نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی. پرتال اطلاعاتی
  • خانه
  • برنامه ها
  • ویروس بدتر از بمب است. چگونه هکرها یک نیروگاه هسته ای در ایران را تخریب کردند

ویروس بدتر از بمب است. چگونه هکرها یک نیروگاه هسته ای در ایران را تخریب کردند

26.05.2019 برنامه ها

در روزهای اخیر، همه رسانه های جهان به طور ناگهانی کرم WIN32/Stuxnet را که در ژوئن سال جاری کشف شد، به یاد آوردند. طبق استانداردهای کامپیوتر، یک دوره سه ماهه مانند چندین سال در زندگی عادی است. حتی مایکروسافت کند موفق شد وصله‌ای را منتشر کند که یکی از چهار آسیب‌پذیری موجود در ویندوز را که توسط این بدافزار استفاده می‌شد بسته می‌شد. درست است، نه برای همه نسخه های سیستم عامل، بلکه فقط برای Vista و "Seven"، در حالی که 2000 و XP در Stuxnet ناپایدار باقی ماندند، و همه امیدها فقط برای برنامه های آنتی ویروس شخص ثالث است. که هنوز مورد نیاز خواهد بود، زیرا بقیه آسیب پذیری ها زنده و سالم هستند.

و ناگهان استاکس نت دوباره در سرفصل های منابع خبری ظاهر شد. به نظر می رسد که این فقط یک "کرم" دیگر نیست، البته یک کرم بسیار پیچیده (نیم مگابایت کد رمزگذاری شده که از چندین زبان برنامه نویسی، از C/C++ گرفته تا اسمبلی استفاده می کند)، بلکه یک خرابکار جاسوسی دیجیتال است. او مخفیانه وارد تاسیسات صنعتی می شود که در آن از سیستم های سخت افزاری و نرم افزاری زیمنس استفاده می شود، به سیستم WinCC زیمنس که مسئول جمع آوری داده ها و کنترل توزیع عملیاتی تولید است، دسترسی پیدا می کند و از طریق آن سعی می کند کنترل کننده های منطقی (PLC) را دوباره برنامه ریزی کند.

آیا قبلاً می ترسید؟ صبر کنید، این تازه شروع است! استاکس نت برای نوعی کارگاه بطری آبجو طراحی نشده است. هدف اصلی او نیروگاه اتمی ایران در شهر بوشهر است! ظاهراً تمام قدرت شیطانی کرم مطابق پیکربندی آن است و یا قبلاً توانسته است به طور جدی ایرانی ها را خراب کند ، زیرا آنها از ماه آگوست نتوانسته اند ایستگاه را راه اندازی کنند یا بی سر و صدا کنترل کننده ها را فلش کرده است. وقتی نیروگاه هسته ای شروع به کار کند، فرمان انفجار را می دهد. و بعد...

بگذارید چند نظر را نقل کنم افراد آگاه. بنابراین ، اوگنی کسپرسکی در وبلاگ خود استاکس نت را "شاهکار اندیشه مهندسی بدافزار" می نامد و به نوبه خود گزیده هایی از مطالب الکساندر گوستف را ذکر می کند که به نظر او ما در موردبه طور کلی در مورد "سلاح های خرابکاری صنعتی". البته توسط موساد اسرائیل برای توقف فعالیت نیروگاه اتمی بوشهر ساخته شد.

سیستم های سخت افزاری و نرم افزاریزیمنس در صنایع بسیار متفاوتی استفاده می شود. خوب، اگر در مورد چدن صحبت می کنیم ...

اما تصور کنید که اگر یک کرم به خط تولید آبجو آسیب برساند، قلب صدها هزار مرد چگونه خواهد لرزید؟

تحلیلگران ESET کمی کمتر احساساتی هستند. آنها مطمئن نیستند که هدف استاکس نت BNPP باشد، اما به کیفیت کد و زیبایی ایده ادای احترام می کنند. Win32/Stuxnet توسط گروهی از متخصصان بسیار ماهر که به خوبی در نقاط ضعف وسایل مدرنامنیت اطلاعات. این کرم به گونه ای طراحی شده است که تا زمانی که ممکن است ناشناخته بماند. به عنوان مکانیزم های توزیع، بدافزار از چندین آسیب پذیری جدی با این توانایی استفاده می کند اجرای از راه دورکد، که برخی از آنها امروز بسته نشده است. هزینه چنین آسیب پذیری هایی در بازار سیاه می تواند به 10 هزار یورو برسد. و هزینه آسیب‌پذیری در پردازش فایل‌های LNK/PIF (MS10-046)، که به کرم اجازه می‌دهد از طریق رسانه‌های خارجی پخش شود، حتی بالاتر است.

هشدار در مورد رسانه های خارجی بسیار مهم است. همانطور که می دانیم، سیستم های کنترل کارخانه ها و نیروگاه های هسته ای به اینترنت دسترسی ندارند، بنابراین استاکس نت می تواند درایوهای فلش را آلوده کرده و از آنها برای ورود به آن استفاده کند. شبکه های بسته. خدمات امنیتی؟ بله، آنها، البته، کار می کنند، و گاهی اوقات بسیار موثر. با این حال، همراه با عامل انسانی پیش پا افتاده (بخوانید: شلختگی)، راه های کاملاً حیله گری برای پنهان کردن درایوهای فلش وجود دارد. به عنوان مثال، یک کارمند با دقت رشوه می‌تواند یک ماوس با حافظه فلش داخلی را به محل کار بیاورد و آن را با یک موس دولتی جایگزین کند. ممکن است بپرسید، پس چرا اصلاً به توزیع از طریق اینترنت نیاز دارید؟ بنابراین، پس از همه، برای منحرف کردن توجه، به طوری که همان روسای سرویس امنیتی به دنبال دشمن در تیم نباشند، بلکه با اطمینان در مورد نفوذ تصادفی از بیرون سر تکان دهند. در همین حال، برای آسان‌تر کردن کارکرد کرم، برخی از اجزای Win32/Stuxnet با گواهی‌های دیجیتال قانونی JMicron و Realtek امضا شدند. در نتیجه، تا زمانی که گواهینامه ها باطل نشدند، استاکس نت توانست تعداد زیادی از پیاده سازی های فناوری HIPS (Host Intrusion Prevention System) را دور بزند.

ESET همچنین یک جدول فوق‌العاده با جغرافیای آلودگی‌های ثبت شده با این ویروس ارائه می‌کند که از یک سو نکات گوستف را تأیید می‌کند و از سوی دیگر باعث می‌شود نظریه‌پردازان توطئه حتی فعال‌تر نظرات خود را در انجمن‌ها و وبلاگ‌ها بنویسند. شوخی نیست، این عفونت بزرگترین کشورهای در حال توسعه را تحت تاثیر قرار داده است، و برای تکمیل تصویر، تنها چیزی که از جدول کم است به جای اندونزی، چین است.

آیا شما هم مثل اوگنی کسپرسکی می ترسید؟ صبر کن. بیا یه نفس بکشیم

ابتدا، باید بدانید که چرا تولیدکنندگان محصولات حفاظت از تهدیدات سایبری با چنین لذتی در مورد استاکس نت صحبت می کنند. بله، البته، آنها می خواهند سیاره کوچک ما را نجات دهند. اما این نیز یک بازار غول پیکر جدید است. نه تنها زیمنس تجهیزات کنترل و نظارت را برای طیف گسترده ای از صنایع، از نیروگاه های هسته ای گرفته تا مغازه های بطری سازی آبجو تولید می کند. علاوه بر آلمانی ها، آمریکایی ها، ژاپنی ها و ... و غیره هم هستند. چنین مجتمع هایی به تعبیری ارزان نیستند و اگر بتوان هر کدام را با محصول محافظ خودش وصل کرد... بله بله درست متوجه شدید.

ثانیاً با وجود تمام زیبایی نسخه مربوط به موساد، نباید به آن اعتقاد داشت. همانطور که کارشناسان ادعا می کنند، اگر واقعاً ماه ها یا حتی سال های انسانی زیادی برای این کرم صرف شده است، پس چنین تکمیل عملیات یک شکست بزرگ است. ترکیب عدم نتیجه و تبلیغات برای هر افسر اطلاعاتی ترکیب وحشتناکی است. معمولاً برای حل مشکلات کسب اطلاعات و خرابکاری به استخدام قدیمی متوسل می شوند و موساد تجربه زیادی از این نوع کارها در کشورهای عربی دارد. نه. اما این در صورتی است که قطعا استاکس نت برای بوشهر تدارک دیده شده بود که شبهات زیادی در مورد آن وجود دارد. درباره آنها - در پاراگراف بعدی.

