محققان امنیتی سیمانتک توانستند پرده از یک راز استاکس نت مبنی بر اینکه برای حمله به تأسیسات غنی سازی اورانیوم طراحی شده است، بردارند.

یکی از مدیران فنی سیمانتک به نام “Eric Chien” در اینباره به وب سایت C|Net گفت: “این بدافزار سیستم هایی را هدف قرار داده است که دارای یک مبدل فرکانس هستند که نوعی دستگاه برای کنترل سرعت موتور است. بدافزار استاکس نت به دنبال مبدل هایی از یک شرکت در فنلاند و یا تهران بوده است.”

وی ادامه داد: “استاکس نت به دنبال این دستگاه ها بر روی سیستم قربانی می گردد و فرکانسی را که دستگاه های مذکور با آن کار می کنند، شناسایی کرده و به دنبال بازه ای از ۸۰۰ تا ۱۲۰۰ هرتز می گردد. در صورتی که نگاهی به برنامه های سیستم های کنترل صنعتی بیندازید، متوجه می شوید که تعداد کمی از آنها از مبدل هایی با سرعت مذکور استفاده می کنند. برنامه های مذکور واقعاً محدود هستند و غنی سازی اورانیوم یکی از آنها است.”

بنا بر گفته‌های وی، ظن و گمان هایی در مورد اینکه استاکس‌نت نیروگاه‌های هسته‌ای ایران را هدف قرار داده بود، وجود داشت، اما نیروگاه های هسته ای از اورانیوم غنی شده استفاده می کنند و لذا نیازمند مبدل‌های فرکانسی که استاکس نت به دنبال آنها است، نیستند.

به نظر می‌رسد اطلاعات جدید سیمانتک تقویت کننده گمان ها در مورد اینست که تأسیسات غنی سازی نطنز ایران هدف اصلی استاکس‌نت بوده است. کرم مذکور با سوء استفاده از یک حفره امنیتی در ویندوز گسترش پیدا کرده و payload خود را بر روی سیستم‌هایی که دارای نرم‌افزار کنترل صنعتی زیمنس بوده‌اند، ذخیره می کرده است.

همچنین در لیست خلاصه‌ای از هدف‌های احتمالی که سیمانتک منتشر کرده است، تأسیساتی به چشم می‌خورند که از تجهیزات کنترل عددی کامپیوتری که معمولاً به آنها تجهیزات CNC گفته می‌شود، استفاده می‌کنند.

برنامه استاکس نت کنترلرهای منطق برنامه در درایوهای تبدیل فرکانس را که برای کنترل موتورها به کار می‌روند، دستکاری می‌کند. این بدافزار فرکانس‌های مبدل را ابتدا تا بالاتر از ۱۴۰۰ هرتز بالا می‌برد و سپس آن را تا کمتر از ۲ هرتز پایین می‌آورد و سپس آن را فقط برای بالاتر از ۱۰۰۰ هرتز تنظیم می‌کند.

آقای Chien می گوید:

در اصل، این بدافزار سرعتی را که موتور با آن کار می کند، به هم می ریزد که می تواند منجر شود هر اتفاقی بیفتد. برای مثال کیفیت محصول پایین آید و یا اینکه اصلاً تولید نشود، مثلاً تأسیسات غنی سازی نمی تواند به درستی اورانیوم را غنی سازی کند. این کار همچنین می تواند منجر به خرابی موتور به صورت فیزیکی نیز بشود. ما تأییدیه داریم که در این سیستم اتوماسیون پروسه های صنعتی به صورت عمدی خرابکاری صورت گرفته است.

به گزارش سایت ماهر، سیمانتک بعد از اینکه نکته ای را از یک کارشناس حرفه ای آلمانی در مورد پروتکل Profibus دریافت کرد توانست پی به جزئیات پیاده سازی و هدف استاکس نت ببرد. این کارشناس حرفه ای به سیمانتک گفت که تمام درایورهای فرکانسی دارای یک شماره سریال واحد هستند و به این ترتیب سیمانتک توانست راز عددهای موجود در کد استاکس نت را فاش سازد.

