استاکس نت در ایران جاسوسی می کند!!!

  • شروع کننده موضوع
  • #1

AMIR7.2

کاربر نیمه‌حرفه‌ای
ارسال‌ها
171
امتیاز
123
نام مرکز سمپاد
علامه حلی
شهر
رفسنجان
رشته دانشگاه
من...ناسا...عمرا...
نخستین ویروس صنعتی
O0 O0 O0 O0 O0 O0
شاید این اولین باری باشد که یک ویروس تا این سطح وسیع از رایانه‌های کشور را مورد حمله خود قرار می‌دهد، چرا که بر اساس اطلاعات جمع آوری شده توسط شرکت امنیتی سیمانتک در حدود 60 درصد از سیستم‌های رایانه‌ای که به این ویروس آلوده شده‌اند، در ایران قرار دارند.به گفته الیاس لووی، مدیر ارشد فنی بخش پاسخگویی ایمنی سیمانتک، با توجه به تاریخ نشانه‌های دیجیتالی که از این کرم رایانه‌ای به جا مانده، مي‌توان گفت این نرم‌افزار از ماه ژانویه سال جاری میان رایانه‌ها در گردش بوده است.Stuxnet ماه گذشته توسط یک شرکت بلاروسی به نام VirusBlockAda کشف شد. این شرکت در آن زمان اعلام کرد این ویروس را روی سیستم نرم‌افزاری یکی از مشتریان ایرانی خود کشف کرده است.
[size=10pt][size=10pt][size=10pt][size=10pt][size=10pt][size=10pt][size=10pt][size=10pt][size=10pt][size=10pt]
هدف: سیستم‌های کنترل پروژه زیمنس
[/size][/size][/size][/size][/size][/size][/size][/size][/size][/size]
نام زیمنس و سیستم‌های کنترل پروژه به این ویروس گره خورده است. به گفته کارشناسان امنیتی، این کرم به دنبال سیستم مدیریتی SCADA زیمنس که معمولا در کارخانه‌های بزرگ تولیدی و صنعتی مورد استفاده قرار مي‌گیرد بوده و تلاش مي‌کند اسرار صنعتی رایانه‌های این کارخانه‌ها را روی اینترنت بارگذاری (Upload) کند.

در همین حال مشخص نیست، چرا بیشترین موارد آلودگی در ایران دیده شده است، هر چند این احتمال بسیار تقویت شده که این ویروس مخصوص صنایع ایران طراحی شده باشد. سیمانتک در این زمینه اعلام کرده نمي‌داند، چرا ایران و دیگر کشورها به این اندازه تحت تاثیر آلودگی‌های ویروسی قرار دارند. به گفته لووی، تنها مي‌توان گفت افرادی که این نرم‌افزارهای خاص را ساخته اند، آن را ویژه حمله به این نقاط جغرافیایی خاص طراحی کرده‌اند.

شرکت زیمنس که نرم افزارهایش تحت حمله این ویروس قرار گرفته، تعداد مشتریان خود را در ایران اعلام نمي‌کند، اما به تازگی اعلام کرده دوشرکت آلمانی به واسطه این ویروس آلوده شده اند. بر اساس گزارش‌های منتشر شده نرم افزار آنتی‌ویروس رایگانی که طی چند روز گذشته روی وب سایت زیمنس قرار گرفته تاکنون هزار و 500 بار دانلود شده است.سیمانتک اطلاعات خود را به واسطه همکاری با صنایع و تغییر مسیر ترافیک به وجود آمده به منظور اتصال به سرورهای کنترل و فرمان کرم رایانه‌ای به سوی رایانه‌های خود جمع‌آوری کرده است.

طی دوره‌ای سه روزه رایانه‌هایی که در 14 هزار آدرس IP حضور داشتند تلاش کردند با این سرورهای کنترل و فرمان ارتباط برقرار کنند که این نشان مي‌دهد تعداد کمي‌از رایانه‌های خانگی در سرتاسر جهان به این کرم آلوده شده اند. تعداد دقیق رایانه‌های آلوده مي‌تواند در حدود 15 تا 20 هزار باشد، زیرا بسیاری از شرکت‌ها برای چند رایانه یک آدرس IP در نظر مي‌گیرند.به این دلیل که سيمانتك مي‌تواند آدرس‌های IP مورد استفاده سیستم‌های رایانه‌ای را برای اتصال به سرورهای کنترل و فرمان مشاهده کند، مي‌تواند تعیین کند کدام رایانه آلوده شده است. به گفته این شرکت، رایانه‌های آلوده شده به سازمان‌های متعددی تعلق داشتند که از نرم افزار و سیستم‌های SCADA استفاده مي‌کردند، ویژگی که به روشنی مورد هدف حمله هکرها بوده است.

