نمایندگی رسمی شرکت Panda Security پرده از راز حملات سایبری اخیرعلیه وزارت نفت بر می دارد.
تحلیل پاندا از حمله سایبری به وزارت نفت
وایپر از نگاه نزدیک
گزارش ویژه و اختصاصی افتانا
7 خرداد 1391 ساعت 9:00
نمایندگی رسمی شرکت Panda Security پرده از راز حملات سایبری اخیرعلیه وزارت نفت بر می دارد.
با گذشت بیش از یک ماه از بروز اختلال های عملیاتی در وزارت نفت، هنوز هیچکس به واقع نمی داند که عامل اصلی این اختلال-ها چه بوده است. همچنین هیچ گونه مستندات فنی، حتی برای کارشناسان و دست اندرکاران امنیت فن آوری اطلاعات در کشور منتشر نشده است. اما با این حال، طبق تایید مسئولان وزارت نفت، عامل اصلی بروز مشکلات فعلی در این وزارت خانه، نفوذ یک ویروس رایانهای موسوم به "وایپر" در شبکه داخلی این مرکز بزرگ سازمانی اعلام شده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ابتدا وجود این ویروس به علت فعالیت های تخریبی که برای آن بیان شد (مانند سوزاندن مادر بورد و یا پاک کردن غیر قابل بازگشت هارددیسک در محیط ویندوز) توسط بسیاری از کارشناسان مورد تأیید قرار نگرفت امّا تحقیقات فنی تازه ای که توسط شرکت ایمن رایانه، نماینده رسمی و انحصاری شرکت امنیتی Panda Security در ایران انجام شده، نشان می دهد که نفوذ ویروس "وایپر"و یا دست کم نفوذ ویروس دیگری با عملکردهای کاملاً شبیه به "وایپر" به برخی مراکز سازمانی کشور امکان پذیر بوده است.
جالب اینجاست که طیفی از سازمان ها تابعه وزارت نفت ایران که به نرم افزارها یا سختافزارهای امنیتی شرکتPanda Security و یا برخی دیگر از نرم افزارهای ضد ویروس مجهز بوده اند، با اختلال های ناشی از ویروس وایپر مواجه نشده اند. بر اساس گزارش های تأیید شده، تنها بخش¬هایی از این وزارتخانه آلوده شده اند که از "یک نوع خاص از برنامه های ضدویروس" استفاده می کرده اند... به همین دلیل شائبه وجود حفره¬های امنیتی اصلاح نشده در این نوع ضدویروس که اخیراً (در اواخر اسفند ماه 1390) در رسانه های معتبر جهان منتشر شده بود، قوّت بیشتری یافته است.
از طرف دیگر، نشریه معتبر Virus Bulletin در شماره اکتبر 2011 (آبان 1390) خود از پراکندگی نسبتاً وسیع یک ویروس عجیب و غریب تنها در کشور "کوبا" خبر داد. جالب این که هیچ کدام از ضدویروس ها به جز یکی، که اتفاقا همان ضدویروس مذکور در پاراگراف قبل می باشد، حملات "موفقیت آمیز" این ویروس را تایید و یا منتشر نکرده اند! روند گزارش دهی نیز به نحوی ست که گویا فقط کامپیوترهای مجهز به همین ضد ویروس به صورت هدفدار مورد حمله واقع شده اند. این ویروس که در آن زمان، W32/VRBAT نامگذاری شد، تنها در عرض چند روز، هزاران هارد دیسک را فقط در محدوده کشور کوبا از کار انداخت و سپس به طور ناگهانی کاملاً محو شد!
بررسی دقیق رایانه های آلوده، در ابتدا نتیجه ای را بدست نداد. امّا اندکی بعد یک نقطه اشتراک میان تمام آن ها یافت شد: کلیه حافظه های جانبی متصل شده به این رایانه ها، حاوی یک فایل اجرایی با عنوان USBCheck.exe بودند که بعدها به عنوان عامل اصلی تخریب معرفی شد. شرکت ایمن رایانه، با همکاری شرکت پاندا، موفق شد تا نمونه ای از ویروس W32/VRBAT را بدست آورد و با بررسی رفتار و عملکرد این ویروس در لابراتوارهای ضد بدافزار خود، به نتایج بسیار جالبی دست پیدا کرد که تا حد زیادی پرده از راز ویروس حمله کننده به وزارت نفت برمی دارند.
