فرصت از دست رفته برای شناسایی به موقع Duqu

طبق گزارش خبرگزاری جمهوری اسلامی ایران(ایرنا)، رئیس سازمان پدافند غیر عامل گفت: «همه مراکز و دستگاه‏های مشکوک به آلودگی به ویروس Duqu کنترل می‏شوند و می‏توان گفت، در سازمان‏هایی که این ویروس نفوذ کرده، کار مقابله و پاکسازی انجام شده است.» وی همچنین گفت: «نرم‏افزار کنترل کننده این ویروس تولید شده و در اختیار سازمان‏ها و دستگاه‏ها قرار گرفته است.»

بررسی و تحقیقات شرکت‏های ضدویروس و امنیتی جهان نشان داده که ویروس Duqu احتمالاً از اواخر بهار امسال فعال بوده و عملیات مخرب خود را به اجرا گذاشته است. این زمان مصادف با اعلام سازمان پدافند غیرعامل در خصوص کشف و شناسایی ویروس “استارس” (Stars) است.

به اعتقاد برخی کارشناسان، شش ماه قبل بخش‏هایی از ویروس Duqu توسط سازمان پدافند غیرعامل شناسایی شده ولی به دلیل پیچیدگی و قدرت مخفی‏سازی ویروس، احتمالاً بخش‏های دیگر ویروس کشف و تشخیص داده نشده اند.

در آن زمان، سازمان پدافند این ویروس را که ناقص شناسایی شده بود، با عنوان ویروس “استارس” مطرح کرد ولی متاسفانه هیچگونه اطلاعات بیشتر و نمونه فایل‏های جمع‏آوری شده را در اختیار کارشناسان و مراکز تحقیقاتی بین‏المللی قرار نداد. حتی در مواردی، وجود ویروس “استارس” از سوی برخی مسئولان کشوری تکذیب شد.

اکنون به نظر می‏رسد که سازمان پدافند غیرعامل کشور فقط بخش Keylogger ویروس Duqu را در بهار امسال شناسایی کرده بود و بخش‏های مهم دیگر ویروس نظیر برنامه نصب، فایل Word مخرب و برنامه‏ای که از نقطه ضعف ناشناخته Windows سوءاستفاده می‏کرد، مخفی مانده و کشف نشدند.

بخش Keylogger ویروس Duqu که وظیفه ثبت کلیدهای زده شده بر روی صفحه کلید کامپیوتر را برعهده دارد، پس از نصب و فعال شدن ویروس، به عنوان یکی از برنامه‏های مخرب، از مرکز کنترل و فرماندهی Duqu، دریافت و به اجرا در می‏آید. در نمونه‏های بدست آمده از ویروس Duqu، بخش Keylogger حاوی یک تصویر از ستاره‏ها و کهکشان است. احتمالاً دلیل نامگذاری ویروس “استارس” (Stars) نیز همین تصویر بوده است.

اگر در زمان شناسایی اولیه ویروس Duqu توسط پدافند غیرعامل، اطلاعات به دست آمده در اختیار مراکز و شرکت‏های تحقیقاتی قرار می‏گرفت، یقیناً این ویروس به طور کامل‏تر و سریع‏تر شناسایی می‎شد و فرصت شش ماهه به ویروس داده نمی‏شد تا به فعالیت‏های مخرب خود ادامه دهد.

یقیناً اگر شش ماه قبل فایل مخرب Word که ابزار انتشار و نصب ویروس است، کشف می‏شد، اکنون اصلاحیه مناسبی برای ترمیم نقطه ضعف مورد سوءاستفاده ویروس Duqu توسط مایکروسافت تهیه شده و در اختیار داشتیم.

شاید تنها داشتن بخش Keylogger برای شناسایی دقیق ویروس Duqu کافی نبود ولی حداقل ضد این برنامه مخرب تهیه می‏شد تا امکان سرقت اطلاعات از کامپیوترهای آلوده وجود نداشته باشد. با توجه به شباهت ویروس Duqu با ویروس Stuxnet، یقیناً با کوچک‏ترین سرنخ و کمترین اطلاعات، شرکت‏های ضدویروس و امنیتی خود را به هر آب و آتشی می‏زدند تا کل واقعیت را کشف کنند. همان اتفاقی که پس از اعلام یک مرکز تحقیقاتی کوچک در کشور مجارستان در خصوص اولین مشاهده Duqu رخ داد و اکنون شاهد حجم انبوه اطلاعات درباره عملکرد ویروس و ابزارهای مقابله با آن هستیم.