هشدار شرکت پاندا به وزارت نفت: حملات بعدی سایبری در راه است

 با گذشت بیش از یک ماه از بروز اختلال‌های عملیاتی در وزارت نفت، هنوز هیچ‌کسی به واقع نمی‌داند که عامل اصلی این اختلال‌ها چه بوده است. همچنین هیچ‌گونه مستندات فنی، حتی برای کارشناسان و دست‌اندرکاران امنیت فناوری اطلاعات در کشور منتشر نشده است. اما با این حال، طبق تایید مسوولان وزارت نفت، عامل اصلی بروز مشکلات فعلی در این وزارتخانه، نفوذ یک ویروس رایانه‌ای موسوم به «وایپر» در شبکه داخلی این مرکز بزرگ سازمانی اعلام شده است. پایگاه اطلاع‌رسانی امنیت فضای تبادل اطلاعات در این‌باره گزارش می‌دهد که در ابتدا وجود این ویروس به علت فعالیت‌های تخریبی که برای آن بیان شد (مانند سوزاندن مادربورد یا پاک کردن غیرقابل بازگشت هارددیسک در محیط ویندوز) توسط بسیاری از کارشناسان مورد تایید قرار نگرفت اما تحقیقات فنی تازه‌ای که توسط شرکت ایمن رایانه، نماینده رسمی و انحصاری شرکت امنیتی ‌Panda Security در ایران انجام شده، نشان می‌دهد که نفوذ ویروس «وایپر» یا دست‌کم نفوذ ویروس دیگری با عملکردهای کاملا شبیه به «وایپر» به برخی مراکز سازمانی کشور امکان‌پذیر بوده است.

جالب اینجاست که طیفی از سازمان‌ها تابعه وزارت نفت ایران که به نرم‌افزارها یا سخت‌افزارهای امنیتی شرکتPanda Security یا برخی دیگر از نرم‌افزارهای ضد ویروس مجهز بوده‌اند، با اختلال‌های ناشی از ویروس وایپر مواجه نشده‌اند. بر اساس گزارش‌های تاییدشده، تنها بخش‌هایی از این وزارتخانه آلوده شده‌اند که از «یک نوع خاص از برنامه‌های ضدویروس» استفاده می‌کرده‌اند. به همین دلیل شایبه وجود حفره‌های امنیتی اصلاح‌نشده در این نوع ضدویروس که در رسانه‌های معتبر جهان منتشر شده بود، قوت بیشتری یافته است.

از طرف دیگر، نشریه معتبر Virus Bulletin در شماره اکتبر ۲۰۱۱ (آبان ۱۳۹۰) خود از پراکندگی نسبتا وسیع یک ویروس عجیب و غریب تنها در کشور «کوبا» خبر داد. جالب اینکه هیچ کدام از ضدویروس‌ها به جز یکی، حملات «موفقیت‌آمیز» این ویروس را تایید یا منتشر نکرده‌اند! روند گزارش‌دهی نیز به نحوی است که گویا فقط کامپیوترهای مجهز به همین ضد ویروس به صورت هدفدار مورد حمله واقع شده‌اند. این ویروس که در آن زمان، W32/VRBAT نامگذاری شد، تنها در عرض چند روز، هزاران هارددیسک را فقط در محدوده کشور کوبا از کار انداخت و سپس به طور ناگهانی کاملا محو شد. بررسی دقیق رایانه‌های آلوده، در ابتدا نتیجه‌ای را به‌دست نداد. اما اندکی بعد یک نقطه اشتراک میان تمام آنها یافت شد: تمامی حافظه‌های جانبی متصل‌شده به این رایانه‌ها، حاوی یک فایل اجرایی با عنوان USBCheck. exe بودند که بعدها به عنوان عامل اصلی تخریب معرفی شد.