ما با آلوده کردن سیستم های مجازی در لابراتوار تحلیل ویروس، نحوه انتشار و عملکرد این ویروس را به طور کامل شناسایی کردیم و در ادامه، راهکارهای خوبی را نیز برای شناسایی و انسداد عملکرد آن ارائه خواهیم کرد. کاربرانی که از برنامه های ایمن ساز پورت های یو اس بی، مثل نرم افزار Panda USBVaccine استفاده نمی کنند، به محض اتصال حافظه های جانبی حاوی USBCheck.exe هدف حمله ویروس W32/VRBAT قرار می گیرند.
در صورتی که کاربر سطح دسترسی بالایی در شبکه نداشته باشد، این ویروس، خود را در فولدر temp قرار داده و تمام حافظه های جانبی متصل شده به سیستم را تا زمان حصول دسترسی مدیریتی آلوده می کند. اما در صورت اجرای ویروس با دسترسی سطح بالا، ویروس خود را به فولدر Windows و با نام svchost.exe منتقل می نماید. اکنون پس از یک دوره خاموش که ویروس در آن تنها اقدام به انتشار خود از طریق حافظه های جانبی محافظت نشده می نماید، مرحله بعدی تخریب آغاز می شود: ایجاد تغییر در فایل های حیاتی سیستم مانند Ntldr، Bootmgr و نیز کپی کردن دو فایل دیگر با عنوان roco.sys وroco.bin در پارتیشن نصب ویندوز، بستر را برای ضربه نهایی آماده می کند.
حالا وقتی در آخرین مرحله، رایانه خود را روشن می کنید، به جای سیستم عامل فعلی شما، یک سیستم عامل دیگر توسط ویروس WIN32/VRBAT فعّال (Boot) می شود. حالا در این سیستم عامل ساده هر دستوری که فکرش را بکنید قابل اجراست. قفل کردن هارد دیسک و یا فرمت کردن، پاک کردن و حتی حذف کامل (wipe) اطلاعات. البته در کشور کوبا منتشر کننده های ویروس تنها هارد دیسک های هدف را با استفاده از گذاشتن رمز عبور برروی آن قفل کردند و نکته جالب این که رمز عبور هر کدام از هارد دیسک ها نیز شماره سریال آن ها تعریف شده بود. یعنی در نهایت هیچ خطر و یا تهدید خاصی متوجه هیچ کدام از رایانه های آلوده نشد و در عمل شاهد هیچ گونه اختلالی نبودیم!
امّا چرا ؟
آیا خرابکارهای اینترنتی در یک کشور کوچک آمریکای لاتین با شرایطی تقریباً بسته و غیر آزاد، تنها به آزمایش عملکرد یک ویروس رایانه ای خطرناک پرداخته اند؟
چرا رایانه های حفاظت شده توسط یک نوع برنامه ضد ویروس مورد هدف قرار گرفته اند که برخی از شرکت بزرگ و سازمان های حساس و حیاتی در کشورهای مختلف، از جمله ایران، از این نوع ضد ویروس استفاده می کنند.
آیا حفره های امنیتی جدیدی که در این نوع ضدویروس کشف و در تاریخ 27اسفند 1390 در برخی از رسانههای معتبر (بخوانید بی طرف) منتشر گردیده می توانسته در نفوذ این ویروس به درون سرورها و رایانه های سازمانی و نیز رایانه های خانگی موثر بوده باشد؟
آیا ویروس VRBAT تنها برای ضربه زدن به یک یا چند برند خاص ضدویروس طراحی، تولید و منتشر شده است؟ با کنار هم نهادن تمام گزینه های بالا می توان فرضیه بسیار قدرتمندتری را نتیجه گرفت: حمله صورت گرفته در کشور کوبا را می شود نوعی تمرین و آزمایش (بخوانید رزمایش) برای حمله یا حملات بعدی به اهداف مهم و استراتژیک کشورهای دیگر جهان از جمله ایران در نظر گرفت. تمام بررسی های فنی صورت گرفته بر روی کد منبع ویروس W32/VRBAT، شباهت فوق العاده میان عملکرد آن با عملکرد ویروس موسوم به "وایپر" را نشان می دهد و یک فرضیه قدرتمند دیگر را نیز مطرح می کند که W32/VRBAT پدر ویروس "وایپر" است.
حالا با قربانی شدن بزرگترین وزارت خانه اقتصادی کشور، باید هشدارهای لازم به تمام بخش های حساس و استراتژیک، شرکت های کوچک تا متوسط و حتی کاربران خانگی در جهت آمادگی برای مقابله با این تهدیدهای خاموش و خزنده داده شود و راهکارهای حفاظتی موثری هم برای پیشگیری از نفوذ اینگونه بدافزارهای مخرب و هدفدار در نظر گرفته شود.
کد مطلب: 1443