بر اساس گزارش PCworld، کرم Stuxnet توسط ابزارهای USB دار انتقال پیدا مي‌کند، زمانی که ابزاری آلوده به این شکل به رایانه اتصال پیدا مي‌کند، کدهای آن به جست‌وجوی سیستم‌های زیمنس گشته و خود را روی هر ابزار USB دار دیگری که بیابد، کپی خواهد کرد.به نوشته سیمانتک دلیل اصلی تولید این ویروس مشخص نیست، اما انگیزه‌های جاسوسی صنعتی، تروریسم صنعتی یا حتی انگیزه‌های منفی برخی کارکنان و همچنین انگیزه‌های کشف اطلاعات محرمانه توسط رقبا ممکن است از جمله دلایل ایجاد این ویروس بوده باشد.

هشدار به کاربران ایرانی

براساس گزارش‌های منتشر شده در اکثر سایت‌های معتبر دنیا این بدافزار جاسوسي با سوء استفاده از يك آسيب‌پذيري جديد و اصلاح نشده در ويندوز، به سرعت در حال گسترش است.
در همین زمینه اسماعیل ذبیحی، مسوول اطلاع‌رسانی شرکت ایمن رایانه پندار، نماینده انحصاری شرکت پاندا در ایران می‌گوید: «‌ریشه گسترش اين ويروس این حفره امنیتی مربوط به شرکت مایکروسافت است و اگر این حفره امنیتی وجود نداشت این ویروس تا این حد گسترش پیدا نمی‌کرد، البته شرکت مایکروسافت اصلاحیه موقت خود را منتشر کرده و اگر کاربران از این اصلاحیه استفاده کنند به مشکلی بر نخواهند خورد.»

وی در خصوص گسترش این بدافزار در کشور می‌گوید: «این ویروس تنها دستگاه‌های scada را مورد حمله قرار می‌دهد؛ یعنی سیستم‌های کنترل مدیریت پروژه در صنایع بزرگ. و از آنجایی که ایران در صنایع بزرگ از محصولات زیمنس استفاده می‌کند بنابراین بیشتر دچار آسیب شده است.‌ همچنین از آنجایی که این ویروس به صورت نامحسوس است بدون اینکه صاحبان صنایع متوجه شوند اطلاعات نشت پیدا می‌کند.»

بر اساس اظهارات وی هنوز مشخص نیست که چرا ایران و شرکت زیمنس در این بین قربانی شده‌اند. همچنین به گفته وی 13 درصد آلودگی‌ها از طریق ایمیل و دانلود مستقیم از اینترنت صورت گرفته است و بیشترین عامل پخش این ویروس در ایران از طریق USB بوده است با این حال به گفته ذبیحی تاکنون تنها 2 درصد کامپيوتر کشور به این ویروس آلوده شده‌اند.

اما علی رضا صالحی، روابط عمومي‌‌شرکت کسپراسکای، بر این باور است که این بد افزار آن طور که رسانه‌ها آن را بزرگ جلوه می‌دهند، خطرناک نیست و مشکل جدی به وجود نخواهد آورد. وی در ادامه می‌گوید: «اين بدافزار جديد كه در واقع يك rootkit است، از يك آسيب پذيري در فايل‌هاي shortcut با پسوند .lnk سوء استفاده مي‌كند.

بدافزار مذكور نرم‌افزار Siemens WinCC Scada را كه روي ويندوز 7 نسخه Enterprise و سيستم‌هاي x86 اجرا مي‌شود، آلوده مي‌سازد. اين ويروس از طريق درايوهاي USB گسترش پيدا مي‌كند و زماني كه يك آيكون Shortcut روي صفحه نمايش قرباني نشان داده مي‌شود، به صورت اتوماتيك اجرا مي‌شود.»