• احتمال آلودگی نیروگاه اتمی بوشهر به ویروس فوق پیشرفته Stuxnet
• جزئیات جدید ویروسی که صنایع ایران را هدف قرار داده است
• استارس؛ استاکس‌ نت جدید در ابعاد وسیع
• ایران هدف حمله ویروس جاسوسی “استارس” قرار گرفته است

همین روزنامه به نقل از کارشناسان سوئدی و آلمانی می نویسد که شواهد حاکی از آن است که خلق ویروس “استاکسنت” که فوق پیشرفته ترین ویروس رایانه ای جهان بشمار می رود از عهده افراد عادی خارج است و تنها یک تشکیلات سازمان یافته و یا دولتی می تواند قادر به طراحی و آفرینش آن باشد.

به نظر کارشناسانی که “افتون بلادت” از آنها نقل قول کرده است آفرینندگان ویروس “استاکسنت” آن را انحصارا با هدف نابود سازی تاسیسات نیروگاه اتمی بوشهر در ایران آفریده اند.

توجه خوانندگان را در ذیل به برگردان فارسی این گزارش روزنامه “افتون بلادت” جلب می کنیم. پیوند مستقیم به متن اصلی خبر بزبان سوئدی در پایان همین مطلب درج شده است.

احتمال وجود ویروس فوق پیشرفته در نیروگاه اتمی

این احتمال وجود دارد که نیروگاه اتمی بوشهر به ویروس رایانه ای آلوده شده باشد. متخصصین بر این نظرند که ممکن است پیشرفته ترین ویروس رایانه ای جهان انحصارآ با هدف حمله به ایران خلق شده است.

ویروس اسطوره ای “استاکسنت” برای اولین بار در بهار گذشته توسط متخصصین ضد ویروس بلاروس در ایران کشف شد. پس از کشف این ویروس کارشناسان در سراسر جهان از یک سو از عملکرد فوق پیشرفته این ویروس در بهت فرو رفته و از سوی دیگر در تکاپوی یافتن پاسخ این پرسش بوده اند که عملکرد واقعی آن به چه صورت است.

نیروگاه های اتمی را مورد حمله قرار می دهد

ابتدا تصور می گردید که این ویروس جهت جاسوسی صنعتی طراحی و خلق شده است، اما کارشناسان اینک بر این باورند که موضوع جدی تر از آن است. ویروس “استاکسنت” از جمله جهت رخنه در سیستم کامپیوتری نیروگاه های اتمی طراحی شده و قادر است برنامه ریزی آن را دگرگون سازد. چنین ویروسی که قادر است سیستم کنترل رایانه ای یک نیروگاه اتمی را مختل کند می تواند عواقب فاجعه آمیزی را بدنبال داشته باشد.

“پر هل که ویست” متخصص امنیت رایانه ای کمپانی “سیمانتک” در اینباره می گوید:

عملکرد این ویروس وارونه کردن فرمان ها در سیستم رایانه ای است. برای مثال چنانچه به یک پمپ دستور افزایش پمپاژ داده شود بجای آن کاهش پمپاژ صورت می گیرد و این دردسر خواهد آفرید. اگر نگاهی به کشورهایی که مورد حمله قرار گرفته اند انداخته شود می توان حدس زد که سازنده ویروس چه کسی است و هدف آن کدام است. در درجه اول ایران مورد سرایت قرار گرفته است اما هند، پاکستان و اندونزی نیز دچار آن شده اند.

هدف ایران است

اینکه هدف اصلی این ویروس ایران است مورد تایید “رالف لانگنر” متخصص سیستم های رایانه ای صنعتی در آلمان نیز قرار دارد. او در وبلاگ خود می نویسد که نوک حمله ویروس “استاکسنت”، که وی آن را “بزرگترین حمله قرن” نام نهاده، نیروگاه اتمی بوشهر است.

“استاکسنت” جهت حمله به سیستمهای کمپانی زیمنس طراحی شده و این شرکت زیمنس بوده که در سال ۱۹۷۴ عملیات ساخت این نیروگاه اتمی جنجالی در ایران را آغاز کرده است. پس از آن متخصصین روسی عملیات ساخت آن را بر عهده گرفته اند و بارها اعلام نموده اند که زمان بهره برداری آن بزودی آغاز خواهد شد.

