بخشی از مقاله
چکیده
فناوری اطلاعات به سرعت در حال توسعه میباشد که همگام با آن تهدیدات و حملات سایبری نیز به توسعه و پیشروی ادامه میدهند. توسعه بدافزارها منجر به رقم زدن حملات پیچیدهتری شده است. از جمله این حملات که شاهد آن بودیم حملاتی با استفاده از بدافزارهای پیچیده استاکسنت، فلیم، رجین و ایکوایشن بوده است. در این مقاله به بررسی ویژگیهای این بدافزارها که به عنوان عاملی برای حمله سایبری در نظر گرفته شدند، پرداخته شده است. بررسی جزئیات، کاربردها و عملکرد هر یک از این بدافزارها که در چند ویژگی از جمله نحوه نفوذ و انتقال و سیتمهای تحت تأثیر مشترک هستند، کمک میکند تا ضمن شناخت بهتر این بدافزارها از وجود بدافزارهای احتمالی که در آینده امکان مواجهه با آنها وجود دارد به موقع آگاه شویم. نتیجه بررسیها نشان میدهد با اینکه نمیتوان به امنیت مطلق دست یافت اما میتوان با هوشیاری و آگاهی بیشتر از نفوذ و گسترش بدافزارها جلوگیری کرد.
کلمات کلیدی: بدافزار، استاکسنت، فلیم، رجین، ایکوایشن
مقدمه
پیشرفت روزافزون فناوری اطلاعات و فضای سایبر منجر به تحولات گسترده در ابعاد مختلف زندگی بشر از جمله ابعاد اجتماعی، سیاسی و امنیتی گردیده است. مسلم است که همگام با گسترش سریع فناوری اطلاعات، ابزارها و شیوههای نفوذ نیز گسترش یابد. بدافزارها1 میتوانند بدون کوچکترین هشداری در شبکههای ملی و زیرساختهای رایانهای نفوذ کرده و با سرعت گسترش یابند - ایمانی،. - 1390 بدافزار در اصطلاح کلی به نرمافزارهای مخربی2 گفته میشود که با اهداف مختلفی از جمله جمعآوری اطلاعات حساس و در برخی موارد تخریب سیستمها در شکلهای گوناگون طراحی شده و با کمک عوامل انسانی یا به صورت خودکار و به شیوههای خاص در بین رایانهها منتشر شوند - . - Kaspersky lab, 2017 در سال 1389 شرکتی به نام ویروس بلاک آدا3 اعلام کرد بدافزاری را بر روی سیستم رایانه یکی از مشتریان ایرانی خود مشاهده و کشف کرده است.
این بدافزار که استاکسنت نام گرفت، در سیستمهای مدیریتی اسکادای زیمنس4که معمولاً در کارخانههای بزرگ تولیدی و صنعتی مورد استفاده قرار میگیرد، فعالیت کرده و تلاش میکند اسرار صنعتی رایانههای این کارخانهها را بر روی ایترنت بارگذاری کند - ایمانی،. - 1390 در سال 91 مرکز ماهر اعلام کرده که" این احتمال وجود دارد که حمله سایبری اوایل اردیبهشت ماه سال 91 به شبکه وزارت نفت و تخریب اطلاعات سیستمها، توسط یکی از اجزای بدافزار فلیم صورت گرفته باشد". تحلیل کدهای فلیم نشان می دهد که این بدافزار به طرز بسیار ماهرانهای تولید شده و کدهای به کار رفته در آن در ظاهر شبیه کدهای معمولی نرمافزارهای دیگر است اما درحقیقت قابلیتهای هوشمندانه و مخرب و پنهانی در آن کدها قرار داده شده است - عابدینیفر، . - 1391 به گزارش شرکت کسپرسکی، طی سالهای 2012-2014 کسپرسکی در حال دنبال کردن بدافزار رجین بوده است. بعضی اوقات نمونههایی در سرویسهای چاپگرهای چندگانه به نمایش در میآمدند ولی همگی بیارتباط به یکدیگر و فاقد مفهوم بودهاند. اینکه دقیقا در چه زمانی نمونههای رجین در دنیا ظاهر شدند نامعلوم است. تاریخ بعضی از آنها به سال 2003 برمیگردد. با بررسیها و نظارتهای مختلف مشخص شد که نمونههای این بدافزار ارتباطی به هم ندارند و به صورتهای مختلف عمل میکنند - . - Kaspersky lab, 2014 در سال 2013 شرکت کسپرسکی گزارشی از یک گروه بدافزاری به نام ایکویشن منتشر کرد. نام این گروه به این دلیل ایکوایشن انتخاب شده است که آنها در بدافزارهایی که توسعه دادهاند، به شدت از الگوریتمهای رمزنگاری، فنون مبهمسازی و به طور کلی روشهای پیچیدهای برای مخفی کردن فعالیتهای خود استفاده کردهاند - . - Kaspersky lab, 2015
