نظر
۱۱
 
تحلیل پاندا از حمله سایبری به وزارت نفت
وایپر از نگاه نزدیک
گزارش ویژه و اختصاصی افتانا
کد مطلب: 1443
تاریخ انتشار : يکشنبه ۷ خرداد ۱۳۹۱ ساعت ۰۹:۰۰
 
نمایندگی رسمی شرکت Panda Security پرده از راز حملات سایبری اخیرعلیه وزارت نفت بر می دارد.
وایپر از نگاه نزدیک
 
 
Share/Save/Bookmark
با گذشت بیش از یک ماه از بروز اختلال های عملیاتی در وزارت نفت، هنوز هیچکس به واقع نمی داند که عامل اصلی این اختلال-ها چه بوده است. همچنین هیچ گونه مستندات فنی، حتی برای کارشناسان و دست اندرکاران امنیت فن آوری اطلاعات در کشور منتشر نشده است. اما با این حال، طبق تایید مسئولان وزارت نفت، عامل اصلی بروز مشکلات فعلی در این وزارت خانه، نفوذ یک ویروس رایانهای
نشریه معتبر Virus Bulletin در شماره اکتبر 2011 (آبان 1390) خود از پراکندگی نسبتاً وسیع یک ویروس عجیب و غریب تنها در کشور "کوبا" خبر داد
موسوم به "وایپر" در شبکه داخلی این مرکز بزرگ سازمانی اعلام شده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ابتدا وجود این ویروس به علت فعالیت های تخریبی که برای آن بیان شد (مانند سوزاندن مادر بورد و یا پاک کردن غیر قابل بازگشت هارددیسک در محیط ویندوز) توسط بسیاری از کارشناسان مورد تأیید قرار نگرفت امّا تحقیقات فنی تازه ای که توسط شرکت ایمن رایانه، نماینده رسمی و انحصاری شرکت امنیتی Panda Security در ایران انجام شده، نشان می دهد که نفوذ ویروس "وایپر"و یا دست کم نفوذ ویروس دیگری با عملکردهای کاملاً شبیه به "وایپر" به برخی مراکز سازمانی کشور امکان پذیر بوده است.

جالب اینجاست که طیفی از سازمان ها تابعه وزارت نفت ایران که به نرم افزارها یا سختافزارهای امنیتی شرکتPanda Security و یا برخی دیگر از نرم افزارهای ضد ویروس مجهز بوده اند، با اختلال های ناشی از ویروس وایپر مواجه نشده اند. بر اساس گزارش های تأیید
اندکی بعد یک نقطه اشتراک میان تمام آن ها یافت شد: کلیه حافظه های جانبی متصل شده به این رایانه ها، حاوی یک فایل اجرایی با عنوان USBCheck.exe بودند که بعدها به عنوان عامل اصلی تخریب معرفی شد
شده، تنها بخش¬هایی از این وزارتخانه آلوده شده اند که از "یک نوع خاص از برنامه های ضدویروس" استفاده می کرده اند... به همین دلیل شائبه وجود حفره¬های امنیتی اصلاح نشده در این نوع ضدویروس که اخیراً (در اواخر اسفند ماه 1390) در رسانه های معتبر جهان منتشر شده بود، قوّت بیشتری یافته است.

از طرف دیگر، نشریه معتبر Virus Bulletin در شماره اکتبر 2011 (آبان 1390) خود از پراکندگی نسبتاً وسیع یک ویروس عجیب و غریب تنها در کشور "کوبا" خبر داد. جالب این که هیچ کدام از ضدویروس ها به جز یکی، که اتفاقا همان ضدویروس مذکور در پاراگراف قبل می باشد، حملات "موفقیت آمیز" این ویروس را تایید و یا منتشر نکرده اند! روند گزارش دهی نیز به نحوی ست که گویا فقط کامپیوترهای مجهز به همین ضد ویروس به صورت هدفدار مورد حمله واقع شده اند. این ویروس که در آن زمان، W32/VRBAT نامگذاری شد، تنها در عرض چند روز، هزاران هارد دیسک را فقط در محدوده کشور کوبا از کار انداخت و سپس به طور ناگهانی کاملاً محو شد!