ثالثاً همانطور که متوجه شدیم برای اتوماسیون نیروگاه ها (از جمله در بوشهر) از تجهیزات مجاز زیمنس استفاده می شود که با PLC های سنتی تقریباً به همان شکلی است که یک جنگنده رزمی با یک گلایدر آویزان تفاوت دارد. سرنوشت PLC است، در بهترین سناریواتوماسیون یک کارخانه آبجوسازی یا ایستگاه پمپاژ گاز/نفت. کاملاً نامشخص است - چه نوع PLC Stuxnet قرار است در بوشهر تغییر کند؟

در نهایت، چهارم. به Win32 در نام کامل ویروس توجه کنید. حتی یک نیروگاه جدی، چه رسد به یک نیروگاه هسته ای، کار نمی کند سیستم مایکروسافتاجازه مدیریت فرآیندهای واقعا مهم را نخواهند داشت. سیستم‌های خانواده *nix (به ویژه QNX) در آنجا سلطنت می‌کنند و یک ویروس از کمپ ویندوز برای آنها کاملاً بی‌ضرر است. بنابراین این حس از مجموعه ای از داستان ها در مورد یک منشی است که می ترسید از رایانه خود ویروس بگیرد. درست است، جدی ترین نویسندگان داستان های ترسناک توضیح می دهند که Windows PLC کنترل نمی کند، اما در زیر آنها ابزارهایی برای برنامه ریزی مجدد کنترلرها وجود دارد، و این همان چیزی است که استاکس نت از آن استفاده می کند. این کمی ترسناک تر است، اما در تولید جدی هیچ کس سوئیچ های بزرگ را که مسئول چیزهای واقعا مهم هستند، لغو نکرده است. آنها را می توان منحصراً با دست کشید، زیرا بسیار قابل اعتمادتر است. و ایمن تر اگر رایانه در نزدیکی آنها مجاز باشد، امروز یا فردا نخواهد بود. و در یک نیروگاه هسته ای، به احتمال زیاد، هرگز.

من نمی‌خواهم نظرم را به خواننده تحمیل کنم، اما تاکنون استاکس‌نت بوی رقابت ناعادلانه می‌دهد. این نفرت نسبت به راه حل های زیمنس از کجا می آید؟ چه کسی خیلی تنبل نبود که این همه تلاش و زمان را برای یک کرم بزرگ چاق صرف کند، که به گفته روی هم رفته، هیچ آسیبی نمی تواند داشته باشد، اما طعمی بسیار ناخوشایند از خود به جای می گذارد. نگاه کنید، سرمایه‌گذاران در کارخانه‌های جدید با نیروگاه‌ها به این موضوع فکر می‌کنند و مجموعه‌ای را از تولیدکننده دیگری می‌خرند. وقتی از صدها میلیون و حتی میلیاردها دلار صحبت می کنیم، حیف نیست که یک دو میلیون برای روابط عمومی سیاه خرج کنیم.

بنابراین این یک سلاح است، اما بعید است که منجر به انفجارهای واقعی شود. مگر اینکه در بازدید بعدی از فروشگاه یا دریافت قبض برق، انفجارهایی از خشم ایجاد شود. تمام این جنگ‌های صنعتی در نهایت به هزینه ما، مصرف‌کنندگان، انجام می‌شود.

صدها نفر از نظریه پردازان توطئه هنگام نوشتن این مقاله آزرده شدند.

دسته ای از آسیب پذیری ها به نام 0day. 0day اصطلاحی است که به آسیب‌پذیری‌هایی (گاهی حتی خود برنامه‌های مخرب) اشاره می‌کند که مکانیسم‌های دفاعی آنتی‌ویروس‌ها و سایر برنامه‌های حفاظتی رایانه در برابر آن‌ها ناتوان هستند. این مفهوم به این دلیل ظاهر شد که مهاجمانی که آسیب‌پذیری را در یک برنامه یا سیستم عامل کشف می‌کنند، حمله خود را بلافاصله حداکثر تا اولین روز («روز صفر») از آگاهی توسعه‌دهنده از خطای کشف‌شده انجام می‌دهند. به طور طبیعی، این بدان معناست که توسعه‌دهنده زمان لازم برای رفع آسیب‌پذیری را به موقع ندارد، که باعث گسترش اپیدمی‌های پیچیده برنامه‌های مخرب می‌شود که نمی‌توانند به موقع درمان شوند. در حال حاضر، مهاجمان مختلف توجه خود را بر روی یافتن چنین آسیب‌پذیری‌هایی متمرکز کرده‌اند. اول از همه به این توجه می کنند نرم افزار، که فراگیر شده است. آلوده کردن این نرم افزارکد مخرب، مهاجم تضمین می شود که آن را دریافت کند حداکثر بازدهاز اعمال شما در این صورت، برنامه های آنتی ویروس ناتوان خواهند بود، زیرا قادر به شناسایی کد مخربی که در برنامه محبوب. یکی از این نمونه ها مثال بالا بود، زمانی که ویروسی فایل های سرویس دلفی را آلوده کرد و در نتیجه کد خود را به آن تزریق کرد. برنامه های مختلف، که در این کامپایلر کامپایل شده اند. از آنجایی که چنین برنامه هایی به طور گسترده مورد استفاده قرار می گرفتند، تعداد زیادی از کاربران آلوده شدند. همه اینها برای مهاجمان روشن کرد که چنین حملاتی کاملاً مؤثر هستند و می توانند در آینده از آنها استفاده کنند. با این حال، یافتن آسیب‌پذیری 0day یک فرآیند نسبتاً کار فشرده است. برای یافتن چنین آسیب‌پذیری، مهاجمان به تست‌های استرس نرم‌افزاری مختلف، تجزیه کد به قطعات و همچنین جستجو در کد برنامهتوسعه دهنده خطاهای مختلف. اما اگر این اقدامات موفقیت آمیز باشد و آسیب پذیری پیدا شود، می توانیم فرض کنیم که مهاجمان قطعا از آن سوء استفاده خواهند کرد. امروزه معروف ترین بدافزاری که از آسیب پذیری 0day در نرم افزار سوء استفاده می کند کرم استاکس نت، که در تابستان 2010 کشف شد. استاکس نت از یک آسیب پذیری سیستم عامل که قبلا ناشناخته بود سوء استفاده کرد خانواده ویندوز، مرتبط با الگوریتم پردازش برچسب. لازم به ذکر است که علاوه بر آسیب‌پذیری 0day، استاکس‌نت از سه آسیب‌پذیری دیگر که قبلاً شناخته شده بود، استفاده کرد. آسیب‌پذیری‌های روز صفر همچنین به مهاجمان اجازه می‌دهد تا بدافزاری ایجاد کنند که می‌تواند محافظت از آنتی‌ویروس را دور بزند، که برای کاربر عادی نیز خطرناک است. علاوه بر این نوع آسیب‌پذیری‌ها (0day)، آسیب‌پذیری‌های کاملاً معمولی نیز وجود دارند که دائماً توسط مهاجمان مورد سوء استفاده قرار می‌گیرند. نوع خطرناک دیگری از آسیب پذیری ها، آسیب پذیری هایی هستند که از حلقه 0 سیستم عامل سوء استفاده می کنند. حلقه 0 برای نوشتن درایورهای مختلف سیستم استفاده می شود. این یک سطح ویژه است که از آن می توانید تسلط کاملبر روی سیستم عامل مهاجم در این مورد به برنامه نویسی تشبیه می شود که یک درایور برای سیستم عامل می نویسد، زیرا در این مورد نوشتن یک برنامه مخرب و یک درایور یک مورد مشابه است. مهاجم با استفاده از توابع و فراخوانی های سیستم، سعی می کند به برنامه مخرب خود عملکردهای عبور به حلقه 0 را بدهد.