وی در ادامه می‌افزاید: «‌ هدف بدافزار مذكور گرفتن حق دسترسي مديريتي و دسترسي به داده‌هاي سيستم‌هاي Scada است كه معمولا توسط سازمان‌هاي داراي زيرساخت‌هاي حياتي مورد استفاده قرار مي‌گيرد. اين بدافزار از نام كاربري و كلمه عبوري كه در نرم‌افزار Siemens به صورت hard-coded وجود دارد، سوءاستفاده مي‌كند.»

همچنین گفته می‌شود که این بدافزار جدید از یک امضای دیجیتالی مربوط به معتبرترین شرکت سخت‌افزاری یعنی Realtek Semiconductor Corporation براي اعتباردهي به درايورهاي خود استفاده مي‌كند.

به گفته صالحی پس از انتشار این بدافزار شرکت کسپر اسکای در 13 جولای، شرکت مکافی در 16 جولای و شرکت سیمانتک در 17 جولای آن را شناسایی و برای آن برنامه لازم را نوشته و انتشار داده اند.به گفته کارشناسان یکی از دلایل اصلی انتشار این بدافزار در کشور به ضعف سیستم امنیتی سازمان‌های از جمله سازمان‌های صنعتی کشور باز می‌گردد.

در این خصوص صالحی می‌گوید: ‌« در سه سال اخیر توجه به حوزه امنیت پر رنگ‌تر شده و اغلب شرکت‌ها و سازمان‌های مهم و بزرگ به سمت استفاده از آنتی ویروس‌هاي اصل روی آورده‌اند. طبیعتا کسانی که از آنتی ویروس استاندارد و اصل استفاده می‌کنند مشکل چندانی نخواهند داشت، اما آن دسته از سازمانی‌هايي که از آنتی‌ویروس قفل شکسته استفاده می‌کنند طبیعتا با مشکل مواجه خواهند شد.»

به باور وی این دسته از شرکت‌ها نه تنها در این مورد خاص بلکه در اکثر مواقع دچار مشکل می‌شوند و تنها راه‌حلی که این شرکت‌ها یا سازمان‌ها را می‌تواند در مقابل این حملات پشتیبانی کند این است که در کنار اختصاص دادن بودجه به سایر موارد سازمان خود به بخش امنيت اطلاعات خود نیز توجه ویژه‌ای نشان دهند.

صالحی در ادامه یادآور می‌شود از آن جایی که این ویروس، آن‌طور که گفته می‌شود خطرناک نیست کمتر کاربران خانگی را مورد هدف قرار می‌دهد، اما کاربران می‌توانند با استفاده از آنتی‌ویروس‌های اصل و استفاده از اصلاحیه شرکت مایکروسافت ضریب امنيت دستگاه خود را بالا ببرند.
 

nimafo

کاربر فوق‌حرفه‌ای
ارسال‌ها
1,084
امتیاز
3,129
نام مرکز سمپاد
888
شهر
888
سال فارغ التحصیلی
888
مدال المپیاد
888
دانشگاه
888
رشته دانشگاه
888
پاسخ : استاکس نت در ایران جاسوسی می کند!!!

ممکنه این حرف رو برای ترسوندن ایران بزنن.
 

mahrud

کاربر حرفه‌ای
ارسال‌ها
309
امتیاز
86
نام مرکز سمپاد
علامه حلی تهران
شهر
تهران
مدال المپیاد
[...]
پاسخ : استاکس نت در ایران جاسوسی می کند!!!

اینو تو بخش هک و امنیت باید میزدی!
درسته که درصد پخش این ویروس تو ایران خیلی زیاده، ولی فکر میکنم بخش زیادی از مطالبی که در این مورد به فارسی نوشته شده، ادامه ی سناریوی دشمن سازی باشه!
چون امنیت شبکه های ایران خیلی پایین تر از این حرفاست ...
کلی بحث میشه در این مورد کرد ...
در ضمن، بیشتر از ایران تو هند و اندونزی پخش شده!
اینو ببینید:

جالبه ...
همین الان اینو هم پیدا کردم:
Sinkhole-Country.JPG

تناقض داره! :D
 

nimafo

کاربر فوق‌حرفه‌ای
ارسال‌ها
1,084
امتیاز
3,129
نام مرکز سمپاد
888
شهر
888
سال فارغ التحصیلی
888
مدال المپیاد
888
دانشگاه
888
رشته دانشگاه
888
آلوده سازی ویروس اکستاکس نت متوقف شد

آلوده سازی ویروس اکستاکس نت متوقف شد

رایانه های خانگی به ویژه رایانه های صنعتی از اوایل مرداد ماه مورد هجوم ویروسی به نام استاکس نت قرار گرفتند که به سرعت رایانه ها را آلوده می کرد. آخرین تلاشهای کشور حاکی از توقف آلوده سازی این ویروس در ایران است.

