آخرین اخبار از ویروس SCADA
ایران بیشتر از هر کشور دیگری مورد حمله ویروس Stuxnet قرار گرفته و بنظر می رسد این کشور هدف اصلی منتشر کنندگان این ویروس بوده است. گزارش هایی از کشورهای هند و اندونزی هم در خصوص این ویروس دریافت شده ولی طبق اعلام شرکت Symantec 60 درصد از آلودگی ها به ویروس Stuxnet در کشور ایران شناسایی و مشاهده شده است.
بررسی های اولیه بر روی این ویروس، تاریخ های مربوط به چند ماه قبل را که توسط برنامه ویروس ثبت شده، نشان می دهد و این بدان معنی است که ویروس Stuxnet چندین ماه بدون جلب توجه و بدون شناسایی شدن، مشغول فعالیت بوده است. این ویروس چند هفته قبل توسط یک شرکت ضد ویروس گمنام در کشور بلاروس شناسایی شد. این شرکت اولین نمونه ویروس را بر روی یک سیستم متعلق به یک شرکت ایرانی کشف کرد.
تحقیقات بیشتر در طی روزهای اخیـر نشـان داده کـه گـونه های مشابه به این ویروس حدود یکسال قبل شناسایی شده اند. ولی گونه های اولیه بسیار ساده بوده و امکانات جدید در ویروس فعلی Stuxnet در اوایل سال جاری به آن اضافه شده است. همچنین کارشناسان معتقدند که گونه های اولیه برای آزمایش بوده و بطور واقعی در هیچ عملیاتی شرکت نداشته است.
از جمله امکاناتی که به ویروس فعلی Stuxnet اضافه شده، امکان انتشار از طریق حافظه های فلش (USB Flah) بدون نیاز به دخالت کاربر است. همچنین برنامه ویروس رمزنگاری شده است و باعث می شود که نرم افزارهای ضدویروس به سختی بتوانند این برنامه مخرب را شناسایی کنند. کلیدهای رمز نگاری متعلق به دو شرکت Realtek و JMicron هستند. طبق اعلام این شرکت ها، این کلیدها از روی کامپیوترهای این دو شـرکت بـه سـرقت رفته اند.
جدیدترین گونه ویروس Stuxnet از یک حفره امنیتی شناخته شده در سیستم عامل Windows سوء استفاده کرده و تنها به سـراغ فایل های SCADA که تـوسط یـک نرم افزار مدیریت صنعتی ساخت شرکت زیمنس، تـولیـد می شوند، می رود و پس از شناسایی این نوع فایل ها، آنها را از طریق خطوط اینترنت به یک سـرور خـاص ارسـال می کند. فایل های SCADA حاوی اطلاعات مـدیـریتـی و داده های پروژه های صنعتی بود و این نرم افزار در واحدهای صنعتی بزرگ بکار گرفته می شود.
شرکت زیمنس فعالیت ویروس Stuxnet را تأیید کرده و یک ابزار پاکسازی رایگان نیز بر روی سایت خود ارائه نموده است. طبق اعلام این شرکت، علاوه بر چندین شرکت ایرانی، دو شرکت آلمانی که آلوده به ویروس Stuxnet بودند نیز شناسایی شده اند. طبق آمار سایت زیمنس، این ابزار تاکنون 500/1 دفعه دریافت (down load) شده است.
طبق اعلام شرکت Symantec، این شرکت با همکاری چند شرکت و موسسه دیگر، توانسته ترافیک بوجود آمده توسط این ویروس را که به سوی سرور خاصی جریان داشته، تغییر داده و اطلاعات ارسالی را بر روی کامپیوترهای خود ضبط کنند. این اطلاعات از سوی 14 هزار IP ایرانی ارسال شده است.
پس از حملات مخفی و برنامه ریزی شده دولت چین به شبکه های کامپیوتری چندین شرکت بزرگ آمریکایی در زمستان سال گذشته که چندین ماه در جریان بوده است، اکنون حمله ویروس Stuxnet به اطلاعات صنعتی SCADA و بویژه در کشور ایران، از جمله بزرگترین حملات خرابکارانه هدفمند در دنیا است.
برای دانستن جزییات بیشتر درباره این ویروس به نشانی زیر مراجعه کنید:
http://vil.nai.com/vil/content/v_268468.htm
اینک به برخی از توصیه های عمومی که می تواند در کنترل انتشار اینگونه ویروس ها موثر باشند، اشاره می گردد:
- کاربران تعریف شده در محیط شبکه دسترسی های محدود داشته باشند تا در صورت آلوده شدن، صدمات کمتری به دستگاه خود و دیگر دستگاه های شبکه بزنند.
- از شاخه های اشتراکی (Share) فقط در مواقع لزوم استفاده شود و دسترسی به آنها دقیقاً برای موارد نیاز تعریف شود تا امکان کپی فایل های متفرقه از سوی دستگاههای دیگر به صفر برسد.
- ضدویروس خود را بروز نگه دارید.
- اصلاحیه های سیستم عامل و سایر نرم افزارهای کاربردی را نصب کنید.
- به هشدارهای امنیتی توجه کنید.