سازمان بدافند غير عامل جمهوري اسلامي در خصوص ويروس استاكس نت اين مطلب را منتشر ساخته است

20110812-214539.jpg

سازمان بدافند غير عامل جمهوري اسلامي كزارش فني در خصوص اين ويروس صادر كرده كه عينا در اينجا براي شما اورده ايم
در حقيقت، «سيمانتك » چند مرتبه ساخت اين ويروس را به منابعي نسبت داد كه موجب بحث و جدل شد. اولين بار در مورد نشان آلودگي بود كه محققان در «استاكس‌نت » يافته بودند كه گاه با برخي اسامي يهوديمطابقت مي كرد.
سايت «وايرد دات كام » در گزارشي مفصل، «استاكس‌نت » را رمزگشايي و اهداف آن را در حمله به تأسيسات هسته‌اي ايران بررسي كرد. در بخش ششم اين مقاله رد پاهاي بيشتري از يهوديان اسرائيل را در اين ويروس مي‌بينيم و در نهايت به اثر تخريبي «استاكس‌نت » بر سانتريفيوژها پي مي‌بريم.

* درخواست کمک از افراد مجرب در زمینه «پروفی‌باس »
محققان درخواستی را روی وبلاگ خود قرار دادند تا افرادی که در زمینه «پروفی‌باس » و زیرساخت‌های اساسی تجربه داشتند خود را به آنان معرفی کنند؛ یک برنامه‌نویس هلندی به نام «راب هالس‌بوس » به این درخواست پاسخ داد. اغلب ایمیل‌های او اطلاعاتی را در بر داشت که محققان خود از آن آگاه بودند؛ اما یک خط در این میان برجسته بود. وی نوشت: «هر قسمت از «پروفی‌باس » باید یک شناسه منحصر به فرد داشته باشد که طول آن به اندازه یک کلمه است. » «چین » ناگهان متوجه شد که آن دو رقم مرموز (9500h و 7050h) باید شناسه‌های شرکت‌های سازنده باشند.
* افشای راز دو رقم مرموز
«چین » و «او مورچو » در اینترنت به دنبال اسناد «پروفی‌باس » گشتند و یک فایل پی‌دی‌اف را یافتند که شامل لیستی از مشخصات دستگاه‌های مطابق با کارت شبکه «پروفی‌باس » بود. دو عدد مرموزی که «استاکس‌نت » به دنبال آن‌ها می‌گشت در انتهای این لیست آمده بودند. این دو عدد شناسه‌هایی مربوط به دو نوع مبدل فرکانس بودند که در فنلاند و ایران تولید می‌شدند. اولین عدد، 9500h، به مبدل‌های فرکانس «ویکان ان‌ایکس » (Vacon NX) ساخت شرکت «ویکان » (Vacon) در فنلاند اشاره می‌کرد و دومین عدد، 7050h، مبدل فرکانسی نامشخص را ساخت شرکت «فرارو پایا » در ایران نشان می‌داد.
* دخالت «استاکس‌نت » در فرمان‌های صادره به مبدل‌های فرکانس
مبدل‌های فرکانس برای تنظیم سرعت موتورها و روتورها (بخش‌های گردان) در وسایلی مانند دریل‌های پر سرعت مورد استفاده قرار می‌گیرد؛ این دریل‌ها در برش قسمت‌های فلزی در کارخانه‌ها و عبور دادن خمیر از شبکه‌های فلزی در ماشین‌های کاغذسازی کاربرد دارد. با بالا بردن فرکانس چرخش، سرعت گردش روتور نیز افزایش می‌یابد. در سند «پروفی‌باس » که محققان در اینترنت یافتند، لیستی از فرمان‌ها برای کنترل این فرکانس وجود داشت؛ این فرمان‌ها دقیقاً با فرمان‌های نوشته شده در «استاکس‌نت » یکی بود.
«چین » تصریح کرد: «کد STL (در «استاکس‌نت «) چیزهایی شبیه به «کلمه 47f و 1 » را فرمان می‌داد. در دفترچه مبدل فرکانس نیز نوشته شده بود: «برای شروع کار مبدل فرکانس، کلمه 47f را وارد کنید و مقدار آن را 1 قرار دهید. » زبان ما بند آمده بود. »
بنا بر اطلاعات درون کد «استاکس‌نت «، این ویروس تأسیساتی را مورد هدف قرار می‌داد که از 33 عدد یا بیشتر دستگاه مبدل فرکانس استفاده می‌کرد و دامنه فرکانس همه آن‌ها میان 807 هرتز تا 1210 هرتز بود.
