲۴ مهر) در ایران، توجه آنها را به خود جلب کرده است.
هر دو این حملات از یک کامپیوتر فرستاده شدند که “پروایدر اینترنتی” آن آمریکایی بوده است.
به عقیده کارشناسان آزمایشگاه کاسپرسکی دو تلاش پشت سرهم، نشانگر حملهبرنامهریزی شده به یک هدف مشخص است.
این کارشناسان بدون اشاره به جزییات بیشتر تنها اعلام کردند که دیوکیو تخریبی عمل نمیکند و هدف آن جمعآوری اطلاعات است.
الکساندر گوستو کارشناسان امنیتی آزمایشگاه کاسپرسکی در مورد کرم دیوکیو گفته است :«هرچند اهداف مورد نظر این کرم در ایران قرار دارند، اما تا کنون هیچ مدرکی مبنی بر اینکه هدف دوکو صنایع یا تأسیسات اتمی ایران بوده باشد وجود ندارد.»
وی در ادامه تأکید کرده است که نمیتوان تأیید کرد دیوکیو اهدافی مانند استاکسنت را دنبال میکند. دیوکیو حاوی کدی برای سیستمهای کنترل صنعتی نیست و خود به خود نیز تکثیر نمیشود.
الکساندر گوستو معتقد است: «البته از آنجا که عملکرد دیوکیو منحصر به فرد است، برداشت ما این است که این کرم کاملأ هدفمند و تخصصی عمل خواهد کرد.»
تیلمن وارنر یکی از کارشناسان باتجربه آزمایشگاه کاسپرسکی گفته است: «ما هنوز نمیدانیم که این کرم چطور کامپیوتر را آلوده میکنند.»
دیوکیو بعد از ورود به کامپیوتر، برنامه امنیتی کامپیوتر را به گونهای تغییر میدهد که کامپیوتر دیگر قادر به شناسایی دوکو نیست. به این ترتیب این کرم در خفا به فعالیتخود ادامه میدهد.
تیلمن وارنر تأکید کرده است که قدرت تخریبی این کرم به «گونهای باور نکردنی بالاست.»
وی معتقد است: «این کرم برای ربودن اطلاعات از شرکتها یا نهادهای سیاسی طراحی شده است و بسیار پیچیدهتر از استاکسنت عمل میکند. طراحی چنین برنامهای به بودجه فراوان، زمان و دانش بسیار نیاز دارد.»