بررسی دقیق رایانه های آلوده، در ابتدا نتیجه ای را بدست نداد. امّا اندکی بعد یک نقطه اشتراک میان تمام آن ها یافت شد: کلیه حافظه های جانبی متصل شده به این رایانه ها، حاوی یک فایل اجرایی با عنوان USBCheck.exe
چرا رایانه های حفاظت شده توسط یک نوع برنامه ضد ویروس مورد هدف قرار گرفته اند که برخی از شرکت بزرگ و سازمان های حساس و حیاتی در کشورهای مختلف، از جمله ایران، از این نوع ضد ویروس استفاده می کنند
بودند که بعدها به عنوان عامل اصلی تخریب معرفی شد. شرکت ایمن رایانه، با همکاری شرکت پاندا، موفق شد تا نمونه ای از ویروس W32/VRBAT را بدست آورد و با بررسی رفتار و عملکرد این ویروس در لابراتوارهای ضد بدافزار خود، به نتایج بسیار جالبی دست پیدا کرد که تا حد زیادی پرده از راز ویروس حمله کننده به وزارت نفت برمی دارند.

ما با آلوده کردن سیستم های مجازی در لابراتوار تحلیل ویروس، نحوه انتشار و عملکرد این ویروس را به طور کامل شناسایی کردیم و در ادامه، راهکارهای خوبی را نیز برای شناسایی و انسداد عملکرد آن ارائه خواهیم کرد. کاربرانی که از برنامه های ایمن ساز پورت های یو اس بی، مثل نرم افزار Panda USBVaccine استفاده نمی کنند، به محض اتصال حافظه های جانبی حاوی USBCheck.exe هدف حمله ویروس W32/VRBAT قرار می گیرند. 

در صورتی که کاربر سطح دسترسی بالایی در شبکه نداشته باشد، این ویروس، خود را در فولدر temp قرار داده و تمام حافظه های جانبی متصل شده به سیستم را تا زمان حصول دسترسی مدیریتی آلوده می کند. اما در صورت اجرای ویروس با دسترسی سطح بالا، ویروس خود را به فولدر Windows و با نام svchost.exe منتقل می نماید. اکنون پس از یک دوره خاموش که ویروس در آن تنها اقدام به انتشار خود از طریق حافظه های جانبی محافظت نشده می نماید، مرحله بعدی تخریب آغاز می
حمله صورت گرفته در کشور کوبا را می شود نوعی تمرین و آزمایش (بخوانید رزمایش) برای حمله یا حملات بعدی به اهداف مهم و استراتژیک کشورهای دیگر جهان از جمله ایران در نظر گرفت
شود: ایجاد تغییر در فایل های حیاتی سیستم مانند Ntldr، Bootmgr و نیز کپی کردن دو فایل دیگر با عنوان roco.sys وroco.bin در پارتیشن نصب ویندوز، بستر را برای ضربه نهایی آماده می کند.

حالا وقتی در آخرین مرحله، رایانه خود را روشن می کنید، به جای سیستم عامل فعلی شما، یک سیستم عامل دیگر توسط ویروس WIN32/VRBAT فعّال (Boot) می شود. حالا در این سیستم عامل ساده هر دستوری که فکرش را بکنید قابل اجراست. قفل کردن هارد دیسک و یا فرمت کردن، پاک کردن و حتی حذف کامل (wipe) اطلاعات. البته در کشور کوبا منتشر کننده های ویروس تنها هارد دیسک های هدف را با استفاده از گذاشتن رمز عبور برروی آن قفل کردند و نکته جالب این که رمز عبور هر کدام از هارد دیسک ها نیز شماره سریال آن ها تعریف شده بود. یعنی در نهایت هیچ خطر و یا تهدید خاصی متوجه هیچ کدام از رایانه های آلوده نشد و در عمل شاهد هیچ گونه اختلالی نبودیم!

امّا چرا ؟
آیا خرابکارهای اینترنتی در یک کشور کوچک آمریکای لاتین با شرایطی تقریباً بسته و غیر آزاد، تنها به آزمایش عملکرد یک ویروس رایانه ای خطرناک پرداخته اند؟
چرا رایانه های حفاظت شده توسط یک نوع برنامه ضد ویروس مورد هدف قرار گرفته اند که برخی از شرکت
جالب اینجاست که طیفی از سازمان ها تابعه وزارت نفت ایران که به نرم افزارها یا سختافزارهای امنیتی شرکتPanda Security و یا برخی دیگر از نرم افزارهای ضد ویروس مجهز بوده اند، با اختلال های ناشی از ویروس وایپر مواجه نشده اند
بزرگ و سازمان های حساس و حیاتی در کشورهای مختلف، از جمله ایران، از این نوع ضد ویروس استفاده می کنند.
آیا حفره های امنیتی جدیدی که در این نوع ضدویروس کشف و در تاریخ 27اسفند 1390 در برخی از رسانههای معتبر (بخوانید بی طرف) منتشر گردیده می توانسته در نفوذ این ویروس به درون سرورها و رایانه های سازمانی و نیز رایانه های خانگی موثر بوده باشد؟ 

آیا ویروس VRBAT تنها برای ضربه زدن به یک یا چند برند خاص ضدویروس طراحی، تولید و منتشر شده است؟ با کنار هم نهادن تمام گزینه های بالا می توان فرضیه بسیار قدرتمندتری را نتیجه گرفت: حمله صورت گرفته در کشور کوبا را می شود نوعی تمرین و آزمایش (بخوانید رزمایش) برای حمله یا حملات بعدی به اهداف مهم و استراتژیک کشورهای دیگر جهان از جمله ایران در نظر گرفت. تمام بررسی های فنی صورت گرفته بر روی کد منبع ویروس W32/VRBAT، شباهت فوق العاده میان عملکرد آن با عملکرد ویروس موسوم به "وایپر" را نشان می دهد و یک فرضیه قدرتمند دیگر را نیز مطرح می کند که W32/VRBAT پدر ویروس "وایپر" است.

حالا با قربانی شدن بزرگترین وزارت خانه اقتصادی کشور، باید هشدارهای لازم به تمام بخش های حساس و استراتژیک، شرکت های کوچک تا متوسط و حتی کاربران خانگی در جهت آمادگی برای مقابله با این تهدیدهای خاموش و خزنده داده شود و راهکارهای حفاظتی موثری هم برای پیشگیری از نفوذ اینگونه بدافزارهای مخرب و هدفدار در نظر گرفته شود.
 


 
ابراهیم
۱۳۹۱-۰۳-۰۹ ۱۷:۲۵:۲۷
جالبه من توی وب سایت رسمی پاندا خوندم که طبق قوانین آمریکا این شرکت با ایران به هیچ طریقی همکاری نمی کنه و نماینده رسمی هم نداره!!! ماشاالله اعتماد به نفس خوبی دارید!!!
 
سارا
۱۳۹۱-۰۳-۰۹ ۱۰:۴۰:۰۰
احسان جان ...
فکر نمی کنی بهتره برای جلوگیری از نفوذ یه ویروس جدید خطرناک به "جاهای جدید" حتماً اطلاع رسانی انجام بشه؟ تا مدیرهای شبکه تکلیفشون رو بهتر بدونن ...
 
احسان
۱۳۹۱-۰۳-۰۸ ۲۲:۴۰:۱۷
از اینکه مسئولین شرکت پاندا در ایران به تکاپو افتادن و برای برسی در باره این ویروس شاید تلاش شبانه روزی انجام دادن تا جزئیات بیشتری درباره این ویروس مشخص بشه جای تشکر و قدردانی داره مسئولین پاندا هم می تونستند کاری به کار کسی نداشته باشن و در سکوت فقط به فروش محصولاتشون فکر کنند
 
شرکت ایمن رایانه پندار - دپارتمان بازرگانی
۱۳۹۱-۰۳-۰۸ ۰۹:۳۷:۳۴
با سلام و احترام

نکته ای که باید به عرض دوستانی که موضوع تحریم رو مطرح فرمودن برسونیم اینه که:
شرکتهای اروپایی و امریکایی برای فعالیت مستقیم در ایران مشکلات جدی دارند. ولی این به این معنی نیست که به هیچ وجه در ایران فعالیت ندارند. ایمن رایانه پندار بعنوان نماینده رسمی این شرکت در خاورمیانه شناخته شده است.
ما هر سرویسی که مشتریان از ما بخواهند میتوانیم ارائه کنیم. امتحانش هم مجانیه: شما ایمیلی به پاندا بزنین و درخواست پیش فاکتور، دانلود و.... رو مطرح کنید. بلافاصله چون از ایران ایمیل زدین اون درخواست رو برای ما ارسال میکنند و ما هم با شما تماس خواهیم گرفت. مطمئنا از سرعت این عمل شگفت زده خواهید شد. !
از اینکه خدمات ارزنده ای به هموطنانمان ارائه میکنیم خرسندیم.
 
اطلاع رسانی پاندا
۱۳۹۱-۰۳-۰۸ ۰۸:۵۷:۴۰
جناب آقای احمد ...
چرا شما فقط قضیه رو تجاری می بینید ؟!!
مابر حسب تعهدی که نسبت به مشتری های خودمون و بعد نسبت به امن نگه داشتن فضای سایبر در ایران داریم، تحلیلی رو ارائه دادیم و این تحلیل یک فرضیه قدرتمند رو نتیجه داد. تأکید می کنم : یک "فرضیه" قدرتمند . اما بر حسب تحقیقات ما، چه وایپر رو عامل حمله به وزارت نفت بدونیم چه ندونیم، یک سری ویروس با عملکرد ذکر شده توی خبر در حال انتشار هستن که ما باید به نحوی از نفوذ اون ها به درون محیط های سازمانی و یا کامپیوترهای حساس شخصی جلوگیری بکنیم. انتشار راهکار و اطلاع رسانی به کاربرها و مدیرهای شبکه آیا فقط و فقط بعد تجاری داره ؟!!
در ضمن فکر نمی کنم پاندا ،‌توی بازار آنتی ویروس کشور جای کسی رو تنگ کرده باشه و به ناحق خودش رو به خیلی از شبکه های سازمانی حقنه کرده باشه (مثل بعضی از آنتی ویروس های دیگه که خودتون هم بهتر می دونین) موفق باشید :)
 
احمد
۱۳۹۱-۰۳-۰۸ ۰۰:۴۴:۵۴
خوب شما از آب گل آلود ماهیگیری میکنید
و میخواهید محصولات خودتان را به فروش برسانید
در حالیکه طبق اطلاعات رسمی وبسایت شرکت پاندا، این شرکت ایران را تحریم کرده است
http://www.pandasecurity.com/homeusers/media/legal-notice/

چطور شما مدعی میشوید که نماینده رسمی پاندا در ایران هستید؟

واقعا باید تاسف خورد!
 
خفته
۱۳۹۱-۰۳-۰۷ ۱۷:۱۹:۳۶
جالب است که وزارت نفت تاکنون به غیر از انکار و گفتن اینکه همه چیز تحت کنترل است، هیچ اطلاعات به دردبخوری که سایر سازمان ها بتوانند از آن استفاده کنند منتشر نکرده است.
 
aramis_rp
۱۳۹۱-۰۳-۰۷ ۱۵:۵۶:۵۸
جناب Familiar Stranger
نکته ای که فراموش کردم در پاسخ به سئوال شما اینه که:
وقتی این بدافزار از طریق سیستم عامل دیگری سیستم رو بوت میکنه و هارد رو پاک میکنه دیگه فرقی نمیکنه که سیستم عامل اصلی لینوکسه یا ویندوز و ...
 
aramis_rp
۱۳۹۱-۰۳-۰۷ ۱۵:۴۶:۰۹
جناب Familiar Stranger
اول اینکه خبر گروه ماهر مرو شخصا مطالعه کردم و تماس گرفتم تا ضدبدافزار را دریافت کنم ولی من رو در پیچ و خم مکاتبات اداری قراردادید. این هم که راهش نیست.

دوم اینکه ویروس Flame که میفرمائید اسمش از کجا اومده و چطور میشه اسم گذاری بین المللی داشته باشه ولی هیچ انتی ویروسی نشناستش؟!!!
ایا توی سایت virus total چکش کردین
؟
سوم اینکه اساسا آیا ویروسی موسوم به viper از نظر شما وجود نداره؟
 
Familiar Stranger
۱۳۹۱-۰۳-۰۷ ۱۵:۰۶:۵۲
Familiar Stranger
آنچه می گویید غیر قابل اثبات است زیرا در این جریان با مواردی از خرابی سیستم عاملهای لینوکس برخورد نزدیک داشتم در صورت نیاز و با شرایط خاص میتوانم اثبات کنم.
تاریخ خبر Virus Bulletin به قبل از سال 2012 باز می گردد.
در این خبر که تنها تبلیغی است برای شرکت مورد نظر تنها روش خرابکاری WIN32/VRBAT بازنگری شده و حرفی در مورد تخریب ویروس اخیر نیامده. شما حتمأ می دانید که تشابه کاری دو گونه مختلف نمیتواند دلیل گسترش گونه جدید باشد.
لطفأ نام آن رسانه های بی طرف را بفرمایید.
شما موضوع را سیاسی کردید و در قالب رسانه فنی حرف را به بحثهای اعتقادی کشیدید . در صورتی که بحث کاملأ فنی است.پیگیر مقالات شما هستم
 
۱۳۹۱-۰۳-۰۷ ۱۰:۱۳:۵۰
لطفا این نظر را منتشر کنید. آنتی ویروس اشاره شده --- هستش. که متاسفانه همجا چشم بسته دارند میخرند و نصب می کنند.