ادامه ماجرای ویروس Stuxnet

یقیناً خوانندگان گرامی تاکنون خبرهای مختلفی درباره ویروس Stuxnet و فعالیت های مخرب آن شنیده اند. این ویروس بسیار هوشمند و پیچیده، فقط نرم افزارهای مدیریت صنعتی ساخت شرکت زیمنس آلمان را هدف قرار داده و اقـدام بـه سـرقت اطلاعات صنعتی موجود در این نرم افزارها می نماید. کاربرد این ابزارهای مدیریت صنعتی بیشتر در واحدهای صنعتی، تولیدی و نظامی بزرگ است.
پس از آنکه ماه گذشته یک شرکت امنیتی کوچک در کشور بلاروس، ویروس Stuxnet را شناسایی کرد، ابعاد گسترده فعـالیت ایـن ویـروس به تـدریـج آشکار شد. آمارهای جمع آوری شده در دنیا، نشان داد که بیشترین فعالیت ویروس Stuxnet در ایران بوده است ولی گزارش هایی از فعالیت این ویروس در چند کشور دیگر مانند هند و اندونزی نیز دریافت شد. به دنبال شناسایی این ویروس، سرویس دهنده هایی که مدیریت و کنترل ویروس Stuxnet را بـه عهده داشتنـد و اطلاعات سـرقت شـده را دریـافت می کردند، متوقف و مسدود شدند.

اکنون مجدداً این ویروس به دلایل مختلف در خبرها مطرح شده است. هفته گذشته، شرکت زیمنس اعلام کرد که 14 واحد صنعتی دیگر در جهان آلوده به ویروس Stuxnet شده اند. این ماه نیزیک مقاله علمی درباره این ویروس در کنفرانس Virus Bulletin در کانادا منتشرخواهد شد. طبق مطالعات صورت گرفته، این ویروس قابلیت های بسیار زیادتر از آنچه تا بحال کشف شده است، دارا می باشد.

فعالیت ویروس Stuxnet دارای دو مرحله است. پس از آنکه ویـروس، کامپیـوتـری را آلـوده کرد و بر روی آن نصب می شود، رمزهای عبور پیش فرض شرکت زیمنس را استفاده می کند تا به نرم افزارهای صنعتی این شرکت نفوذ کند. دو نرم افزار Win CC و PCS 7 اهداف اصلی ویروس Stuxnet هستند.
در مرحله اول فعالیت ویروس، اطلاعات صنعتی ذخیره شده بر روی این نرم افزارها جمع آوری و به یک مرکز کنترل ارسال می گردد. در مرحله دوم، ویروس نویس و کنترل کنندگان ویروس، بر اساس اطلاعات دریافتی، هدف خاصی را در آن واحد تولیدی و صنعتی انتخاب کرده و نحوه عمل و کار آن بخش از واحد تولیدی را با تغییر برنامه و دستورات در نرم افزار صنعتی زیمنس، به دلخواه برنامه ریزی مجدد می کنند.
ناگفته نماند که تاکنون مرحله دوم فعالیت ویروس در هیچ کجا مشاهده نشده است و اکنون که مرکز کنترل ویروس مسدود شده است، امکان انجام چنین فعالیتی تقریباً وجود نـدارد. ولی با توجه به اینکه این ویروس از روش های مخفی سـازی (که اصطلاحاً به آنها Rootkit گفته می شود) نیز استفاده می کند و بدین وسیله می تواند بسیاری از فعالیت های خود و دستوراتی را که تا بحال از مراکز کنترل دریافت کرده است، مخفی نگه دارد، توصیه می شود واحدهایی که به ویروس Stuxnet آلوده شده اند، اطلاعات صنعتی خود را برای شناسایی هرگونه تغییر و دستکاری احتمالی، کنترل مجدد نمایند و در صورت امکان، اطلاعات را از یک بایگانی مطمئناً سالم، جایگزین اطلاعات فعلی کنند.

از طـرف دیگر، شـرکت مایکـروسافت ضمن انتشار اصلاحیه های ماهانه خود در روز سه شنبه 23 شهریور ماه، اعلام کرد که یکی از اصلاحیه های این ماه، یک نقطه ضعف را کـه تـوسط ویروس Stuxnet می تواند مورد سوء استفاده قرار گیرد، ترمیم و برطرف می کند. این نقطه ضعف در بخش Print Spooler Service سیستم های عامل Windows قرار دارد و توسط اصلاحیه شماره MS10-061 مایکروسافت اصلاح می شود. کامپیوترهایی که دارای سیستم عـامـل Win XP هستند و چـاپگرها را به اشتراک می گذارند، از همه بیشتر در معرض خطر سوء استفاده از این نقطه ضعف  قرار دارند.
علاوه بر این، شرکت مایکروسافت با انتشار اطلاعیه ای اعلام کرده که بر روی دو نقطه ضعف جدید دیگر که هر دو توسط ویروس Stuxnet مورد سوء استفاده قرار می گیرند، بررسی و تحقیق می کند و هنوز اصلاحیه ای برای ترمیم آنها ندارد.
با توجه به انتشار یک اصلاحیه فوق العاده از سوی مایکروسافت در ماه گذشته که نقطه ضعفی را در نحوه          نمایش icon ها در سیستم عامل Windows برطرف می کرد و مدتها توسط ویروس Stuxnet مورد سوء استفاده قرار گرفته بود، اکنون تعداد نقاط صنعتی که توسط ویروس Stuxnet جهت رخنه و نفوذ به سیستم های آسیب پذیر مورد سوء استفاده قرار می گیرد، به چهار نقطه ضعف رسیده است.