* «استاکس‌نت » فرکانس مبدل‌هارا در بازه‌ای بسیار بزرگ افزایش و کاهش می‌داد
نرم‌افزار مخرب می‌توانست بدون سر و صدا عملیات شناسایی خود را در حدود دو هفته درون سیستم انجام دهد و سپس یکباره و به سرعت به هدف خود حمله کند؛ «استاکس‌نت » در این حمله، فرکانس مبدل را تا 1410 هرتز افزایش می‌داد، آن را به مدت 15 دقیقه در همین وضعیت نگه می‌داشت و سپس آن را به فرکانس معمول خود، 1064 هرتز، باز می‌گرداند. فرکانس مبدل 27 روز در همین وضعیت باقی می‌ماند و سپس «استاکس‌نت » بار دیگر به این مبدل حمله می‌کرد و فرکانس آن را به مدت 50 دقیقه در مقدار 2 هرتز نگه می‌داشت.
* هدف «استاکس‌نت » نابود کردن وسیله‌ای بود که از مبدل فرکانس دستور می‌گرفت
دستگاه 27 روز دیگر نیز بدون تغییر باقی می‌ماند و سپس «استاکس‌نت » بار دیگر به آن حمله می‌کرد و همین چرخه را پیاده می‌نمود. تفاوت گسترده میان فرکانس‌ها نشان می‌دهد که هدف «استاکس‌نت » از بین بردن آن چیزی بوده است که در آن سوی مبدل قرار دارد.
«چین » در اینترنت تحقیق کرد و متوجه شد که مبدل‌هایی که با فرکانس 600 هرتز و بالاتر از آن کار می‌کنند، در آمریکا به موجب قانون «کمیسیون ساماندهی هسته‌ای » (NRC) برای صادرات مورد استفاده قرار می‌گیرند.
* «لانگنر » اعلام کرد که هدف «استاکس‌نت » سانتریفیوژهای یک نیروگاه هسته‌ای هستند
«چین » می‌گوید: «ما فهمیدیم این تجهیزات، با این فرکانس، می‌توانند در غنی‌سازی اورانیوم مورد استفاده قرار بگیرند. » «لانگنر » با اعلام این که هدف «استاکس‌نت » سانتریفیوژهای یک نیروگاه هسته‌ای هستند، ریسک بزرگی کرده بود؛ اما اکنون «سیمانتک » شواهد نیرومندی برای حمایت از این ادعا در اختیار داشت.
«چین » می‌گوید، اکنون، «ما می‌دانستیم در معرض یک فعالیت گسترده‌تر ژئوپولتیکی قرار داریم. ما قطعاً پیش خود فکر می‌کردیم… آیا من واقعاً مایلم که نامم در این [پروژه] ثبت شود؟ »
* بحث در میان محققان «سیمانتک » در مورد افشا یا عدم افشای یافته‌های خود
آنان در طول مسیر به نقاط عطفی رسیده بودند، با یکدیگر بحث کرده بودند که آیا باید مقداری از اطلاعات را بدون نام افشا کنند و یا حتی مقداری از آن را کاملاً نزد خود نگه دارند. اما در انتها همواره تصمیم گرفته بودند تا اطلاعات را منتشر کنند؛ زیرا معتقد بودند که هر چه مردم اطلاعات بیشتری داشته باشند، بهتر می‌توانند از سیستم خود در مقابل این ویروس و ویروس‌های ساخته شده از روی آن، محافظت کنند.
* دیدگاه «سیمانتک » مبنی بر نجات مردم از تهدید بود؛ صرف نظر از این که این تهدید چیست
لازم به ذکر است که هیچ کدام از مدیران اجرایی سازمان نیز تلاش نکرد تا کار آنان را روی «استاکس‌نت » متوقف کند و یا آن چه را منتشر می‌کردند سانسور نماید. «چین » تصریح کرد: «حتی تا به امروز نیز ما هیچ وکیلی نگرفته‌ایم. » وی گفت که دیدگاه شرکت در این زمینه این گونه بود: «این یک تهدید است، مردم را با مشکل مواجه کرده است، ما باید آن را بررسی کنیم. به عقیده من این زیربنای تفکر ما است، تهدید هر چه که می‌خواهد باشد. »
* اگر گروه تحقیقاتی «سیمانتک » به هویت مسئولین پشت پرده پروژه «استاکس‌نت » پی می‌برد در مورد معرفی آنان بحث‌های زیادی در بینشان در می‌گرفت