خطر سرقت هویت از تلفن همراه

اگر چنین چیزی به معنای واقعی کلمه 7 سال پیش گفته می شد، به احتمال زیاد، چنین واقعیتی به سادگی قابل باور نیست. اکنون خطر سرقت اطلاعات شخصی کاربران تلفن همراه به شدت بالاست. تعداد زیادی برنامه مخرب وجود دارد که به طور خاص داده های شخصی را از تلفن همراه کاربران سرقت می کند. و اخیراً، هیچ کس نمی توانست تصور کند که سیستم عامل های تلفن همراه مورد توجه مهاجمان باشد. تاریخچه ویروس ها از سال 2004 شروع می شود. امسال نقطه شروع در نظر گرفته شده است ویروس های موبایل. در همان زمان، ویروس ایجاد شده در سال جاری برای سیستم سیمبین انتخاب شد. این نمایشی از احتمال وجود ویروس ها در پلت فرم عامل بود سیستم های سیمبین. نویسندگان چنین تحولاتی که به دلیل کنجکاوی و تمایل به کمک به تقویت امنیت سیستم مورد حمله قرار گرفته اند، معمولاً علاقه ای به توزیع یا استفاده مخرب آنها ندارند. در واقع، نسخه اصلی ویروس Worm .SymbOS.Cabir به توزیع شد شرکت های آنتی ویروساز طرف خود نویسنده، اما بعدا کدهای منبعکرم در اینترنت ظاهر شد که منجر به ایجاد شد مقدار زیاداصلاحات جدید این بد افزار. در واقع، پس از انتشار کدهای منبع، Cabir به طور مستقل شروع به "سرگردانی" کرد تلفن های همراهدر سراسر جهان. باعث دردسر شد کاربران عادیگوشی های هوشمند، اما این همه گیری اساسا رخ نداد، زیرا شرکت های آنتی ویروس نیز کدهای منبع این ویروس را داشتند و از آن زمان بود که اولین انتشار آنتی ویروس ها برای سیستم عامل های تلفن همراه آغاز شد. متعاقباً مجموعه های مختلف این ویروس شروع به گسترش کردند که البته آسیب زیادی به همراه نداشت. به دنبال آن اولین Backdoor (یک برنامه مخرب که امکان دسترسی به سیستم از بیرون را فراهم می کند) انجام شد. عملکرد آن به شما امکان می دهد فایل ها را در هر دو جهت انتقال دهید و پیام های متنی را روی صفحه نمایش دهید. هنگامی که یک دستگاه آلوده به اینترنت متصل می شود، درب پشتی آدرس IP خود را برای صاحبش ایمیل می کند. پس از آن، برنامه مخرب دیگری برای سیستم عامل های تلفن همراه ظاهر شد. این برنامه یک فایل SIS است - یک برنامه نصب کننده برای پلت فرم سیمبین. راه اندازی و نصب آن بر روی سیستم منجر به جایگزینی آیکون ها (فایل های AIF) برنامه های کاربردی سیستم عامل استاندارد با یک نماد با تصویر جمجمه می شود. در همان زمان، برنامه های جدید در بالای برنامه های اصلی در سیستم نصب می شوند. برنامه های بازنویسی شده دیگر کار نمی کنند. همه چی برداشته شد آماتورهای مختلفدر نوشتن برنامه های مخربی که شروع به ایجاد انواع تغییرات در ویروس های قدیمی و همچنین تلاش برای ایجاد خود کردند. با این حال، در آن زمان، همه برنامه های مخرب برای سیستم عامل های تلفن همراه کاملاً ابتدایی بودند و نمی توانستند با برنامه های مخرب خود در رایانه مقایسه شوند. برنامه ای به نام Trojan.SymbOS Lockhunt سروصدای زیادی ایجاد کرده است. این برنامه یک تروجان بود. از " زودباوری " (عدم بررسی یکپارچگی فایل) سوء استفاده می کند. پس از راه‌اندازی، ویروس در پوشه سیستم /system/apps/ پوشه‌ای با نام gavno ایجاد می‌کند که از نظر زبان روسی ناهماهنگ است که درون آن گاونو قرار می‌گیرد. برنامه و همراهان آن gavno.rsc و gavno_caption.rsc. علاوه بر این، در همه فایل ها، به جای مطابقت با فرمت های آنها اطلاعات رسمیو کد موجود است متن ساده. سیستم عامل، فقط بر اساس پسوند فایل gavno. برنامه، آن را قابل اجرا می داند - و تلاش می کند تا "برنامه" را پس از راه اندازی مجدد راه اندازی کند. روشن کردن گوشی هوشمند غیرممکن می شود. بعد از این ویروس ها، عمدتاً ویروس هایی از همان نوع وجود دارند که می توانند خود را از طریق فناوری های مختلف منتقل کنند.

آسیب پذیری پلتفرم های تلفن همراه بسیار زیاد است، زیرا هیچ ابزاری وجود ندارد که به طور قابل اعتماد از پلت فرم های تلفن همراه محافظت کند. علاوه بر این، باید این واقعیت را در نظر گرفت که سیستم عامل های موبایل مدرن در حال حاضر از نزدیک با سیستم عامل های معمولی مطابقت دارند، به این معنی که الگوریتم های تأثیرگذاری بر آنها مشابه باقی می مانند. علاوه بر این، سیستم عامل های تلفن همراه دارای دو روش نسبتاً خاص برای انتقال داده هستند که رایانه ها ندارند - اینها هستند فناوری بلوتوثو MMS فناوری بلوتوث انتقال بی سیمداده ها، در سال 1998 توسعه یافتند. امروزه به طور گسترده ای برای تبادل داده بین آنها استفاده می شود دستگاه های مختلف: تلفن و هدست برای آنها، کامپیوترهای جیبی و رومیزی و سایر تجهیزات. ارتباط بلوتوث معمولاً در فاصله 10-20 متری کار می کند، توسط موانع فیزیکی (دیوارها) قطع نمی شود و به صورت تئوری ارائه می شود. سرعت انتقالداده تا 721 کیلوبیت بر ثانیه MMS یک فناوری نسبتا قدیمی است که برای گسترش عملکرد پیام کوتاه با قابلیت انتقال تصاویر، ملودی ها و فیلم ها طراحی شده است. بر خلاف سرویس

اواسط ژوئیه با حمله سایبری به کل بخش صنعتی مشخص شد
ایالت ها طبیعتاً مجله ما نمی توانست چنین رویدادی را از دست بدهد و
مطالبی در مورد این حادثه تهیه کرد.

جاسوسی صنعتی

ما به جرایم سایبری برای فریب، هک و سرقت عادت داریم
کاربران ناراضی اینترنت اما زمان همیشه آدم ها را به حرکت وا می دارد
علاوه بر این، برای نتایج جدید و سود جدید. همین اتفاق در
در برابر افراد بد می توانید بات نت بسازید و ده سال دیگر سرقت کنید
اعداد CC، اما هنوز یک طاقچه بزرگ ناشناخته وجود دارد - صنعت، آن
فن آوری ها، اسرار و داده های ارزشمند. با او بود که این حادثه در اوج رخ داد
تابستان - حمله بی سابقه ای به سیستم های صنعتی
,کنترل نظارتی و
اکتساب داده، که به صورت " کنترل اعزامو جمع آوری داده ها"
(به نظر ما، این یک آنالوگ از یک سیستم کنترل فرآیند خودکار است - سیستم خودکارمدیریت
فرآیند فناوری). چنین سیستم هایی فرآیندهای تولید را کنترل می کنند،
سکوهای نفتی، نیروگاه های هسته ای، خطوط لوله گاز و غیره. طبیعتاً چنین است
مجتمع‌ها پایگاه‌های اطلاعاتی مخصوص به خود را دارند و اطلاعات موجود در این پایگاه‌ها قیمتی ندارد.
دقیقاً این اطلاعاتی است که آخرین بدافزار هدف قرار داده و دریافت می کند
نام .

استاکس نت

اولین کسانی که جانور جدید را کشف کردند، برادران اسلاو از بلاروس بودند، یعنی -
شرکت آنتی ویروس VirusBlokAda. در 17 ژوئن جسد ویر را پیدا کردند، اما فقط
در 10 ژوئیه، آنها یک بیانیه مطبوعاتی صادر کردند (توضیح دادند که نیاز دارند
به شرکت هایی که نام آنها در جریان پرونده "بی اعتبار" شده است، اطلاع دهید و نسخه را بررسی کنید).
این شرکت ها کاملاً شناخته شده هستند - مایکروسافت و Realtek. متخصصان VirusBlokAda
ما این کرم را با استفاده از یک آسیب‌پذیری 0day هنگام پردازش فایل‌های میانبر شناسایی کردیم.
(lnk) و بنابراین مایکروسافت در این موضوع (در مورد خود آسیب پذیری) دخالت کرد
بعدا حرف میزنیم). اما Realtek چه ربطی به آن دارد؟ واقعیت این است که نصب شده است
رانندگان کرم دارای گواهی معتبر تایید شده توسط Verisign و صادر شده به
نام Realtek این چرخش وقایع فرآیند تشخیص را بسیار پیچیده می کند
محتوای مخرب سیستم های مختلفتشخیص و پیشگیری
نفوذ در سطح میزبان (HIPS، آنتی روت کیت)، زیرا چنین سیستم هایی نامحدود هستند
آنها بدون توجه به اصل موضوع به گواهی ها اعتماد می کنند. من کاملا مطمئنم که
یک گواهی قابل اعتماد عمر بدافزار را قبل از کشف تا حد زیادی افزایش داد.
همانطور که ممکن است، پس از انتشار مطبوعاتی بلاروس ها، سایر شرکت های آنتی ویروس
همچنین به عنوان یک آسیب پذیری جدید به این تحقیق پیوست
گسترش کرم و به بار جنگی.

