هشدار شرکت پاندا به وزارت نفت: حملات بعدی سایبری در راه است

 با گذشت بيش از يك ماه از بروز اختلال‌هاي عملياتي در وزارت نفت، هنوز هيچ‌كسي به واقع نمي‌داند كه عامل اصلي اين اختلال‌ها چه بوده است. همچنين هيچ‌گونه مستندات فني، حتي براي كارشناسان و دست‌اندركاران امنيت فناوري اطلاعات در كشور منتشر نشده است. اما با اين حال، طبق تاييد مسوولان وزارت نفت، عامل اصلي بروز مشكلات فعلي در اين وزارتخانه، نفوذ يك ويروس رايانه‌اي موسوم به «وايپر» در شبكه داخلي اين مركز بزرگ سازماني اعلام شده است. پايگاه اطلاع‌رساني امنيت فضاي تبادل اطلاعات در اين‌باره گزارش مي‌دهد كه در ابتدا وجود اين ويروس به علت فعاليت‌هاي تخريبي كه براي آن بيان شد (مانند سوزاندن مادربورد يا پاك كردن غيرقابل بازگشت هاردديسك در محيط ويندوز) توسط بسياري از كارشناسان مورد تاييد قرار نگرفت اما تحقيقات فني تازه‌اي كه توسط شركت ايمن رايانه، نماينده رسمي و انحصاري شركت امنيتي ‌Panda Security در ايران انجام شده، نشان مي‌دهد كه نفوذ ويروس «وايپر» يا دست‌كم نفوذ ويروس ديگري با عملكردهاي كاملا شبيه به «وايپر» به برخي مراكز سازماني كشور امكان‌پذير بوده است.

جالب اينجاست كه طيفي از سازمان‌ها تابعه وزارت نفت ايران كه به نرم‌افزارها يا سخت‌افزارهاي امنيتي شركتPanda Security يا برخي ديگر از نرم‌افزارهاي ضد ويروس مجهز بوده‌اند، با اختلال‌هاي ناشي از ويروس وايپر مواجه نشده‌اند. بر اساس گزارش‌هاي تاييدشده، تنها بخش‌هايي از اين وزارتخانه آلوده شده‌اند كه از «يك نوع خاص از برنامه‌هاي ضدويروس» استفاده مي‌كرده‌اند. به همين دليل شايبه وجود حفره‌هاي امنيتي اصلاح‌نشده در اين نوع ضدويروس كه در رسانه‌هاي معتبر جهان منتشر شده بود، قوت بيشتري يافته است.

از طرف ديگر، نشريه معتبر Virus Bulletin در شماره اكتبر 2011 (آبان 1390) خود از پراكندگي نسبتا وسيع يك ويروس عجيب و غريب تنها در كشور «كوبا» خبر داد. جالب اينكه هيچ كدام از ضدويروس‌ها به جز يكي، حملات «موفقيت‌آميز» اين ويروس را تاييد يا منتشر نكرده‌اند! روند گزارش‌دهي نيز به نحوي است كه گويا فقط كامپيوترهاي مجهز به همين ضد ويروس به صورت هدفدار مورد حمله واقع شده‌اند. اين ويروس كه در آن زمان، W32/VRBAT نامگذاري شد، تنها در عرض چند روز، هزاران هاردديسك را فقط در محدوده كشور كوبا از كار انداخت و سپس به طور ناگهاني كاملا محو شد. بررسي دقيق رايانه‌هاي آلوده، در ابتدا نتيجه‌اي را به‌دست نداد. اما اندكي بعد يك نقطه اشتراك ميان تمام آنها يافت شد: تمامي حافظه‌هاي جانبي متصل‌شده به اين رايانه‌ها، حاوي يك فايل اجرايي با عنوان USBCheck. exe بودند كه بعدها به عنوان عامل اصلي تخريب معرفي شد.