با این حال، «او مورچو » گفت یک نکته وجود دارد که اگر به آن دست پیدا می‌کردیم، شاید آن را منتشر نمی‌نمودیم. وی گفت: «اگر به آن جا می‌رسیدیم که صد در صد می‌دانستیم چه کسی پشت ساخت «استاکس‌نت » است، در مورد [اعلام یا عدم اعلام] آن بحث‌های بسیار جدی با یکدیگر می‌کردیم. »
* نشانه‌های یهودی در «استاکس‌نت »
در حقیقت، «سیمانتک » چند مرتبه ساخت این ویروس را به منابعی نسبت داد که موجب بحث و جدل شد. اولین بار در مورد نشان آلودگی بود که محققان در «استاکس‌نت » یافته بودند. زمانی که «استاکس‌نت » وارد سیستمی می‌شد، پیش از آن که فایل‌های مخرب خود را روی سیستم نصب کند، ابتدا «رجیستری ویندوز » را برای یافتن عدد 19790509 چک می‌کرد. اگر این عدد در «رجیستری » وجود داشت، «استاکس‌نت » از آن سیستم عبور می‌کرد و آن را آلوده نمی‌ساخت؛ مانند خون بره که در مصر باستان خانه‌های یهودیان را نشان‌گذاری می‌کرد تا «بلای مرگ اولین فرزند » را از آن خانه دور کند.
این تکنیک جدید نبود. «سیمانتک » به اصطلاح «مقادیر ایمن‌ساز » را در نرم‌افزارهای مخرب دیگر نیز دیده بود. مهاجم‌ها این مقادیر را در «رجیستری » سیستم خود قرار می‌دادند تا ویروس گسترده‌ای که خود آن را منتشر می‌کردند، رایانه خودشان را مبتلا نکند.
* اشاره «مقدار ایمن‌ساز » «استاکس‌نت » به تاریخ تیرباران یک تاجر یهودی در ایران
اما محققان متوجه شدند که این بار، این مقدار به یک تاریخ اشاره می‌کرد: 9 مه 1979؛ تاریخی که ممکن است به روزی اشاره کند که «حبیب القانیان «، تاجر یهودی ایرانی، به وسیله جوخه آتش در تهران تیرباران شد. این اعدام در تاریخ یهودیان نقطه مهمی است؛ زیرا در نهایت منجر به مهاجرت دسته‌جمعی یهودیان به خارج از ایران شد.
* باقی ماندن یک سر نخ از سازنده «استاکس‌نت » در این ویروس
به علاوه کلمه «مورد » (نوعی گیاه) نیز در مسیر فایلی وجود داشت که مهاجم‌ها در یکی از راه‌اندازهای «استاکس‌نت » باقی گذاشته بودند. این مسیر (b:\myrtus\src\objfre_w2k_x86\:386\guava.pdb) نشان می‌داد که سازنده‌های «استاکس‌نت » این فایل را، در طول ساخت، در کدام قسمت از رایانه خود ذخیره کرده‌اند. عجیب نیست که سازنده یک نرم‌افزار مخرب فراموش کند پیش از انتشار نرم‌افزار خود، این سر نخ‌ها را از بین ببرد.
* اشاره احتمالی بخشی از «استاکس‌نت » به یک داستان یهودی و افزایش اتهامات نسبت به اسرائیل و آمریکا
در این مورد، نام‌های «گواوا » (گیاهی از گونه موردها) و «مورد » می‌توانستند سر نخ‌هایی احتمالی باشند که سازنده‌های «استاکس‌نت » را شناسایی کنند. «مورد » دسته‌ای از گیاهان است که «گواوا » را نیز در بر می‌گیرد؛ بنابراین شاید نویسنده‌های این ویروس به گیاه‌شناسی علاقه‌مند بوده‌اند. شاید نیز کلمه «مورد » (Myrtus) به معنای «آرتی‌یوهای من » (MyRTUs) باشد؛ آرتی‌یو (RTU) یا «واحد پایانه راه دور » مانند کنترل‌گر عمل می‌کند. «سیمانتک » به هر دوی این احتمال‌ها اشاره کرد؛ اما همچنین گفت که «مورد » (myrtus) ممکن است به طور خفیفی به «ملکه استر «، شاهزاده یهودی «پوریم » (از جشن‌های یهودیان)، اشاره کند؛ بنا بر نوشته‌های قرن چهارم قبل از میلاد، این ملکه یهودیان ایرانی را از یک کشتار جمعی نجات داد. نام عبری «استر » «هدیسه » بود که به «مورد » (myrtle) اشاره دارد. ظن‌ها در این مورد افزایش یافت که اسرائیل و آمریکا پشت پروژه «استاکس‌نت » هستند و به عنوان روشی غیر مستقیم به جای حمله با بمب به نیروگاه هسته‌ای ایران از این نرم‌افزار مخرب استفاده کرده‌اند.