شرکت ایمن رایانه، با همکاری شرکت پاندا، موفق شد تا نمونه‌ای از ویروس‌W32/VRBAT را به‌دست آورد و با بررسی رفتار و عملکرد این ویروس در لابراتوارهای ضدبدافزار خود، به نتایج بسیار جالبی دست پیدا کرد که تا حد زیادی پرده از راز ویروس حمله‌کننده به وزارت نفت برمی‌دارند. کاربرانی که از برنامه‌های ایمن‌ساز پورت‌های یواس‌بی، مثل نرم‌افزار Panda USBVaccine استفاده نمی‌کنند، به محض اتصال حافظه‌های جانبی حاوی USBCheck. exe هدف حمله ویروس W32/VRBAT قرار می‌گیرند. در صورتی که کاربر سطح دسترسی بالایی در شبکه نداشته باشد، این ویروس، خود را در فولدر temp قرار داده و تمام حافظه‌های جانبی متصل‌شده به سیستم را تا زمان حصول دسترسی مدیریتی آلوده می‌کند. اما در صورت اجرای ویروس با دسترسی سطح بالا، ویروس خود را به فولدر Windows و با نام svchost. exe منتقل می‌کند. اکنون پس از یک دوره خاموش که ویروس در آن تنها اقدام به انتشار خود از طریق حافظه‌های جانبی محافظت‌نشده می‌کند، مرحله بعدی تخریب آغاز می‌شود: ایجاد تغییر در فایل‌های حیاتی سیستم مانند Ntldr، Bootmgr و نیز کپی کردن دو فایل دیگر با عنوان roco. sys وroco. bin در پارتیشن نصب ویندوز، بستر را برای ضربه نهایی آماده می‌کند. حال وقتی در آخرین مرحله، رایانه خود را روشن می‌کنید، به جای سیستم عامل فعلی شما، یک سیستم عامل دیگر توسط ویروس
‌WIN32/VRBAT فعال (Boot) می‌شود.

در این سیستم عامل ساده هر دستوری که فکرش را بکنید قابل اجراست؛ قفل کردن هارددیسک یا فرمت کردن، پاک کردن و حتی حذف کامل (wipe) اطلاعات. البته در کشور کوبا منتشرکننده‌های ویروس تنها هارددیسک‌های هدف را با استفاده از گذاشتن رمز عبور روی آن قفل کردند و نکته جالب اینکه رمز عبور هر کدام از هارد دیسک‌ها نیز شماره سریال آنها تعریف شده بود. یعنی در نهایت هیچ خطر یا تهدید خاصی متوجه هیچ کدام از رایانه‌های آلوده نشد و در عمل شاهد هیچ‌گونه اختلالی نبودیم. اما آیا ویروس VRBAT تنها برای ضربه زدن به یک یا چند برند خاص ضدویروس طراحی، تولید و منتشر شده است؟ می‌توان فرضیه بسیار قدرتمندتری را نتیجه گرفت: حمله صورت‌گرفته در کشور کوبا را می‌شود نوعی تمرین و آزمایش (بخوانید رزمایش) برای حمله یا حملات بعدی به اهداف مهم و استراتژیک کشورهای دیگر جهان از جمله ایران در نظر گرفت.

تمام بررسی‌های فنی صورت‌گرفته روی کد منبع ویروس W32/VRBAT، شباهت فوق‌العاده میان عملکرد آن با عملکرد ویروس موسوم به «وایپر» را نشان می‌دهد و یک فرضیه قدرتمند دیگر را نیز مطرح می‌کند که W32/VRBAT پدر ویروس «وایپر» است. حالا با هدف قرار گرفتن بزرگ‌ترین وزارتخانه اقتصادی کشور، باید هشدارهای لازم به تمام بخش‌های حساس و استراتژیک، شرکت‌های کوچک تا متوسط و حتی کاربران خانگی در جهت آمادگی برای مقابله با این تهدیدهای خاموش و خزنده داده شود و راهکارهای حفاظتی موثری هم برای پیشگیری از نفوذ این‌گونه بدافزارهای مخرب و هدفدار در نظر گرفته شود.

۲۱۲۱

  دانلود