بازیگر بزرگتری در پشت پرده قرار دارد

“پر هل که ویست” کارشناس امنیت رایانه ای کمپانی “سیمانتک” می گوید:

هیچکس بطور قطع نمی داند که در پس پرده آفرینش “استاکسنت” چه کسی قرار گرفته است. اما نظر کارشناسان بر این است که ماهیت این ویروس که بصورت ترسناکی پیشرفته است دلالت بر آن دارد که سازنده آن یا یک تشکیلات سازمان یافته و یا یک دولت بوده است.

این ویروس از جمله جهت رخنه به سیستم مورد نظر خود از چهار روزنه امنیتی که پیش از این کاملآ ناشناخته بوده اند استفاده بعمل آورده است، کسی که این ویروس را خلق کرده به سیستم های پیشرفته کمپانی زیمنس دسترسی داشته است. اگر بدانید چه وقت و هزینه ای جهت خلق چنین ویروسی لازم است بخوبی خواهید دانست که این ورای امکانات هکرهای خانگی است.

برای خلق آن نیاز به بازیگران بزرگتری وجود دارد.

منبع: سایت سوئد نیوز به نقل از (Supervirus kan finnas i kärnkraftverk)

• سرانجام راز استاکس‌نت کشف شد: هدف تأسیسات غنی سازی اورانیوم نطنز
• استاکس نت؛ از داستان “استر” زن خشایار شاه تا توطئه ای صهیونیستی
• جزئیات جدید ویروسی که صنایع ایران را هدف قرار داده است
• استارس؛ استاکس‌ نت جدید در ابعاد وسیع

پس از دو هفته گمانه‌زنی‌های مداوم درباره هویت ویروس منتشر شده جدید در میان کاربران ایرانی سرانجام مجله معتبر “بیزینس‌ویک” از طراحی این ویروس با قصد استخراج اطلاعات صنعتی ایران خبر داد.

به نوشته این مجله گزارش اخیر سیمانتک، غول راه‌حل‌های امنیتی جهان، حاکی از آن است که نزدیک به ۶۰ درصد رایانه‌های و دستگاه‌های هوشمند آلوده شده این ویروس در داخل ایران قرار دارند و هند و اندونزی با اختلافی قابل توجه جزو سایر کشورهایی هستند که تهدید این جاسوسی صنعتی را احساس می‌کنند.

تاکنون مارک لوی یکی از مقامات ارشد سیمانتک تاریخ امضاهای جایگذاری شده در این ویروس که به نام استاکسنت (Stuxnet) شهرت یافته است را حدود ژانویه سال گذشته اعلام و تاکید کرده است هرچند هیچ نشانه‌ای از انگیزه واقعی طراحان این ویروس در دست نیست ولی بدیهی است با توجه به آلودگی شدید کشورهایی مانند ایران به استاکسنت طراحان آن دست‌کم به وضوح یک منطقه جغرافیایی خاص را مد نظر داشته‌اند.

به گفته مقام یاد شده در سیمانتک نقش این حقیقت را هم که کاربران ایرانی چندان به استفاده از ویروس‌کش‌ها خو نگرفته‌اند در گسترش سریع این ویروس در ایران نمی‌توان نادیده گرفت.

اسرار صنعتی

به گزارش هفته‌نامه عصر ارتباط، مطابق گزارش سیمانتک استاکسنت که اولین بار توسط آنتی‌ویروس گمنام VBA32 کشف شده به محض ورود به رایانه فایل‌های اسکادا که متعلق به شرکت آلمانی زیمنس است را جستجو می‌کند و می‌کوشد محتویات این فایل‌ها را به سرور مورد نظر خود بفرستد. فایل‌های اسکادا از آن رو حائز اهمیت هستند که در واقع رابط نرم‌افزاری تجهیزات زیمنس برای اداره خط تولید کارخانجاتی با مقیاس تولیدی بزرگ به حساب می‌آیند و از همین رو حاوی جزییات حیاتی از مجتمع‌های تولیدی و تحقیقاتی موجود در ایران هستند.