شركت ايمن رايانه، با همكاري شركت پاندا، موفق شد تا نمونه‌اي از ويروس‌W32/VRBAT را به‌دست آورد و با بررسي رفتار و عملكرد اين ويروس در لابراتوارهاي ضدبدافزار خود، به نتايج بسيار جالبي دست پيدا كرد كه تا حد زيادي پرده از راز ويروس حمله‌كننده به وزارت نفت برمي‌دارند. كاربراني كه از برنامه‌هاي ايمن‌ساز پورت‌هاي يواس‌بي، مثل نرم‌افزار Panda USBVaccine استفاده نمي‌كنند، به محض اتصال حافظه‌هاي جانبي حاوي USBCheck. exe هدف حمله ويروس W32/VRBAT قرار مي‌گيرند. در صورتي كه كاربر سطح دسترسي بالايي در شبكه نداشته باشد، اين ويروس، خود را در فولدر temp قرار داده و تمام حافظه‌هاي جانبي متصل‌شده به سيستم را تا زمان حصول دسترسي مديريتي آلوده مي‌كند. اما در صورت اجراي ويروس با دسترسي سطح بالا، ويروس خود را به فولدر Windows و با نام svchost. exe منتقل مي‌كند. اكنون پس از يك دوره خاموش كه ويروس در آن تنها اقدام به انتشار خود از طريق حافظه‌هاي جانبي محافظت‌نشده مي‌كند، مرحله بعدي تخريب آغاز مي‌شود: ايجاد تغيير در فايل‌هاي حياتي سيستم مانند Ntldr، Bootmgr و نيز كپي كردن دو فايل ديگر با عنوان roco. sys وroco. bin در پارتيشن نصب ويندوز، بستر را براي ضربه نهايي آماده مي‌كند. حال وقتي در آخرين مرحله، رايانه خود را روشن مي‌كنيد، به جاي سيستم عامل فعلي شما، يك سيستم عامل ديگر توسط ويروس
‌WIN32/VRBAT فعال (Boot) مي‌شود.

در اين سيستم عامل ساده هر دستوري كه فكرش را بكنيد قابل اجراست؛ قفل كردن هاردديسك يا فرمت كردن، پاك كردن و حتي حذف كامل (wipe) اطلاعات. البته در كشور كوبا منتشركننده‌هاي ويروس تنها هاردديسك‌هاي هدف را با استفاده از گذاشتن رمز عبور روي آن قفل كردند و نكته جالب اينكه رمز عبور هر كدام از هارد ديسك‌ها نيز شماره سريال آنها تعريف شده بود. يعني در نهايت هيچ خطر يا تهديد خاصي متوجه هيچ كدام از رايانه‌هاي آلوده نشد و در عمل شاهد هيچ‌گونه اختلالي نبوديم. اما آيا ويروس VRBAT تنها براي ضربه زدن به يك يا چند برند خاص ضدويروس طراحي، توليد و منتشر شده است؟ مي‌توان فرضيه بسيار قدرتمندتري را نتيجه گرفت: حمله صورت‌گرفته در كشور كوبا را مي‌شود نوعي تمرين و آزمايش (بخوانيد رزمايش) براي حمله يا حملات بعدي به اهداف مهم و استراتژيك كشورهاي ديگر جهان از جمله ايران در نظر گرفت.

تمام بررسي‌هاي فني صورت‌گرفته روي كد منبع ويروس W32/VRBAT، شباهت فوق‌العاده ميان عملكرد آن با عملكرد ويروس موسوم به «وايپر» را نشان مي‌دهد و يك فرضيه قدرتمند ديگر را نيز مطرح مي‌كند كه W32/VRBAT پدر ويروس «وايپر» است. حالا با هدف قرار گرفتن بزرگ‌ترين وزارتخانه اقتصادي كشور، بايد هشدارهاي لازم به تمام بخش‌هاي حساس و استراتژيك، شركت‌هاي كوچك تا متوسط و حتي كاربران خانگي در جهت آمادگي براي مقابله با اين تهديدهاي خاموش و خزنده داده شود و راهكارهاي حفاظتي موثري هم براي پيشگيري از نفوذ اين‌گونه بدافزارهاي مخرب و هدفدار در نظر گرفته شود.

2121