در حال گسترش

مکانیسم تولید مثل کرم، به نظر می رسد، به خصوص اصلی نیست - از طریق
درایوهای فلش USB. اما autorun.inf هیچ ربطی به آن ندارد. یک آسیب پذیری جدید وارد بازی می شود،
که به شما امکان می دهد یک کتابخانه دلخواه .DLL را به محض درایو فلش بارگذاری کنید
درج می شود و کاربر محتویات آن را باز می کند. واقعیت این است که در درایو فلش
یک فایل .DLL با کد مخرب (خوب، در واقع یک پسوند، در مورد
worm، - .TMP) و فایل LNK. فایلی با پسوند LNK. یک میانبر معمولی است.
اما در شرایط ما این برچسب کاملاً معمولی نیست. هنگامی که میانبر در نمایش داده می شود
پوسته استاندارد یا Total Commander به طور خودکار مورد نزدیک را اجرا می کند
فایل .DLL با تمام عواقب بعدی! چگونه ممکن است این اتفاق بیفتد؟

همانطور که می دانید، برچسب نشان می دهد فایل اجراییو روی دوبار کلیک کنید
او را صدا می کند. اما اینجا همه چیز بدون کلیک است و فایل .DLL را نمی توان به این صورت اجرا کرد. اگر
به میانبر در ویرایشگر HEX نگاه کنید، می بینید که مسیر در وسط آن نشان داده شده است
به our.DLL. علاوه بر این، این یک میانبر معمولی نیست، بلکه یک میانبر به یک عنصر پانل است
کنترل! این جزئیات همه چیز را توضیح می دهد. هر عنصر کنترل پنل - .CPL-
اپلت اما CPL اساسا یک DLL ساده است، بنابراین یک میانبر برای کنترل پنل است
خاص، به نظر می رسد می فهمد که با DLL سر و کار دارد. علاوه بر این، چنین میانبر
سعی می کند نماد را از DLL. بیرون بکشد تا در Explorer نمایش داده شود. اما برای اینکه
برای بیرون کشیدن نماد، باید کتابخانه را بارگیری کنید. در واقع پوسته چیست و
این کار را با فراخوانی LoadLibraryW() انجام می دهد.

برای انصاف، شایان ذکر است که فراخوانی این تابع به صورت خودکار
مستلزم اجرای تابع DllMain() از کتابخانه بارگذاری شده است.
بنابراین، اگر چنین میانبری نه به یک اپلت .CPL، بلکه به یک شیطان اشاره کند
کتابخانه با کد بد (در تابع DllMain())، سپس کد اجرا خواهد شد
به صورت خودکار هنگام مشاهده نماد میانبر. علاوه بر این، این آسیب پذیری می تواند باشد
استفاده و استفاده از میانبرهای PIF.

بار رزمی

علاوه بر روش توزیع جالب، من از بار رزمی نیز شگفت زده شدم - نه
بات نت، سرقت رمزهای عبور بانکی، شماره های مدار بسته. معلوم شد که همه چیز بسیار بزرگتر است.
آسیب‌پذیری LNK باعث دانلود فایل مخفی به نام ~wtr4141.tmp می‌شود.
در کنار برچسب دراز کشیده این فایل قابل اجرا، اما کوچک است (فقط 25 کیلوبایت). چگونه
کارشناسان سیمانتک خاطرنشان کردند، در ابتدا بسیار مهم است که خود را پنهان کنید
حضور در حالی که سیستم هنوز آلوده نشده است. با در نظر گرفتن ویژگی های آسیب پذیری 0day،
که به محض دیدن آیکون ها توسط کاربر اعمال می شود، کار می کند و
~wtr4141.tmp، که در درجه اول رهگیری تماس های سیستمی را به آن متصل می کند
kernel32.dll. تماس های رهگیری شده:

  • FindFirstFileW
  • FindNextFileW
  • FindFirstFileExW

قلاب ها همچنین به برخی از توابع از ntdll.dll متصل هستند:

  • NtQueryDirectoryFile
  • ZwQueryDirectoryFile

همه این توابع با منطق زیر پردازش می شوند - اگر فایل با شروع شود
"~wtr" و به ".tmp" (یا ".lnk") ختم می شود، سپس آن را از آن حذف کنید
مقدار بازگردانده شده توسط تابع اصلی و سپس آنچه باقی مانده است را برگردانید.
به عبارت دیگر، حضور خود را بر روی دیسک پنهان کنید. بنابراین کاربر به سادگی
فایل های روی فلش مموری را نمی بیند. پس از این، ~wtr4141.tmp فایل دوم را بارگیری می کند
دیسک (~wtr4132.tmp). او این کار را کاملاً استاندارد انجام نمی دهد، حتی می توانم بگویم
انحرافی - با نصب قلاب در ntdll.dll برای تماس:

  • ZwMapViewOfSection
  • ZwCreateSection
  • ZwOpenFile
  • ZwCloseFile
  • ZwQueryAttributesFile
  • ZwQuerySection

سپس با استفاده از فراخوانی LoadLibrary سعی می کند فایلی را که وجود ندارد بارگذاری کند
با یک نام خاص، قلاب های نصب شده قبلی برای این کار راه اندازی می شوند و بارگذاری می شوند
فایل دوم، که در حال حاضر واقعا وجود دارد - ~wtr4132.tmp، یا بهتر است بگوییم، آن
بخش رمزگذاری نشده، که قسمت دوم را رمزگشایی می کند (در واقع -
فشرده سازی UPX). بخش دوم برخی از منابع، فایل های دیگر،
که پس از رمزگشایی و صادرات وارد بازی می شوند (شبیه به منحرف
روش با قلاب به توابع API).

اول از همه، دو درایور نصب شده است - mrxcls.sys و mrxnet.sys (یعنی
به دلیل این فایل ها، کرم نام خود را دریافت کرد - Stuxnet). آنها نصب شده اند
دایرکتوری سیستم، و عملکرد روی آنها یک روت کیت در سطح هسته با همان منطق است،
مانند فایل اول این اطمینان حاصل می کند که کرم پس از راه اندازی مجدد و خاموش شدن محافظت می شود
فرآیند ~wtr4141.tmp.

این درایورها، همانطور که قبلا ذکر شد، دارای گواهینامه Realtek قانونی هستند.
بنابراین، نصب آنها بدون مشکل انجام می شود (در حال حاضر گواهی از قبل وجود دارد
لغو شد). علاوه بر روت کیت، قالب میانبر و فایل‌های ~wtr4141.tmp برای
سازماندهی عفونت سایر دستگاه های USB سپس کد صادر می شود که
خود را به فرآیندهای سیستم تزریق می کند و فایل های .SYS فوق الذکر را به رجیستری اضافه می کند.
روت کیت (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls). به علاوه
دو فایل .DLL رمزگشایی می شوند که جایگزین فایل های سیستم SCADA موجود می شوند
- مرحله 7 زیمنس.

بنابراین، تمام تماس های سیستم اسکادا به کتابخانه های جعلی منتقل می شود.
پردازش "ضروری" در آنجا انجام می شود و پس از آن تماس ها به DLL های اصلی منتقل می شوند.
(vir بقیه توابع را به تنهایی شبیه سازی می کند). در کنار همه چیز
در لیست بالا، کرم فرآیندهای آنتی ویروس را مسدود می کند و سعی می کند سرورها را پیدا کند
DBMS (MSSQL). پس از یافتن آنها، سعی می کند با حساب کاربری وارد شود
WinCCConnect و رمز عبور پیش فرض 2WSXcder است. این حساباز پایگاه داده اسکادا
Siemens Simatic WinCC را تایپ کنید. همانطور که می بینید، کرم به طور خاص برای محصول زیمنس طراحی شده است.
اگر احراز هویت موفقیت آمیز باشد، جاسوس اطلاعات مربوط به فرآیندها و موارد دیگر را پمپاژ می کند.
اطلاعات سری علاوه بر این، او از جستجو در آن ابایی ندارد فایل های محلیمفید
اطلاعات برای جاسوسان اگر امکان تشخیص اتصال اینترنت وجود داشته باشد، کرم می خزد
به یکی از سرورهای فرمان. نام سرورها عبارتند از:

  • mypremierfutbol.com
  • Todaysfutbol.com

اینجاست که کرم سعی کرد به «چیزی» به شکل رمزگذاری شده برسد و نشت کند.
بچه های سیمانتک هم این مشکل را فهمیدند. معلوم شد که رمزگذاری
یک عملیات XOR بایت با یک کلید 31 بیتی است که بود
در یکی از کتابخانه های DLL دوخته شده است. پاسخ سرور نیز وارد می شود
اما در فرم XOR از یک کلید متفاوت از همان کتابخانه استفاده می شود. تروجان
اطلاعات کلی دستگاه آلوده (نسخه ویندوز، نام) را به سرور ارسال می کند
کامپیوتر، آدرس های رابط های شبکه، و همچنین یک پرچم برای حضور SCADA). در پاسخ از
مرکز فرمان ممکن است تماس های RPC را برای کار با فایل ها، ایجاد کند
فرآیندها، پیاده سازی در فرآیند و بارگذاری کتابخانه های جدید و غیره.