دوم مرداد ماه رسانه های خارجی اعلام کردند که رایانه های ایران مورد هجوم شدید کرم خطرناک رایانه ای به نام Stuxnet قرار گرفته اند که تلاش می کند اطلاعات سیستمهای کنترل صنعتی را به سرقت برده و آنها را بر روی اینترنت قرار دهد. اندونزی و هندوستان نیز به واسطه این نرم افزار مخرب مورد هجوم قرار گرفته اند.

هجوم استاکس نت و آلودگی ۳۰ هزار IP در کشور

با توجه به اینکه سازمانها و واحدهای صنعتی کشور دیر متوجه نفوذ ویروس جاسوسی به سیستمهای خود شدند، بر اساس آخرین آماری که اعلام شد حدود ۳۰ هزار IP در کشور شناسایی شده اند که به این ویروس آلوده بودند.

دبیر شورای فناوری اطلاعات وزارت صنایع و معادن از شناسایی این ۳۰ هزار IP صنعتی آلوده به ویروس جاسوس "استاکس نت" خبر داده و اعلام کرده بود که هدف گیری این ویروس در راستای جنگ الکترونیکی علیه ایران است و این ویروس، اطلاعات مربوط به خطوط تولید را به خارج از کشور منتقل می کند.

محمود لیایی دراین باره گفته بود سیستم های اتوماسیون صنعتی در ایران و بسیاری از کشورها تحت برند اسکادا زیمنس تولید شده اند که این سیستم ها هدف اصلی این ویروس قرار دارند و حتی اگر IP های آلوده از ویروس پاکسازی شوند تا زمانی که این ویروس در کل کشور نابود نشود خطر آن همچنان وجود خواهد داشت.

به گفته وی با فعال شدن ویروس استاکس نت، سیستم های اتوماسیون صنعتی، اطلاعات خط تولید را به مرکز اصلی مشخص شده توسط ویروس منتقل می کنند و این اطلاعات توسط طراحان ویروس مورد پردازش قرار می گیرد و به این ترتیب برای ضربه زدن به کشور برنامه ریزی می شود.

وی همچنین از تجهیز سیستم های صنعتی به آنتی ویروس خاص برای مبارزه با این ویروس خبر داده و به صنعتگران توصیه کرده که از آنتی ویروس شرکت اسکادا زیمنس استفاده نکنند زیرا ممکن است حتی در این آنتی ویروسها نیز نسخه های جدید ویروس و یا برنامه به روز رسانی ویروس قبلی وجود داشته باشد.

آخرین اظهار نظر وزیر ارتباطات درباره شناسایی منشاء ویروس استاکس نت

وزیر ارتباطات و فناوری اطلاعات از کنترل کرم جاسوسی رایانه ای که منشا آلودگی سیستمهای صنعتی در چند ماه اخیر بوده خبر داد و گفت: شناسایی سیستمهای آلوده به صورت کامل انجام شده و هم اکنون این سیستمها در مرحله پاکسازی قرار دارند.

رضا تقی پور در گفتگو با خبرنگار مهر در مورد آخرین وضعیت نفوذ کرم رایانه ای "استاکس نت" به سیستم های صنعتی و خانگی کشور گفت: خوشبختانه اکثر دستگاههای اجرایی برای تحت کنترل درآوردن این بدافزار آموزش دیده اند و با دستورالعمل هایی که به این دستگاهها ارائه شده نفوذ این ویروس رایانه ای تحت کنترل درآمده است.

وی با بیان اینکه با همکاری مراکز مربوطه و تیمهای عملیاتی شناسایی سیستمهای آلوده به این ویروس به صورت کامل انجام شده است گفت: رایانه های آلوده به کرم جاسوسی در مرحله پاکسازی قرار دارند.

تقی پور اضافه کرد: اکثر سازمانهای اجرایی موفق شده اند با نرم افزارهایی که در اختیار دارند پاکسازی سیستمهای آلوده را به طور کامل انجام دهند و هم اکنون خطری از این بابت رایانه های ایرانی را تهدید نمی کند.