زیمنس تا کنون درباره تعداد مشتریانش در ایران و به تبع آن حجم آلودگی سیستم‌های آنها به استاکسنت سکوت اختیار کرده ولی دست‌کم تایید کرده است که دو دفتر آلمانی در ایران به استاکسنت آلوده شده‌اند و یک ابزار نرم‌افزاری رایگان برای شناسایی این ویروس که روی سایت زیمنس قرار داشته ظرف کمتر از یک هفته بیش از یک هزار و ۵۰۰ بار دریافت شده است که طبیعتا بخش عمده‌ای از آن را کاربران ایرانی تشکیل داده‌اند.

همانگونه که انتظار می‌رفت و در مقاله بیزینس‌ویک هم مورد اشاره قرار گرفته سکوت زیمنس درباره حجم آلودگی سیستم‌هایش در ایران ناشی از فشار دور جدید تحریم‌های ایالات متحده و شورای امنیت در ایران است. به ویژه که در ابتدای سال ۲۰۱۰ زیمنس در یک مانور رسانه‌ای اعلام کرد دفتر خود را در ایران که بیش از ۲۹۰ کارمند و درآمدی بالغ بر ۵۶۳ میلیون دلار در سال دارد( گزارش سال ۲۰۰۸ وال‌استریت ژورنال) تعطیل خواهد کرد. وعده‌ای که اکنون با انتشار استاکسنت بار دیگر مورد توجه رسانه‌ها و مقامات غربی قرار گرفته است.

شیوه سیمانتک برای بررسی سطح آلودگی استاکسنت در ایران هم در نوع خود قابل توجه است چراکه این شرکت توانسته حجم ترافیک ارسالی به سرورهای این ویروس‌ را به سمت دامنه خودش هدایت کند که نقش قابل توجهی در اطلاعات دقیق این غول امنیتی درباره ویروس یاد شده دارد. در این فرآیند حدود ۱۴ هزار IP مختلف تلاش کرده‌اند خود را ظرف سه روز به سرور ساختگی سیمانتک متصل کنند که هرچند مطابق شکل شماره دو قسمت عمده‌ای از آنها ایرانی هستند ولی با این وجود خود کارشناسان سیمانتک معتقدند این فقط شمار ناچیزی از تعداد کل دستگاه‌هایی است که به این ویروس خاص آلوده شده‌اند. دلیل این استدلال سیمانتک هم کاملا مشخص است چراکه تعداد زیادی از شرکت‌های ایرانی و حتی خارجی تمامی دستگاه‌های موجود در شبکه‌شان را تحت یک پروتکل اینترنتی با همان IP واحد به اینترنت متصل می‌کنند. به همین دلیل تخمین‌های سیمانتک نشان می‌دهد دست‌کم بین ۱۵ تا ۲۰ هزار دستگاه به استاکسنت آلوده شده باشند که حدود ۶۰ درصد آنها ایرانی هستند.

وبـلاگ رسمی سیمانتک در پورتال blogspot.com تایید کرده است که اکنون کارشناسان سیمانتک هم می‌توانند مانند طراحان ویروس IPهای شرکت‌های آلوده شده را ببینند و همانگونه که انتظار می‌رود در میان آنها اسامی شرکت‌هایی به چشم می‌خورد که از سیستم‌های اسکادای زیمنس استفاده می‌کنند.

ویروس‌شناسی

استاکسنت همانطور که در گزارش پربازخورد عصر ارتباط (مورخ ۲۹ تیرماه) هشدار داده شده بود از امضای دیجیتالی شرکت قدیمی و سرشناس Realtek استفاده می‌کند که به سبب محصولات صوتی‌اش در ایران بسیار شناخته شده است و از طریق USB هم تکثیر می‌شود. اخبار اولیه درباره این ویروس توسط کارشناسان لابراتوار VBA32 به دست عصر ارتباط رسید و در آن تاکید شده بود استفاده از آنتی‌ویروس برای خنثی‌کردن فعالیت‌های استاکسنت ضروری است. هرچند در آن زمان هنوز از کارکرد اصلی آن به عنوان یک ابزار جاسوسی صنعتی، اطلاعاتی در دسترس نبود.