چی بود؟

درسته...این چی بود؟! کلاه سیاه ساده در چه چیزی دخالت نمی کند
پول آسان به ارمغان نخواهد آورد. داده های سیستم های اسکادا فقط برای رقبا مورد توجه است.
رقبا از نظر تجاری یا سیاسی. اگر به نقشه نگاه کنید
گسترش عفونت (طبق آزمایشگاه کسپرسکی)، واضح است که
مرکز زمین لرزه آسیا (یعنی هند، ایران و اندونزی) است. اگر نگاه کنید
توصیف عملکرد کرم، شما می توانید وحشت زده - کنترل بر .DLL و رهگیری
توابع SCADA آیا راه اندازی یک نیروگاه هسته ای هند جالب نیست؟
اینترنت؟ یا نفوذ در برنامه هسته ای ایران؟ علاوه بر این، ما این واقعیت را داریم
که درایورهای روت کیت گواهی قانونی دارند که از نظر جغرافیایی است
متعلق به یک شرکت مستقر در همان منطقه (تایلند)!

این داستان نه تنها توسط شرکت های آنتی ویروس، بلکه در حال رسیدگی است
ساختارهای دولتی (برای پوشاندن مسیر خود؟ :)). در نتیجه
"تسخیر" دامنه های مشخص شده و سرورهای فرمان مورد تجزیه و تحلیل قرار گرفت
آمار ماشین های بیمار که آنجا را می زند. در نتیجه، داده های سیمانتک تقریباً کاهش می یابد
همزمان با اطلاعات آزمایشگاه کسپرسکی - همه کشورهای مشابه. در کنار همه چیز
این قبلاً توسط حقایق نفوذ به آن تأیید شده است سیستم اسکادا. نه هنوز
بسیار، در مورد سه واقعیت (دو مورد از آلمان و یکی از ایران). اما همه این کار را نمی کنند
علناً می گویند که به آنها تجاوز شده است ...

چه اتفاقی خواهد افتاد؟

بعد از هر اتفاقی که افتاد، فکر می کنم علاقه شدیدی به امنیت وجود خواهد داشت
اسکادا. قبل از این حادثه، هم محققان و هم شرکت هایی وجود داشتند که
در مورد مشکلات امنیتی هشدار دادند و خدمات خود را ارائه کردند، اما این
یک مورد خاص می تواند به آنها کمک کند تا پول بسیار خوبی کسب کنند. من جرات دارم این را باور کنم
همین مدل کرم برای سیستم های ERP نیز مناسب است، زیرا نمودار نشان داده شده است
برای این مدل نیز صدق می کند. سیستم های ERP مسئول برنامه ریزی و مدیریت هستند
تجارت - پول، وظایف، کالاها، و غیره، و غیره. (حتی همین را می گویم
نوشتن چنین کرمی برای ERP آسان تر است، اما از آنجایی که SCADA و مناطق انتخاب شده اند
آسیا، اینجا بوی سیاست می دهد...). پس این همه تجارت و
سیستم های صنعتی هنوز منتظر قهرمانان خود هستند (سلام به الکساندر پولیاکوف با نام مستعار
sh2kerr). اما در مورد آسیب‌پذیری .LNK، برای مثال، تروجان زئوس قبلاً داشته است
شروع به استفاده از آن برای تولید مثل خود کرد. همچنین بچه های Rapid7
یک اکسپلویت برای Metasploit ساخته است که می تواند با استفاده از HTTP کار کند
WebDav.

در این حالت، کد پوسته در فایل .DLL نوشته می شود و میانبر آن را بارگذاری می کند. وصله کنید
در زمان نوشتن این مقاله هنوز اتفاق نیفتاده است، اما تهدید بسیار مهم است - این همه است
شرکت های آنتی ویروس می گویند که کاملاً ویروس ها را بر اساس امضا تشخیص می دهند.
پس وقت آن است که به این نکته اشاره کنیم که امضاها بد است. امضای DLL برای ما
چندان جالب نیست، اما در اینجا امضایی است که با آن مشخص می شود که این میانبر است
اکسپلویت قطعا می تواند بد باشد. بیایید یک میانبر از PoC عمومی بگیریم
(suckme.lnk_) و این معجزه را به virustotal.com ارسال کنید. در نتیجه ما 27 داریم
آنتی ویروس هایی که آن را شناسایی کردند. حالا بیایید کنترل پنل را باز کنیم و ایجاد کنیم
چند میانبر، ترجیحاً از جاوا. در مرحله بعد، اجازه دهید نام این میانبرها را به عنوان تغییر نام دهیم
کنسول:

nopy Java.lnk Java.lnk_

میانبر دوم را به همان روش اول کپی کنید. اکنون می توانیم آنها را در آن ویرایش کنیم
ویرایشگر HEX. معمولاً همه میانبرها دارای فهرستی به شکل فرمت یونیکد هستند، اما
میانبر جاوا - خیر. در نتیجه، ما دو پیوند به اپلت های CPL و برای جاوا می بینیم -
نه به صورت یونیکد مسیر CPL (DLL) را به فایل ما تغییر دهید، آن را از وسط حذف کنید
بایت های اضافی (fa ff ff ff 20) و ذخیره کنید. آن را با پسوند .LNK کپی کنید.
ما نتایج را به virustotal.com ارسال می کنیم. ۱۱ آنتی ویروس برای میانبر یونیکد باقی مانده است.
برای میانبر جاوا - 8، یعنی 70٪ از آنتی ویروس ها شناسایی سوء استفاده را متوقف کردند، و
از جمله این آنتی ویروس ها می توان به غول هایی مانند Symantec، Kaspersky، AVG، NOD32 اشاره کرد. بنابراین
که آنتی ویروس در اینجا یک دارو نیست.

این خیلی... پنج کوپیک از من تا آنجا آرام نگیرند، اما در کل،
باید از متخصصان آنتی ویروس برای چنین کارهای کامل و جالب تشکر کرد.
کاری که آنها برای کمک به درک این تهدید انجام داده اند. متشکرم،
جنگنده های آنتی ویروس: AdBlokAda (برای اولین بار کشف و مطالعه شد)، Symantec
(برای تجزیه و تحلیل فنی دقیق در وبلاگ خود)، ESET و شخصا
الکساندر ماتروسوف برای کارشان در آزمایشگاه مسکو. همچنین ممنونم
آزمایشگاه کسپرسکی و وبلاگ آنها، که الکساندر گوستف خود را در آن به اشتراک گذاشته است
افکار و نقشه های زیبا :). خوب، خواننده من از شما برای هضم تشکر می کنم
این ماده مهم

جزئیات بیشتر و بیشتری در مورد ویروس کشف شده در ژوئن سال جاری فاش می شود. چرا ویروس غیرعادی است؟ بله خیلی چیزا...

اول از همه، زیرا می تواند روی درایوهای فلش (با استفاده ازآسیب پذیری مدیریت فایل lnk ) این خود در عصر اینترنت عجیب است.

او همچنین به این دلیل قابل توجه است که از یکی، بلکه استفاده نکردچهار آسیب‌پذیری‌های صفر روزه (یعنی تاکنون ناشناخته)، که به ندرت اتفاق می‌افتد. یا بهتر است بگوییم، دو آسیب پذیری شناخته شده بود، اما بسیار کم. مایکروسافت از آنها اطلاعی نداشت و بر این اساس، هیچ وصله ای منتشر نکرد. مطمئناً، این ویروس از پنجمین آسیب‌پذیری معروف، اما بسیار بد در سرویس RPC نیز استفاده می‌کند، که کرم قبلاً به طور کامل از آن سوء استفاده کرده بود.

ویروس امضا شد امضای دیجیتال دزدیده شده برای اهداف امنیتی، مایکروسافت نیاز دارد که همه درایورهای سیستم امضا شوند. کمکی نکرد. مهاجمان به احتمال زیاد امضاهای شعب تایوانی MicronJ و RealTek را به سرقت برده اند. یک واقعیت عجیب اما دفاتر این شرکت ها در همان ساختمان در شهر شینچو قرار دارند. اگر این یک تصادف نیست، به این معنی است که شخصی به طور فیزیکی وارد اتاق ها شده، وارد رایانه های مربوطه شده و کلیدها را دزدیده است. کار آماتور نیست

این به وضوح توسط یک تیم نوشته شده بود - نیم مگابایت کد در اسمبلر، C و C ++.

استاکس نت نه در آمریکا، چین یا اروپا که بیشترین افراد در اینترنت وجود دارد و ویروس های معمولی بیشترین لطف را دارند، بلکه در ایران کشف شد. 60 درصد عفونت ها در وضعیت انقلاب اسلامی رخ داد.

می تواند دستورات را بپذیرد و به صورت غیرمتمرکز به روز رسانی کند.از نوع P2P . بات نت های کلاسیک از سیستم های فرمان مرکزی استفاده می کنند

و مهمترین چیز، نمی ترسم بگویم، این است که ویروس هرزنامه ارسال نمی کند، دیسک را فرمت نمی کند و حتی اطلاعات بانکی را نمی دزدد. او مشغول خرابکاری صنعتی است. به طور دقیق تر، سیستم های نظارت و کنترل صنعتی را با استفاده از نرم افزاری به نام مورد حمله قرار می دهد Simatic WinCC . جالب‌تر این است که استاکس‌نت مخفیانه خود را روی تراشه‌های قابل برنامه‌ریزی ثبت می‌کند (از آنها برای کنترل تولید استفاده می‌شود)، خود را مبدل می‌کند و برخی را می‌کشد. فرآیند مهم. نه فرآیند تصادفی، و بازگرداننده کد خاص. متأسفانه معنای این کد هنوز ناشناخته است. . این، به هر حال، روش توزیع از طریق درایوهای فلش را توضیح می دهد - سیستم های صنعتی به ندرت به اینترنت متصل می شوند.

نتیجه خود را نشان می دهد: گروهی از متخصصان سرسخت می خواستند چیزی را بشکنند، چیزی بسیار گران قیمت، مهم و صنعتی. به احتمال زیاد در ایران (اگرچه ویروس به کشورهای دیگر سرایت کرده است) و به احتمال زیاد قبلاً با موفقیت شکسته شده است (تخمین زده می شود ویروس شناسان استاکس نت تقریباً یک سال قبل از کشف شدن زندگی کردند) این یک گروه ساده از هکرها نیست. این به تجهیزات فنی درجه یک نیاز دارد - از افرادی که کلیدها را می دزدند، تا متخصصان آسیب پذیری و کارشناسان تولید صنعتی. حداقل اندازه مناسب و به احتمال زیاد سازمان های دولتی.

مشخص نیست دقیقا چه کسانی از سیستم WinCC در ایران استفاده می کنند، اما نظریه پردازان توطئه نشان می دهند که نسخه ای از WinCC، و بدون مجوز ، در محل ساخت و ساز ایستادراکتور بوشهر . همان جایی که ایران می خواهد برای خود اورانیوم غنی سازی کند برنامه هسته ایو روسیه می خواهد از آن محافظت کندارسال سیستم موشکیاس-300 و قبلاً ضدهوایی ارسال کرده است Tor-1 .
این البته ثابت نمی کند که بوشهر هدف است. شاید نیمی از کارخانه های ایران روی این محصول کار کنند. برای ایران خیلی بدتر.
(به روز رسانی: به نظر می رسد که WinCC قبلاً در ایران مجوز گرفته است. کلید پروژه 024 اینچفایل README همراه به طور ویژه برای بوشهر اختصاص داده شده است (صفحه 2 را ببینید).

به هر حال: بیشتر اطلاعات مورد نیاز برای ایجاد یک vir در بود دسترسی آزاد. آسیب پذیری های مشابه چندین بار در موارد مختلف ذکر شده است ، پسوردهای کارخانه ای برای پایگاه های دادهدر انجمن ها بودند . بات نت های P2P به عنوان یک امکان نظری مورد بحث قرار گرفته اند. درباره WinCC - عکس بالا. یک استراتژی بسیار هوشمندانه اولاً باعث صرفه جویی در هزینه می شود و ثانیاً نمی توان مسیر اطلاعات را ردیابی کرد. سوال "چه کسی می توانست این را بداند؟" بسیار پیچیده می شود - اما هر کسی می تواند.

خلاصه اخبار را دنبال می کنیم. هفته آینده - ارائه رالف لانگنر در کنفرانس سیستم های کنترل صنعتی، 29 سپتامبر - محققان سیمانتک و همچنین محققان کسپرسکی

جایزه: هکرهای آلمانی که ویروس را از بین برده اند همچنین یک تروجان را پیدا کرده اند که دو سال پیش در وب سایت اصلی ما AtomStroyExport مرده است (به کد منبع www.atomstroyexport.com/index-e.htm نگاه کنید) به احتمال زیاد ربطی به آن ندارد. آلودگی، به سادگی سطح امنیت در انرژی هسته ای را نشان می دهد.

http://malaya-zemlya.livejournal.com/584125.html

مقالات با موضوع:


  • ظهور ماشین ها؟ اسکای نت در حال تبدیل شدن به واقعیت است... ویروسی که برای اولین بار حدود دو هفته پیش توسط سیستم کامپیوتری سیستم امنیتی مبتنی بر میزبان ارتش کشف شد، مانع اپراتورها نشد...

  • هزاران کاربر با راه‌اندازی فایل exe به همین نام که از طریق شبکه ICQ به آنها رسیده بود قربانی ویروس جدید ICQ Snatch شدند. اپیدمی ویروسیحوالی ظهر 16 اوت آغاز شد. در زمان نوشتن ...

  • یک تور کور بر روی زمین آزمایش شد.این جمله معروف که ارتش در حال آماده شدن برای جنگ های گذشته است به ویژه امروز صادق است. با این حال، مثل همیشه. به گفته ژنرال ارتش آندری نیکولایف: &ld...
نمی‌دانم در جنگ جهانی سوم از چه سلاح‌هایی استفاده می‌شود، اما در جنگ چهارم از سنگ و قمه استفاده خواهند کرد.»
آلبرت انیشتین
در پایان ماه سپتامبر مشخص شد که ویروس استاکس نتآسیب جدی به برنامه هسته ای ایران وارد کرد. استفاده از آسیب پذیری های سیستم عامل و بدنام " عامل انسانیاستاکس نت با موفقیت 1368 سانتریفیوژ از 5000 سانتریفیوژ نیروگاه غنی سازی اورانیوم نطنز را مورد اصابت قرار داد و همچنین برنامه راه اندازی نیروگاه اتمی بوشهر را مختل کرد. مشتری - ناشناخته مرتکب یک کارمند سهل انگار زیمنس است که فلش درایو آلوده را داخل آن قرار داده است ایستگاه کاری. خسارات وارده به تاسیسات هسته ای ایران با آسیب های ناشی از حمله نیروی هوایی اسرائیل قابل مقایسه است.
دنیا از جنگ های نسل جدید صحبت می کند. حملات سایبری می‌توانند ابزاری ایده‌آل برای جنگ‌های بعدی باشند - آنها سریع، در مخرب بودن خود مؤثر هستند و معمولاً ناشناس هستند. امروز، کشورها فوراً در حال توافق بر سر راهبردی مشترک برای مقابله با تهدیدات سایبری هستند. فردا چه خواهد شد؟ متأسفانه، واقع بینانه ترین پاسخ به این سؤال همچنان عبارت غم انگیز انیشتین است.
ایران در برابر تهدید فنی درمانده است
صفحات سرمقاله مطبوعات جهان مملو از پیشگویی های غم انگیز در مورد ظهور عصر جنگ های فناوری است. کارشناسان حوزه‌های مختلف در حال تلاش برای حل راه‌حل استاکس‌نت، ویروسی که تأسیسات هسته‌ای ایران را تحت تأثیر قرار داده است، از امنیت فناوری اطلاعات گرفته تا زبان‌شناسی و انسان‌شناسی، تلاش می‌کنند. استاکس نت مدت ها پیش توسط آزمایشگاه های آنتی ویروس کشف شد، اما مقیاس واقعیدنیا در اواخر شهریور و زمانی که از تاخیر در راه اندازی اولین نیروگاه اتمی ایران در بوشهر مطلع شد، از این آلودگی مطلع شد. اگرچه علی اکبر صالحی، رئیس سازمان انرژی اتمی ایران گفت که تاخیر در راه اندازی نیروگاه اتمی ربطی به ویروس ندارد، اما مارک فیتزپاتریک، کارمند موسسه بین المللی مطالعات استراتژیک، خاطرنشان کرد که این به نظر می رسد. خیلی جدی نیست، و ایران تمایل دارد مشکلات واقعی در نیروگاه هسته ای را خاموش کند. پس از مدتی محمود جعفری، مدیر پروژه ایستگاه بوشهر، «ولم کرد». به گفته وی، استاکس نت "چند کامپیوتر را آلوده کرد، اما هیچ آسیبی به سیستم عامل اصلی ایستگاه وارد نکرد." ساپینتی نشست. تأسیسات هسته ای ایران در نطنز نیز به شدت آسیب دید: 1368 سانتریفیوژ از 5000 سانتریفیوژ در نتیجه استاکس نت از کار افتادند. وقتی بعد از جلسه مجمع عمومی سازمان ملل از محمود احمدی نژاد مستقیماً در مورد مشکلات فناوری برنامه هسته ای سوال شد، او فقط شانه هایش را بالا انداخت و چیزی نگفت. توجه داشته باشیم که طبق گزارش نیویورک تایمز، آسیب ناشی از این ویروس در ایران، شاید با حمله نیروی هوایی اسرائیل قابل مقایسه باشد.
نویسنده! نویسنده!
به دلایل واضح، توسعه دهندگان استاکس نت ترجیح می دهند مشخصات پایینی داشته باشند، اما واضح است که پیچیدگی ویروس بی سابقه است. ایجاد چنین پروژه ای مستلزم سرمایه گذاری های عظیم فکری و مالی است، به این معنی که تنها ساختارهای دولتی قادر به انجام آن هستند. همه کارشناسان معتقدند که این ویروس نتیجه تلاش‌های «گروهی از علاقه‌مندان» نیست. لوران اسلاو، رئیس سیستم های امنیتی سیمانتک، تخمین می زند که حداقل شش تا ده نفر در طول شش تا نه ماه روی ایجاد استاکس نت کار کرده اند. فرانک ریگر، مدیر فنی GSMK از همکار خود حمایت می کند - به گفته او، ویروس توسط یک تیم ده نفره ایجاد شده است برنامه نویسان با تجربهو توسعه آن حدود شش ماه طول کشید. ریگر همچنین هزینه تخمینی ایجاد استاکس‌نت را نام می‌برد: حداقل 3 میلیون دلار است. اوگنی کسپرسکی، مدیر عامل آزمایشگاه کسپرسکی، در مورد اهداف نظامی این ویروس صحبت می‌کند: «استاکس‌نت پول نمی‌دزدد، اسپم نمی‌فرستد و دزدی نمی‌کند. اطلاعات محرمانه. این بدافزار برای کنترل فرآیندهای تولید و به معنای واقعی کلمه مدیریت ظرفیت های تولید عظیم ایجاد شده است. در گذشته نه چندان دور، ما با مجرمان سایبری و اوباش آنلاین مبارزه می‌کردیم، اکنون می‌ترسم زمان تروریسم سایبری، سلاح‌های سایبری و جنگ‌های سایبری فرا برسد.» تیلمان ورنر، یکی از اعضای پروژه هانی نت، جامعه ای از کارشناسان امنیت اینترنت، مطمئن است که هکرهای تنها قادر به انجام این کار نیستند. استاکس نت از نقطه نظر فنی آنقدر پیشرفته است که باید فرض کرد که متخصصان سازمان های دولتی در توسعه برنامه مخرب شرکت داشته اند یا اینکه آنها حداقلورنر می‌گوید، کمکی در ایجاد آن کرد.

