جزییات جدید فاش شد: نسخه بتای استاکس نت در سال 2005 درست شده بود

بر اساس تحقیقات صورت گرفته توسط سیمانتک، استاکس نت نسخه 0.5 قدیمی ترین نسخه کرم کامپیوتری بود که به نوامبر 2005 بر می گردد.

بعدا در عملیات فوق سری توسط امریکا و اسرائیل نسخه نهایی آماده می شود که بوسیله بوش رییس جمهور وقت ایالات متحده و بعدا اوباما برای حمله به تاسیسات ایرانی مورد تایید رسمی این مقامات واقع می شود.

ایجاد کنندگان نسخه 0.5 همان کسانی هستند که بعدا ویروس flame  را می سازند. فلیم بدافزار فوق جاسوسی است که برای تعداد خاصی از کامپیوترهای ایرانی تعریف عملیاتی شده است.

کارشناسان کسپرسکی بعدا قسمتی از کدهای فلیم را در نسخه های جدید استاکس نت کشف می کنند و سیمانتک هم متوجه می شود کدهای هر دو پروژه به هم لینک دارند.

لیام اومورخو مدیر عملیاتهای امنیتی در سیمانتک می گوید کدهای فلیم برای توسعه پروژه استاکس نت استفاده شده است و ایجاد کنندگان نسخه 0.5 به سورس کد فلیم دسترسی کامل داشته اند.

به گفته وی آنها نه تنها از ترکیبات مشترک استفاده کرده اند ، بلکه کاملا از یک خط کامل برنامه نویسی تغذیه شده اند و توسعه استاکس نت و فلیم دو مسیر متفاوت را برگزیده اند.

سیمانتک این کشف را امروز سه شنبه در کنفرانس RSA در سانفرانسیسکو آشکار ساخت. متن اصلی این تحقیق را می توانید از اینجا دانلود کنید.

600 کبلوبایت کد برنامه نویسی شده در نسخه 0.5 در سطح بالای ماژولی نوشته شده است و استاکس نت نسخه 1.0 حدود 600 کیلوبایت می شود (بهینه سازی شده نسخه بتا )

الگوریتم رمز نویسی شده آبجکت های استرینگ و کارکرد های Logging راهنمای خوبی برای رسیدن به فلیم است.

 

 

توسعه دهندگان استاکس نت پلتفورم خود را با Duqu به اشتراک می گذارند. دخو با برنامه ریزی فوق منطقی کامپیوترهای محدوده خاورمیانه را هدف قرار می دهد.

متد درون استاکس نت برای جاسوسی تا آن زمان بدون رقیب بوده است که نیروگاه نظنز را هدف اصلی خود تعریف می کند. کدهای مخرب آن درون 417 کنترلر ساخته شده توسط زیمنس تزریق می شود.

کارشناسان ایرانی از کنترلر PLC زیمنس برای باز و بسته کردن دریچه هگزافلوراید اورانیوم یا گاز UF6 درون دسته های سانتریفیوژ استفاده می کردند.

استاکس نت دریچه ها را قبل از موعد معمولشان می بندد یعنی فشار 5 برابر از حد طبیعی وارد کرده و گاز تبدیل به جامد می شود و سانتریفیوژ را از بین می برد و حتی ابزارهای ساخت آنرا نیز تحت تاثیر قرار می دهد.

دامنه ها و آی پی ها قبل از وحشی شدن ویروس استاکس نت توسط ویرسو دیگری شناسایی شده و به صورت جاسوسی نرم افزاری برای تجهیز استاکس نت به آنها آماده شده بود.

حمله کننده ای که استاکس نت را در مراحل نهایی ساخته دقیقا از مراحل تولید سانتریفیوژ در نظنز آگاهی کامل داشته است و حتی تعدا 417 PLC را نیز کاملا بر اساس کدها تعریف کرده بوده است.(شاید کسی از درون به صورت فیزیکی تمامی این اطلاعات را به حمله کندگان رسانده باشد اما چه کسی؟)

 

استاکس نت کدی در خود دارد که نمی گذارد تا تعمیرکنندگان به دریچه دسترسی پیدا کنند و هنگام حمله اجازه تعیین و تعریف حمله را برای مقابله با خطر به ایرانی ها نداده است.

وارد کردن سرعت زیاد و کم کردن سرعت باز و بسته کردن دریچه ها در نسخه 1 استاکس نت نشان می دهد تخریب اصلی در این بخش برای جلوگیری از غنی سازی انجام شده است.

نسخه 0.5 از یک کامپیوتر به کامپیوتر بعدی اکسپلویت را از طریق باگ موجود در Siemens somatic step 7 software در شبکه توزیع می کرده است.

بعد از آلودگی یک کامپیوتر، اگر یو اس بی بدان وصل می شده، قابل انتقال می شده است. این فایل DLL Preloading attack نامیده شده است که کامپیوترهای ویندوز بیس را آلوده ساخته است.