با اندکی تاخیر نسبت به VBA32 و سیمانتک، کارشناسان کمپانی ESET هم به عنوان صاحبان برند تجاری بسیار پرفروش آنتی‌ویروس NOD32 هم به استاکسنت واکنش نشان داده‌اند و با انتشار گزارشی نام کامل این ویروس را Win32/Stuxnet اعلام کرده و با تایید آنکه ویروس‌کش‌های این شرکت آن را تحت عنوان LNK/Autostart.A شناسایی و خنثی می‌کنند آن را ناشی از یک نقص نرم‌افزاری در پوسته ویندوز دانسته است.

مایکروسافت هم در اولین واکنش به مساله همه‌گیر شدن استاکسنت بار دیگر تاکید کرده که وصله امنیتی لازم در این خصوص منتشر شده ولی درباره دستگاه‌هایی که به این ویروس آلوده شده‌اند گفته است حتی با نصب این وصله نرم‌افزاری هم باز مشکل به صورت موقتی رفع خواهد شد. آدرس کامل این وصله امنیتی را می‌توانید در وبلاگ برخط عصر ارتباط به آدرس Online.asreertebat.com مشاهده کنید.

ESET بر خلاف سیمانتک قسمت عمده‌ای از فعالیت ویروس را از آمریکا می‌داند (۵۸ درصد) و تنها ۳۰ درصد حضور ویروس را متعلق به دستگاه‌های ایرانی اعلام کرده است که پس از ایران، روسیه هم با سهمی چهار درصدی از استاکسنت در رتبه سوم قرار گرفته است. لابراتوار شرکت ESET همچنین قسمت عمده خطر انتشار استاکسنت را متوجه زیرساخت‌های صنعتی کشور، به عنوان مثال صنایع بخش نیرو می‌داند و تاکید می‌کند به این ترتیب کاربران خانگی چندان در معرض تهدیدات ناشی از این ویروس نیستند. هنوز مشخص نیست چه چیزی غیر از ماجراهای هسته‌ای اخیر، صنایع آمریکا، روسیه و ایران را به یکدیگر ارتباط می‌دهد.

یکی از نکات عجیب در گزارش لابراتوار ESET جزییاتی است که این شرکت درباره نحوه انتشار استاکسنت به آنها آشاره کرده است. به گفته یوراه مالکو رییس لابراتوار ESET در براتیسلاوای اسلواکی، این ویروس به محض ورود به فضای سیستم‌ عامل ویندوز بررسی می‌کند که رایانه مورد نظر در قلمرو ایالات متحده قرار گرفته است یا خیر. در صورت منفی بودن این پرسش ویروس به صورت خودکار نرخ تکثیرش را کاهش می‌دهد که نشان می‌دهد طرحان ویروس علاقه‌مند نیستند این ویروس در سایر نقاط جهان نمود چندانی داشته باشد. شاید ما هم اکنون شاهد نسل جدیدی از تروریسم رایانه‌ای باشیم.

همچنین، مایکروسافت در برابر ویروس جدید استاکسنت یک وصله نرم افزاری منتشر کرده است که برای دریافت آن فقط کافی است اینجا کلیک کنید.

• سرانجام راز استاکس‌نت کشف شد: هدف تأسیسات غنی سازی اورانیوم نطنز
• احتمال آلودگی نیروگاه اتمی بوشهر به ویروس فوق پیشرفته Stuxnet
• استارس؛ استاکس‌ نت جدید در ابعاد وسیع
• پیش از ساخت برنامه‌های موبایل، 8 سوال امنیتی بپرسید!

یک پیام فوری با صورتک خندان و همراه با عکس لینک شده‌ای که ظاهرا ازسوی یک دوست ارسال شده، درواقع ورمی است که در حال انتشار در یاهومسنجر است.

محققان در شرکت‌های BitDefender ،BKIS و سیمانتک به صورت جداگانه به کاربران یاهومسنجر درباره حمله این ورم که به سرعت در حال گسترش است، هشدار داده‌اند.

به گزارش ایسنا، تیم امنیتی BitDefender در رومانی از زمان شناسایی آن در هفته گذشته شاهد نرخ آلودگی ۵۰۰ درصد در ساعت به این ورم در این کشور بوده است.