در فرآیند تحلیل استاکس‌نت، برخی از رسانه‌ها به این نتیجه رسیدند که اسرائیل پشت ایجاد این ویروس بوده است. اولین کسی که در مورد دخالت اسرائیل در حمله به ایران صحبت کرد، جان مارکوف، روزنامه‌نگار نیویورک تایمز بود که گزارش داد که تحلیل‌گران به‌ویژه نام یکی از قطعات رمز را "myrtus" ("myrtle") ذکر کردند. ترجمه شده به عبری، "myrtle" مانند "adas" به نظر می رسد، که به نوبه خود با نام "Adassah" همخوانی دارد، متعلق به استر (استر)، قهرمان تاریخ یهود که مردم خود را از نابودی در امپراتوری ایران نجات داد. برخی تحلیلگران با تشبیه ایران باستان که ایران امروزی در قلمرو آن قرار دارد، بر این باورند که اسرائیل یک «کارت تلفن» در کد ویروس گذاشته است. با این حال، به گفته تعدادی از کارشناسان، این نسخه در برابر انتقاد نمی ایستد و شبیه طرح یک داستان پلیسی ارزان است - یک "دست خط" بسیار بدوی برای پروژه ای در این مقیاس.

در عین حال، باید تاکید کرد که تابستان گذشته (به یاد داشته باشید، گسترش استاکس نت از سال 2009 آغاز شد)، منبع ویکی لیکس از یک حادثه هسته ای جدی در نطنز خبر داد. بلافاصله پس از آن مشخص شد که غلامرضا آقازاده رئیس سازمان انرژی اتمی ایران بدون توضیح از سمت خود استعفا کرده است. تقریباً در همان زمان، اظهارات سیاستمداران و پرسنل نظامی اسرائیل در رسانه ها مبنی بر رویارویی احتمالی با ایران در جبهه فناوری منتشر شد. علاوه بر این، اسرائیل تاریخ پیش بینی شده برای دستیابی ایران به بمب اتمی را تعدیل کرد و آن را به سال 2014 بازگرداند و مأموریت مایر داگان، رئیس موساد، به دلیل مشارکت در «پروژه های مهم» نامشخص تمدید شد.

عامل انسانی
تاریخچه عفونت اولیه که سرآغاز انتشار این ویروس بود، قابل توجه است. بدیهی است که سیستم ها کنترل خودکاراز این سطح به شبکه متصل نیستند. یکی از کارشناسان مرکز سایبری ناتو در استونی، کنت گیرز، در یکی از کنفرانس های امنیتی پیشنهاد کرد که موفقیت حمله استاکس نت تنها به تماس با افراد مناسب و ... درایوهای USB اساسی بستگی دارد. شما می توانید برای راه اندازی یک تروجان به کسی پول بدهید سیستم بسته، یا یک درایو فلش که فقط برای آن در نظر گرفته شده است را جایگزین کنید استفاده داخلی"، Gears را منعکس می کند. کافی است یک درایو فلش آلوده را در یک کانکتور USB استاندارد رایانه خود قرار دهید و استاکس نت بلافاصله به طور خودکار به سیستم عامل می رود و هیچ برنامه ضد ویروس یا سایر اقدامات محافظتی با آن تداخل نخواهد داشت. و در واقع، "پیوند ضعیف" عامل انسانی بود - Stuxnet از طریق یک درایو USB معمولی وارد سیستم شد، که با بی دقتی توسط یک کارمند بی دقت به ایستگاه کاری وارد شد. شایان ذکر است که پس از اظهارات حیدر مصلحی، وزیر اطلاعات ایران مبنی بر بازداشت «جاسوسان هسته‌ای» (معلوم شد که آنها تکنسین‌های روسی کاملاً غیرمجاز هستند)، مدیریت زیمنس با تأکید بر غیرعمدی بودن این ویروس، اعتراف کرد که این ویروس توسط کارکنان شرکت معرفی شده است. عفونت لازم به ذکر است که استاکس نت تنها بر نوع خاصی از آن تأثیر می گذارد کنترلرهای زیمنسیعنی SIMATIC S7 که طبق اعلام آژانس مورد استفاده ایران است.
جنگ سایبری. میدان جنگ زمین است؟
در کنفرانس ویروس بولتن 2010 در ونکوور، کانادا، ارائه مختصری توسط لیام او مورچو، یکی از کارشناسان امنیت فناوری اطلاعات سیمانتک، توجه عموم را به خود جلب کرد. یک تحلیلگر آزمایشی را برای توضیح خطرات یک تهدید سایبری انجام داد. بهتر از صدهاگزارش های رسمی O Merchu یک پمپ هوا را روی صحنه نصب کرد که سیستم عامل تولید شده توسط زیمنس را اجرا می کرد، ایستگاه کاری کنترل کننده پمپ را با ویروس استاکس نت آلوده کرد و این فرآیند را آغاز کرد. پمپ به سرعت بادکنک را باد کرد، اما این روند متوقف نشد - بالون تا زمانی که ترکید باد کرد. این کارشناس با پایان دادن به پرسش درباره «جدی بودن» جنگ‌های سایبری گفت: «تصور کنید که این یک بالون نیست، بلکه یک نیروگاه هسته‌ای ایران است».

همکاران O Merchu به طور کامل نگرانی های او را به اشتراک می گذارند. پل فرگوسن، محقق Trend Micro گفت که با ایجاد استاکس‌نت، جهان اکنون یک سلاح سایبری کامل دارد که فراتر از طرح‌های مخرب سنتی (سرقت شماره) است. کارت های اعتباریو غیره) و می تواند منجر به حوادث جدی در تاسیسات صنعتی بسیار خطرناک شود. فرگوسن تاکید می کند که تحلیلگران اکنون "به معنای واقعی کلمه دولت را برای اتخاذ تدابیر امنیتی جدی ترسانده اند."

در واقع، ژنرال کیت الکساندر، رئیس ستاد سایبری جدید ایالات متحده در پنتاگون، در سخنرانی در مقابل کنگره، علناً اعلام کرد که تهدید جنگ سایبری در چند سال گذشته به سرعت در حال رشد بوده است. الکساندر دو حمله سایبری به کل ایالت ها را به یاد آورد - به استونی (در سال 2007، پس از برچیدن سرباز برنزی) و به گرجستان (در سال 2008، در طول جنگ با روسیه).