* هجوم آژانس‌های دولتی آمریکا و سایر کشورها برای اطلاع از خلاصه یافته‌های «سیمانتک »
در این زمان، آژانس‌های دولتی درون و بیرون از آمریکا به تحقیقات این محققان علاقه‌مند شدند و از آنان درخواست کردند تا خلاصه‌ای از یافته‌هایشان را به آنان گزارش دهند. «سیمانتک » یک فایل «پاور پوینت » را برای «وزارت امنیت داخلی «، «وزارت دفاع «، «وزارت انرژی » و «اف‌بی‌آی » تهیه کردند تا به سؤالات آنان پاسخ دهند. «چین » تصریح کرد: «من به شوخی می‌گویم آنان خود همه پاسخ‌ها را داشتند. » زمانی که از او پرسیده شد آیا «آژانس امنیت ملی » (NSA) و «سی‌آی‌ای » در جلسات «پاور پوینت » شرکت کردند یا خیر، وی پاسخ داد: «اگر هم «آژانس امنیت ملی » (NSA) را در جریان خلاصه یافته‌هایمان قرار می‌دادیم، باز هم خودمان از این کارمان اطلاع نداشتیم، درست است؟ »
* ترور دو دانشمند هسته‌ای ایران
نتایج سیاسی کار محققان زمانی ابعاد گسترده‌تری به خود گرفت که دو هفته پس از انتشار یافته‌های آنان در زمینه مبدل‌های فرکانس، دو دانشمند هسته‌ای ایرانی به طور همزمان در تهران توسط تروریست‌ها کشته شدند.
این افراد در صبح روز دوشنبه به سمت محل کار خود در دو مکان مختلف شهر در حرکت بودند که موتورسوارانی به آنان نزدیک شده و بمب‌هایی را روی اتومبیل آنان چسباندند. «مجید شهریاری «، دانشمند برجسته و مدیر ارشد برنامه هسته‌ای ایران، کشته و «فریدون عباسی «، متخصص جداسازی ایزوتوپ‌ها (عملیاتی ضروری برای ساخت سوخت اورانیوم)، مجروح شد. ایران، سازمان جاسوسی اسرائیل، «موساد » را به تدارک این حمله‌ها متهم کرد.
* صداهای عجیب در تلفن همراه «او مورچو »
هر چند محققان امنیت رایانه‌ای، فکر نمی‌کردند که به خاطر افشاگری در مورد «استاکس‌نت » خطری جان آنان را تهدید کند؛ با این وجود خنده آنان با اضطرابی همراه بود که از یادآوری سوءظن و شوخی‌های ترسناکشان در گفتگو با یکدیگر نشأت می‌گرفت.
«او مورچو » صداهای آهسته و عجیبی را در تلفن همراهش می‌شنید؛ وی در روز جمعه به «چین » و «فالیر » گفت: «اگر جسد من را پیدا کردید و معلوم شد (گفتند) در روز دوشنبه خودم را کشته‌ام، همین الآن اعلام می‌کنم که من قصد خودکشی ندارم. »
* ترس حاکم بر محققان «سیمانتک »
روزی که اخبار ترورها در ایران به گوش محققان رسید، «چین » با خنده به دوستانش گفت که اگر یک موتور سیکلت حتی به خودروی او نزدیک شود، بدون معطلی با چرخ‌های خودرویش موتور سیکلت و راننده آن را سرنگون خواهد کرد.
او همان روز زمانی که از سر کار بر می‌گشت، در اولین چهار راه توقف کرد و با دیدن موتور سیلکلتی که از پشت سر به او نزدیک می‌شد در آینه وسط خودرویش (فقط برای یک لحظه) به خود لرزید.

Advertisements

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

تقویم

برای مشترک شدن در این وب‌نوشت از راه رایانامه و دریافت آگاه‌سازی درباره‌ی نوشته‌های تازه، رایانشانی خود را وارد نمایید.

به 28 مشترک دیگر بپیوندید

دسته‌ها

Blog Stats

  • 127,916 hits
%d وب‌نوشت‌نویس این را دوست دارند: