Duqu از يك حفره امنيتي اصلاح شده استفاده می کند

انتشار ويروس استاكس‌نت درست به همان ميزاني كه براي دنياي خرابكاران اينترنتي و به ويژه گروه‌هاي سازمان يافته اتفاق مباركي بود، براي دنياي امنيت فناوري اطلاعات نيز تجربه‌اي عبرت آموز و پربار به حساب آمد.
همانقدر كه تبهكاران رايانه‌اي از دست يافتن به يك بلوغ تخريبي به خود باليدند، شركت‌هاي امنيتي و دست‌اندركاران حفاظت از اطلاعات رايانه‌اي نيز با خشنودي شاهد اتفاقات بي‌سابقه‌اي بودند كه منجر به تحولي عميق در باورهاي امنيتي جامعه كاربران رايانه و اينترنت شد.

بله، استاكس‌نت نخستين تهديد رايانه‌اي بود كه با واكنش جدي رسانه‌ها و محافل ارشد سياسي در كشورهاي مختلف جهان همراه شد. دست كم نتيجه اين واكنش‌ها و گاه جنجال‌ها هر چند به بزرگنمايي قدرت و قابليت اين ويروس كم نظير انجاميد اما در نهايت به افزايش آگاهي عمومي درباره قدرت تهديد‌ها و بدافزارهاي رايانه‌اي كمك قابل توجهي كرد.

هر چند تحليل‌هاي بسياري بر روي اين بدافزار انجام شد اما مهارت بكار رفته در توليد و انتشار اين كرم رايانه‌اي و يا شايد اتفاقات و فشارهاي پشت پرده مانع از شناسايي و رديابي منتشركنندگان آن گرديد كه هنوز هم چيزي در حد گمان و اتهام باقي مانده.

اما حالا، پس از گذشت بيشتر از يكسال از كشف استاكس‌نت، انتشار يك كرم رايانه‌اي ديگر با عنوان "Duqu" ، خاطره استاكس‌نت را دوباره زنده کرده است. تا حدی که از این بدافزار به عنوان برادرخوانده و یا فرزند استاکس‌نت یاد می‌کنند.

بازار گمانه‌ زني‌ها هم دوباره داغ شده: آيا تيم سازنده استاكس نت با آن همه حمایت مالی و فنی، مجددا فعال شده است؟ آيا سایه خطر انفجارهای فاجعه بار ، اختلال‌هاي شديد عملياتي،

سرقت اطلاعات فوق محرمانه و يا نفوذهاي غير مجاز تروريست‌هاي مجازي در مراكز استراتژيك و زير بنايي كشورها مثل نيروگاه‌ها، كارخانه‌ها و بخش‌هاي صنعتي دوباره بازگشته است؟

تحقيقات اوليه شركت‌هاي امنيتي نشان مي‌دهد كه بخش‌های قابل توجهی از ساختار كدهاي نوشته شده براي فايل ويروس Duqu، درست شبيه به كدهاي مربوط به فايل ويروس استاكس‌نت است.
بر اين اساس به نظر مي‌رسد افرادي كه ويروس Duqu را توليد و منتشر كرده‌اند همان گروهي باشند كه عامل انتشار استاكس‌نت بوده‌اند يا دست كم با يك يا چند فرد فعال در آن گروه تماس مستقيم داشته‌اند.

نكته بسيار مهم اينجاست كه ويروس Duqu براي انتشار اوليه و وسيع خود در شبكه جهاني اينترنت از يك حفره امنيتي اصلاح شده(!) در هسته عملياتي سيستم‌هاي عامل ويندوز استفاده كرده است.
سوءاستفاده يك ويروس، از يك حفره امنيتي اصلاح شده در چهار ماه قبل و نفوذ موفق به درون سيستم‌هاي رايانه‌اي، مورد بسيار عجيب و نادري‌ست؛ اما به هر حال در مورد ويروس Duqu اين اتفاق افتاده و در روزهاي آينده بايد منتظر جنجال‌هاي شديد رسانه‌اي و انتقادهاي تند كارشناسان امنيتي عليه شركت مايكروسافت باشيم.

به هر حال شركت‌هاي مختلف امنيتي تحليل‌هاي متنوعي از نوع عملكرد، نحوه انتشار و روش‌‌هاي تخريبي ويروس Duqu منتشر كرده‌اند اما به گفته كارشناسان امنيتي شركت Panda Security برآيند اين تحليل‌ها، اطلاعات آماري و بررسي‌هاي عملياتي نشان مي‌دهد كه ويروس Duqu يك بدافزار تركيبي شامل ويژگي‌هاي يك كرم، يك تروجان و يك روتکیت،است که بيشتر به منظور نفوذ به درون شبكه مراكز صنعتي، سرقت اطلاعات محرمانه و جاسوسي سايبر طراحي شده و برخلاف استاكس‌نت از قابليت ايجاد تغييرات خطرناك در تنظيمات سيستم‌هاي كنترل صنعتي كه به نوبه خود ممكن است منجر به حوادث فاجعه‌بار و اختلال شديد عملياتی در مراكز حساس گردند برخوردار نيست.
با این وجود، ویروس Duqu نیز به نحوی طراحی شده تا از راه دور قابل کنترل و فرمان دهی توسط

منتشر کننده خود باشد.

البته همين حالا تنها پس از گذشت چند روز از شناسايي اين ويروس بيش از صدها و يا هزاران تحليل فني، بررسي تخصصي، فرضيات تخريبي و حتي تبعات سياسي نظامي براي آن منتشر شده كه بسياري از آنها هدفي جز مطرح كردن برندهاي تجاري شركت‌هاي امنيتي ندارند، اما دركمتر تحليلي مي‌توان يافت كه فارغ از نوع و نحوه عملكرد، روش انتشار، قدرت تخريب و طول و تفصيل‌هاي تخصصي در خصوص این ویروس نسبتاً خطرناک، به راهكارهاي ساده براي مقابله با اين ويروس پرداخته شده باشد.

بر اساس اعلام پاندا، استاكس‌نت و Duqu شايد به مدد هدف‌گيري‌هاي خاص خود مانند شبكه مراكز حياتی و استراتژيك و اطلاعات و تجهيزات بسيار حساس و ... وجهه سياسي و رسانه‌اي يافته و خود را بر سر زبان‌ها انداخته باشند اما این كدهاي مخرب، كاري سخت در نفوذ به امن‌ترين و حفاظت شده‌ترين محيط‌هاي عملياتي در پيش دارند.
همانطور که دیدیم، در مورد استاکس نت فرضیه های تخریبی وحشتناکی مطرح شد که هیچ کدام صورت عملی به خود نگرفت.

بر اساس اظهارات مهدی جانبزرگی، کارشناس امنیت فناوری اطلاعات در شرکت پاندا، واقعیت این است که البته در مراکزی که امنیت جدی گرفته نشده باشد، حتی ویروس های بسیار ساده تر و ابتدایی تر هم می‌توانند خسارت بار باشند.
تا قبل از ظهور استاکس نت و "Duqu"، امنیت اطلاعات در بسیاری از شبکه‌های حساس و استراتژیک منحصر بود به نصب یک ضدویروس و نهایتاً بروز رسانی آن، اما اکنون مدیران فناوری اطلاعات در بسیاری از شبکه‌های سازمانی، امنیت اطلاعات را به چشم یک روند پویا و زنده می‌بینند که از بخش‌های گوناگونی تشکیل شده و همگی نیاز به بررسی دائم و بازبینی مستمر دارند. نصب یک ضدویروس هم تنها یکی از بخش‌های کوجک تأمین امنیت کامل در شبکه‌های سازمانی است.

این اولین درس استاکس نت بود که بسیاری از مراکز مهم کشور را از آلودگی‌های شدید رایانه‌ای، اختلال عملیاتی و از دست رفتن اطلاعات حساس ناشی از حملات برادرخوانده آن، Duqu نجات داد. هرجند باز هم هستند شبکه‌هایی که متأسفانه هنوز هم اولین و ساده ترین درس استاکس نت را خوب فرا نگرفته‌اند.
جالب

اینجاست که تمام درس‌هایی که باید از استاکس نت می‌گرفتیم، لزوماً احتمال دچار شدن شبکه‌های سازمانی به آلودگی‌های رایانه‌ای و حملات اینترنتی را فارغ از نوع تهدید، به کمترین حد ممکن کاهش می‌دهند.

عدم اتصال رایانه ها و شبکه های حیاتی و بسیار حساس به شبکه‌های محلی و به ویژه اینترنت، استفاده از چندین لایه امنیتی، استفاده از روش‌های پیشگیرانه ضدویروس مانند Panda TruPrevent، بکارگیری سیستم‌های شناسایی و پیشگیری از نفوذ، پوشش کامل سه محور اصلی نفوذ بدافزارها در صورت اتصال به اینترنت، یعنی رایانه‌های نهایی سازمانی، سرورهای پست الکترونیک و درگاه‌های اینترنت، نصب و استقرار سخت‌افزارهای امنیتی مانند GateDefender Performa در درگاه اصلی اینترنت شبکه برای پالایش محتویات اطلاعاتی ورودی و خروجی و نیز مدیریت یکپارچه تهدیدات اینترنتی توسط دستگاهای UTM و از همه مهم‌تر، توجه بیشتر به استفاده از راهکارهای قدرتمند مبتنی بر ابر مانند مجموعه نرم‌افزارهای Panda Cloud Protection برای تأمین امنیت کامل و مستمر در شبکه‌های سازمانی متصل به اینترنت، تنها بخشی از درس‌هایی ست که اگر به شکل سختگیرانه مورد توجه و پیاده‌سازی قرار بگیرند، نه تنها ویروس‌های خطرناکی مانند Duqu، بلکه تقریباً تمام حملات و تهدیدهای رایانه‌ای قایل ردیابی و انسداد هستند؛ البته با توجه به این مسئله که امنیت صددرصد، برای همیشه در هیچ رایانه ای قابل حصول نیست.

Duqu، بدافزار چموشی ست که ممکن است شما را به دردسر بیاندازد، اما مانند تمام ویروس‌ها و کدهای مخرب رایانه‌ای دیگر بی‌نیاز از روش‌های ارتباطی، ابزار انتقالی و محیط های عملیاتی مناسب نیست. هر کدام از این عوامل می توانند پاشنه آشیل یک نرم افزار مخرب باشند.
بنابراین، آخرین درس استاکس نت می تواند این باشد که امنیت شبکه‌های سازمانی و رایانه‌های حساس بهتر است مبتنی بر پیشگیری و انسداد ویروس‌ها باشد تا درمان و پاکسازی ...

اسماعیل ذبیحی - اطلاع‌رسانی شرکت ایمن رایانه پندار