توماس هندریک ایلوز، رئیس جمهور استونی، در مصاحبه با برلینر سایتونگ، موضوع تهدیدات سایبری را در واقعیت مطرح می کند. سطح بالا. رئیس جمهور استونی تاکید کرد: تصمیم ناتو برای استقرار مرکز امنیت سایبری در تالین (به یاد داشته باشید، در می 2008 افتتاح شد) به این دلیل است که استونی یکی از کامپیوتری ترین کشورهای اروپا و همچنین اولین کشوری است که در سال 2007 مورد حمله سایبری تمام عیار قرار گرفت. پس از این که این حمله زیرساخت های کل کشور را فلج کرد، وزیر دفاع استونی، جااک آویکسو، حتی از ناتو خواست که این حملات سایبری را با اقدامات نظامی یکی بداند. رئیس جمهور امروز به نکات مشابهی اشاره می کند: «ویروس استاکس نت نشان داد که چقدر باید امنیت سایبری را جدی بگیریم، زیرا با کمک محصولات مشابهزیرساخت های حیاتی ممکن است از بین برود. در مورد ایران، به نظر می رسید که این ویروس برنامه هسته ای آن را هدف قرار دهد، اما ویروس های مشابه می توانند اقتصاد کامپیوتر محور ما را نابود کنند. این باید در ناتو مورد بحث قرار گیرد: اگر موشکی یک نیروگاه را نابود کند، بند 5 اجرایی می شود. اما در صورت حمله ویروس کامپیوتری چه باید کرد؟ - از توماس هندریک ایلوز می پرسد. رئیس جمهور معتقد است: پیشنهاد رئیس جمهور مطابق با روندهای فعلی است: "هر دو اتحادیه اروپا و ناتو باید یک سیاست مشترک از جمله هنجارهای قانونی را ایجاد کنند که مبنای دفاع جمعی در برابر تهدیدات در فضای سایبری شود."

معاون اول وزیر دفاع ویلیام جی. لین کاملاً با توماس هندریک ایلوز موافق است. در مصاحبه ای با رادیو آزادی، لین تلاش کرد به سوال مطرح شده توسط ایلوز پاسخ دهد: «اگر حمله بر عناصر مهمی از اقتصاد ما تأثیر گذاشت، احتمالاً باید آن را یک حمله بدانیم. اما اگر هک منجر به سرقت اطلاعات شود، ممکن است یک حمله نباشد. بین این دو افراط، گزینه‌های زیادی وجود دارد. برای تدوین خط مشی مشخص، باید تصمیم بگیریم که خط بین هک و حمله، یا بین جاسوسی و سرقت اطلاعات کجاست. من معتقدم که هم در داخل و هم در خارج از دولت روی این موضوع بحث می‌شود و فکر نمی‌کنم این بحث تا به حال تمام شده باشد.»

علاوه بر این، نکته کلیدی سخنرانی ویلیام لین، اعلام عمومی پنج اصل بود که بر اساس آن استراتژی جدیدامنیت سایبری ایالات متحده ما به نقل از معاون وزیر دفاع آمریکا بدون کاهش می پردازیم:
«اولین این اصول این است که ما باید فضای سایبری را به عنوان یک منطقه جنگی جدید بشناسیم. درست مانند زمین، دریا، هوا و فضا، ما باید فضای سایبری را به عنوان حوزه ای از عملیات خود ببینیم که از آن محافظت کرده و دکترین نظامی خود را به آن گسترش خواهیم داد. این چیزی است که ما را به ایجاد یک فرماندهی سایبری یکپارچه در فرماندهی استراتژیک سوق داد.

اصل دوم که قبلاً اشاره کردم این است که دفاع باید فعال باشد. این باید شامل دو خط عمومی پذیرفته شده دفاع غیرعامل باشد - در واقع، این یک بهداشت معمولی است: نصب وصله ها به موقع، به روز رسانی برنامه های ضد ویروس خود، بهبود ابزارهای حفاظتی خود. ما همچنین به خط دوم دفاعی نیاز داریم که توسط شرکت های خصوصی استفاده می شود: آشکارسازهای نفوذ، برنامه های نظارت امنیتی. همه این ابزارها احتمالاً به شما در دفع حدود 80 درصد حملات کمک خواهند کرد. 20 درصد باقیمانده یک تخمین بسیار تقریبی است - حملات پیچیده ای که نمی توان با ایجاد سوراخ ها از آنها جلوگیری یا متوقف کرد. زرادخانه بسیار فعال تری مورد نیاز است. ما به ابزارهایی نیاز داریم که بتوانند کدهای مخرب را شناسایی و مسدود کنند. شما به برنامه‌هایی نیاز دارید که عناصر مخربی را که در شبکه شما نفوذ کرده‌اند شناسایی و دنبال کنند. هنگامی که آنها را پیدا کردید، باید بتوانید ارتباط آنها را با آنها مسدود کنید شبکه خارجی. به عبارت دیگر، بیشتر شبیه یک جنگ مانور است تا یک خط ماژینو.

سومین اصل استراتژی امنیت سایبری، حفاظت از زیرساخت های غیرنظامی است.

چهارم، ایالات متحده و متحدانش باید اقدامات دفاعی جمعی انجام دهند. تصمیمات مهمی در این زمینه در نشست آتی ناتو در لیسبون اتخاذ خواهد شد.

در نهایت، اصل پنجم این است که ایالات متحده باید در خط مقدم توسعه نرم افزار باقی بماند.

واکنش دیمیتری روگوزین، نماینده دائم روسیه در ناتو، به فرآیندهای در حال وقوع در این اتحاد بسیار قابل توجه است. ظاهرا روسیه به شدت نگران نشست آتی ناتو در لیسبون است که در 20 نوامبر برگزار می شود، زیرا در آنجاست که قرار است معضل حمله به شبکه های کامپیوتری نظامی و دولتی یکی از اعضای ناتو را روشن کند. دلیلی برای استناد به ماده 5 دانست پیمان واشنگتنو با حمله نظامی دسته جمعی پاسخ دهید. روگوزین به سبک مشخص خود می نویسد: «در نهایت خواهیم فهمید که آیا حمله ناتو به آپارتمان هکرها با بمب هسته ای مجاز است یا فرض می شود که جنگ سایبری فراتر از مرزهای فضای سایبری نخواهد بود. من دلایل زیادی برای شک در سناریوی دوم دارم. به معنای واقعی کلمه در برابر چشمان ما، رسوایی بزرگی در نشریات غربی در ارتباط با گسترش یک کرم رایانه ای به نام استاکس نت در حال رخ دادن است. من به خواندن عادت کرده ام و ارسال اس ام اسبه زبان لاتین، بنابراین من بلافاصله نام ویروس را به عنوان یک فعل روسی در زمان آینده خواندم: "آن خواهد رفت." مطمئن باشید، چیزی برای کسی، به خصوص کسانی که این ویروس را شروع کرده اند، قطعاً بد خواهد شد یا از بین می رود. همانطور که می دانیم، هر که باد بکارد، گردباد درو خواهد کرد.» بدون جرات اظهار نظر در مورد تحقیقات ادبی و خلاقانه آقای روگوزین، متذکر می شویم که در دو مورد بزرگ حملات هکرهاکل دولت ها (استونی و گرجستان) به گردن روسیه افتادند - شاید این همان چیزی است که باعث چنین واکنش خشونت آمیزی از سوی نماینده تام الاختیار تأثیرپذیر شد.

بنابراین، در پس زمینه هیستری تحریک شده توسط استاکس نت، تعدادی از ایالت ها نیاز به تدوین یک سیاست مشترک برای جلوگیری از حملات سایبری را اعلام کردند. آیا این منجر به نتیجه مطلوب خواهد شد، حتی اگر فرض کنیم که سندی تدوین (و امضا) تنظیم می شود که استفاده از فناوری های مخرب را تنظیم می کند؟ هفته کسب و کار IT این بسیار مشکوک به نظر می رسد، وسوسه های ارائه شده بسیار بزرگ هستند تکنولوژی پیشرفته: ناشناس بودن، امنیت (برای مهاجم)، نسبت هزینه / اثربخشی بی سابقه. این بدان معنی است که استاکس نت تنها اولین نشانه از دوران انقلاب فنی-اجتماعی بود که اصلاً آنطور که در رویا بود شروع نشد.

برچسب ها:

  • ویروس
  • استاکس نت
  • ایران
افزودن برچسب

بهترین مقالات در این زمینه

پچکین بسته را آورد. تاریخچه توسعه ارتباطات. ایمیل. این من هستم، پستچی پچکین، که یک بسته برای پسر شما آوردم
پچکین بسته را آورد. تاریخچه توسعه ارتباطات. ایمیل. این من هستم، پستچی پچکین، که یک بسته برای پسر شما آوردم
چگونه انتخاب را در فرم فهرست دایرکتوری تنظیم کنیم؟
چگونه انتخاب را در فرم فهرست دایرکتوری تنظیم کنیم؟
چه باید کرد، اگر
اگر فیلد شی شناسایی نشد چه باید کرد
دسته بندی ها:
© 2023 bumotors.ru. نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی. پرتال اطلاعاتی