این ورم که از سوی این شرکت‌ها به نام‌های Palevo ،W32.Ymfocard.fam.Botnet و W32.Yimfoca شناسایی شده نوع جدیدی از یک ورم قدیمی است که کاربر را برای ذخیره کردن یک فایل تصویری که درواقع یک کد مخرب است، فریب می‌دهد.

طبق گزارش BitDefender، این ورم حامل بک دوری است که به هکرها امکان می‌دهد برای نصب نرم‌افزارهای مخرب بیش‌تر، سرقت فایل‌های اطلاعات، ردگیری کلمات عبور، ارسال هرزنامه یا حملات مخرب به سیستم‌های دیگر کنترل کامل رایانه آلوده را به دست بگیرند.

این ورم هم‌چنین از طریق سایت‌های اشتراک‌گذاری نقطه به نقطه مانند Kazaa و LimeWire نیز منتشر می‌شود و پس از نصب شدن در رایانه کاربر به نوعی خود را تنظیم می‌کند که پس از هر بار راه‌اندازی شدن رایانه اجرا شود و به‌صورت خودکار خود را به تمامی افراد موجود در فهرست تماس‌های کاربر ارسال می‌کند.

• نسخه جدیدی از کرم Blaster در حال گسترش است
• توقیف سایت «مگا آپلود» به دستور FBI
• اگر قانون را اجرا کنید، اینترنت را فلج می کنیم !
• هکرهای بی نام: فیسبوک 14 آبان هک می شود

شرکت امنیتی سایمانتک در مورد کرمی که همراه بمباران ایمیلی در حال گسترش است هشدار داد. کرم مذکور از طریق پیوست ایمیلی که تظاهر می کند یک دعوتنامه از طرف Twitter است، ارسال می شود.

در پست سایمانتک در مورد این موضوع آورده شده است:

“پیغام های بررسی شده ظاهراً از طرف یک حساب کاربری Twitter ارسال می شوند ولی بر خلاف یک پیغام معتبر twitter، هیچ URL معتبری برای دعوتنامه در بدنه ایمیل وجود ندارد ولی به جای آن یک پیوست فایل .zip شامل یک کارت دعوت از طرف Twitter وجود دارد.”

نام پیوست “Invitation Card.zip” است و سایمانتک نام W32.Ackantta.B@mm را برای آن انتخاب کرده است. کرم مذکور که رایانه های دارای ویندوز را هدف قرار داده اولین بار در ماه فوریه در پیوست یک ایمیل کشف شده است.

بنابر اعلام سایمانتک این کرم آدرسهای ایمیل را از رایانه های قربانیان جمع آوری کرده و از طریق ایمیل، درایوهای قابل حمل و فولدرهای مشترک گسترش پیدا می کند.

منبع: ماهر

• توییتر اولین برنامه تلویزیونی خود را ارائه می دهد
• توییتر توسط یک گروه ایرانی هک شد
• فیس بوک، فرند‌فید را خریداری کرد
• هکرها به توییتر و فیس بوک حمله کردند

طبق گفته های این مرکز سرعت شیوع این نسخه نیز به مانند نسخه قبلی که طی این هفته هزاران سیستم را آلوده ساخت بسیار سریع خواهد بود . همچنین Blaster جدید بصورت ترکیبی از کدهای کرم قبلی و ویروس Lovesan می باشد و از همان ضعفهای امیتی برای آلوده نمودن سیستم های کاربران سود می برد .

Eugene Kaspersky مدیر این مرکز تحقیقاتی می گوید: “تعداد سیستم های آلوده تا کنون به بیش از ۳۰۰٫۰۰۰ دستگاه رسیده است و در بدترین حالت ، شبکه جهانی ممکن است با افت شدید سرعت اینترنت مواجه شود و در برخی مناطق شاهد قطع کامل شبکه خواهیم بود..”.

نسخه جدید این کرم TEEKIDS.exe نام خواهد داشت و از نظر برنامه نویسی و فشرده سازی کدها در آن بهبود صورت گرفته است .

• هشدار به كاربران؛ انتشار ورم مخرب جديد در ياهومسنجر
• بزرگترین مجموعه حمله های سایبری توسط McAfee کشف شد
• مشكل امنیتی zero-day در ابزار تصویر وردپرس
• 24 هزار سند محرمانه پنتاگون به سرقت رفت