حفاظت از سیستم و شبکه
در حال حاضر جهت اطمینان از امنیت کامپیوتر و شبکه دو راهکار کلی وجود دارد که شامل هوشیاری شخصی و ابزارهای حفاظتی میباشد. یکی از رایج ترین راههای انتشار نرمافزارهای مخرب از طریق ایمیل است که ممکن است به نظر برسد مانند یک شرکت آشنا، مانند یک بانک یا یک ایمیل شخصی از یک دوست است هوشیاری شخصی اولین لایه حفاظت در برابر نرمافزارهای مخرب است، اما فقط مراقبت کافی نیست حفاظت امنیتی بدافزاری ، لایه دوم را برای کامپیوتر یا شبکه شما فراهم میکند. یک بسته نرمافزاری قوی آنتیویروس جزء اصلی محافظتهای تکنولوژیکی است که هر سیستم کامپیوتری شخصی و تجاری باید داشته باشد. آنتیویروس به خوبی طراحی شده دارای چند ویژگی است:
• این برنامه هر برنامه تازه دانلود شده را بررسی میکند تا اطمینان حاصل شود که این نرم افزار، بدافزار است.
• به صورت دورهای کامپیوتر را اسکن میکند تا هر بدافزار را که ممکن است ضعیف شده باشد شناسایی کند.
• به طور مرتب برای به رسمیت شناختن آخرین تهدیدات به روز میشود - . - Kaspersky, 2017
موسسه ایوی-تست1 هر روز بیش از 000،390 برنامه مخرب جدید را ثبت میکند. این برنامههای مخرب با استفاده از ابزارهای تحلیل سانشاین2 و ویتست3 مورد بررسی قرار میگیرند که طبق ویژگیهای آنها طبقه بندی شده و ذخیره میشوند سپس برنامههای ویژوال بیسیک نتایج را به نمودارهایی تبدیل میکند که میتوانند به روز شوند و آمارهای موجود در این بدافزارها را تولید کنند. شکل 1 آماری از مجموعه بدافزارهای ثبت شده طی پنج سال اخیر - - 2017-2013 را نشان میدهد - . - av-test, 2017
بدافزار استاکسنت
بیشتر حملات بر روی سیستمهایی صورت گرفت که کاربرد صنعتی داشته و انواع نرم افزارهای اسکادا بر روی آنها نصب شده بود. کشورهای آسیب دیده اصلی در روزهای اولیه انتشار این بدافزار، ایران، اندونزی و هند بودند. هدف استاکسنت دستگاههای plc4 simatic s7-300 شرکت زیمنس که مبدل فرکانس آنها ساخت شرکت فراروپایای5 ایرانی یا ویکان6 فنلاندی باشد، است. استاکسنت به نحوی به پیالسی نفوذ میکند که خرابکاریها از سیستم اپراتور مخفی بماند - . - falliere et al, 2011 پس از کپی فایلهای استاکسنت، که توسط نرمافزارهایی مانند ویندوز اکسپلورر7 اجرا میشوند، به جای اجرای فایلهای lnk فایل ~WTR4141.tmp اجرا میشود. هدف اصلی این فایل که بر روی حافظه فلش کپی شده است، اجرای فایل دوم ~WTR4132.tmp میباشد که بعدا بر روی سیستم بارگذاری میشود - نمازیخواه و امین آئین، . - 1389
بدافزار فلیم
بر اساس تعداد کامپیوترهای آسیبدیده، هدف اصلی این بدافزار کشورهای فلسطین، مجارستان، ایران و لبنان بوده است. قابلیت کلی شامل توانایی سرقت اسناد و اطلاعات تماس و حتی مکالمات صوتی، گرفتن تصاویر از دسکتاپ کاربران، استفاده از نقاط آسیبپذیری ویندوز و انتشار در سطح شبکه، گسترش از درایوهای قابل جابجایی و غیرفعال کردن محصولات امنیتی