وزیر ارتباطات و فناوری اطلاعات درباره عامل و نحوه ورود این کرم جاسوسی به سیستمهای صنعتی ایران به مهر گفت: این ویروس رایانه ای از طریق حافظه پرتابل و فلش مموری وارد سیستمهای صنعتی شده و منشاء آن از طریق شبکه نبوده است.

وی با تاکید بر اینکه عاملان انتقال این ویروس تا حدود زیادی بررسی و شناسایی شده اند خاطرنشان کرد: این مشکل متاسفانه به ترددهایی که از خارج کشور به داخل انجام شده مربوط می شود به نحوی که بی احتیاطی و عدم اسکن قبل از استفاده از این حافظه های جانبی منجر به انتقال و اشاعه این ویروس در شبکه های رایانه ای شده است.

به گزارش مهر، معاون سازمان فناوری نیز امروز سه شنبه از متوقف شدن آلوده سازی ویروس اکستاکس نت خبر داد و گفت: پاکسازی این ویروس در کشور انجام شده و خطری متوجه سیستم های صنعتی و خانگی در کشور نیست.

حمید علیپور با اشاره به اینکه روند آلوده سازی ویروس جاسوسی اکستاکس نت در کشور متوقف شده است، گفت: این ویروس که تمایزی بین رایانه های مختلف قائل نبوده تا کنون خسارتی به محیط های صنعتی و خانگی وارد نکرده و تنها خسارت وارده صرف وقت نیروی انسانی بوده است.

وی با بیان اینکه در حال جمع آوری آمار دقیق از نفوذ این ویروس به رایانه های کشور هستیم، خاطرنشان کرد: سطح آلودگی تا حد مطلوبی کاهش پیدا کرده است.

علیپور با بیان اینکه نفوذ این ویروس تهدیدی برای سیستم های کشور بوده که به فرصت تبدیل شده است، ادامه داد: این فرصت باعث شد تا با حساسیت جدی و هشدار به بخش های مختلف کشور در خصوص امنیت فضای سایبر بسیج شویم.

معاون گسترش امنیت فناوری اطلاعات با بیان اینکه نسخه جدید این ویروس تا کنون منتشر نشده است، تاکید کرد: با توجه به سطح دانش مناسب و مطلوب در کشور چنانچه خطرات مشابهی متوجه سیستم های امنیتی باشد با سرعت بالایی قابل مقابله خواهد بود.

آغاز به کار شبکه تله بدافزار در کشور

معاون گسترش امنیت فناوری اطلاعات از آغاز به کار شبکه تله بدافزار (هانی نت) در ۷ شهر کشور خبر داد و گفت: این شبکه بدافزارهایی را شبیه سازی می کند تا نقاط ضعف امنیتی سیستم ها را و نوع حمله به آنها را ثبت کند.

وی گفت: این شبکه قادر است بدافزارهایی را که به صورت شبکه ای در سطح ملی هستند را جمع آوری کرده و اطلاعات آن را به صورت متمرکز ارایه دهد.

علیپور با تاکید بر این که این سامانه کامپیوترهای آلوده ر ا شناسایی می کند خاطرنشان کرد: از این طریق سطح مناسبی از پاکسازی سیستم ها را شاهد هستیم.

وی با با اینکه در این سامانه گروهی برای تحلیل و آنالیز حملات ایجاد شده در سطح شبکه ملی تشکیل شده است خاطرنشان کرد: در فاز اول این طرح ابعاد شبکه برای ۱۱ نقطه در ۸ شهر کشور تحت پوشش قرار گرفته که قرار است به سه هزار نقطه و تمام مراکز استان تعمیم پیدا کند. بر اساس اقدامات اجرایی انجام شده ۲۰۰ نقطه تا پایان سال و ۴۰۰ نقطه تا سال آینده تحت پوشش این شبکه قرار می گیرد.

علیپور با اشاره به سهل الوصول شدن تهدیدات فضای سایبری با استفاده از این سامانه خاطرنشان کرد: تا کنون هزار و ۶۰۰ بدافزار از طریق این طرح به صورت ماهانه دریافت شده که ۶۰ بدافزار آن یکتا و غیرتکراری بوده که تا کنون توسط هیچ نرم افزاری شناسایی نشده است.




منبع : زمانه
 
بالا