مقابله ایران با "سومین ویروس جاسوسی"
۱۳۹۰ آبان ۲۲, یکشنبه آزمایشهای تخصصی رایانهای در روزهای اخیر از آلودگی برخی رایانههای ایران به ویروس "دوکو" حکایت میکنند. پیش از این نیز خبرگزاریهای خارجی از آلودگی برخی مراکز کنترل صنعتی کشورهای غربی به این ویروس خبر داده بودند.
بدافزار «دوکو» برخلاف «استاکسنت» که به خرابکاری میپرداخت، با کنترل کیبورد و صفحه کامپیوترها به صورت پنهانی تمام عملیات انجام شده در این مراکز را شناسایی و زیر نظر میگیرد.
رییس سازمان پدافند غیرعامل جمهوری اسلامی گفته که "دوکو" پس از "استاکس نت" و "استارس"، سومین بدافزار «جاسوسی» است که ایران با آن روبرو میشود. غلامرضا جلالی به خبرگزاری ایرنا اعلام کرده که مقابله با «دوکو» در مراحل اولیه قرار دارد، اما « در سازمان هایی که این ویروس نفوذ کرده است، کار مقابله و پاکسازی انجام شده است.»
در اواخر مهر ماه، شرکت ایمنی مقابله با بدافزارهای کامپیوتری، موسوم به سیمانتک، اعلام کرده بود که ویروس خرابکار"استاکس نت"، برادر کوچکتری دارد. این موسسه آمریکایی به دلیل آن که این ویروس، تمامی گروندههای اطلاعاتی جمعآوری شده را با پیششناسه «DQ» ثبت میکند، آن را «دوکو» نامیده است.
این شرکت امنیت کامپیوتری در آن زمان اعلام کرد که این ویروس در دهها کشور از جمله ایران، فرانسه، بریتانیا و هند شناسایی شده است. به گفته سیمانتک این کد در شماری از سازمانها از جمله "آنهایی که در تولید سیستمهای کنترل صنعتی تخصص دارند" پیدا شده است.
بنا بر اعلام شرکت مایکروسافت، دوکو با بهرهگیری از یک حفره امنیتی سابق در سیستم عامل ویندوز، کد مورد نظر طراحان این کرم را در قلب سیستم کامپیوتری جای میدهد.
شرکت سمانتیک در باره ارتباط ویروس "استاکس نت" با ویروس جدید گفته که «به نظر میرسد کارکرد بدافزار دوکو در حقیقت پیشدرآمد حمله یک ویروسی دیگر شبیه به استاکسنت است که در آینده براساس اطلاعات جمعآوری شده توسط دوکو میتواند مراکز مدیریت صنعتی مشابه را مورد حمله قرار دهد.» اما رییس سازمان پدافند غیرعامل ایران میگوید که تحقیقات در این زمینه هنوز در مرحله ابتدایی هستند و نتیجهگیری نهایی در این خصوص انجام نشده است.
غلامرضا جلالی به خبرگزاری ایرنا اعلام کرده که «نرمافزار کنترلکننده این ویروس تولید شده و در اختیار سازمانها و دستگاهها قرار گرفته است.» بر اساس گزارشها وجود ویروس کامپییوتری دوکو نخستین بار در اواسط ماه اکتبر (حدود یک ماه پیش) توسط شرکت سیمانتک گزارش شد.
پیشینه بدافزارهای جاسوسی در ایران
گفته میشود حمله سایبری «استاکس نت» در سال ۱۳۸۹ به رایانههای تاسیسات اتمی ایران، نیمی از سانتریفوژهای این تاسیسات را از کار انداخت یا در حدی به آنها آسیب زد که دیگر برای ادامه کار قابل اعتماد نبودند.
در اردیبهشتماه سال ۱۳۹۰ هم سازمان پدافند غیرعامل ایران از شناسایی ویروس «جاسوسی» دیگری با نام «استارس» خبر داد و گفت که ممکن است اين ويروس با فايلهای اجرايی دستگاههای دولتی اشتباه گرفته شود.
اکثر کارشناسان ایمنی شبکههای کامپیوتری معتقدند که سازمانهای امنیتی- اطلاعاتی کشورهای غربی، بدافزار «استاکسنت» را طراحی کرده و شرایطی را فراهم کردند که این بدافزار به مراکز کنترل برنامه هستهای ایران که از سیستمهای مدیریت صنعتی ساخت شرکت آلمانی زیمنس استفاده میکند، حمله کنند.
شباهتهای موجود میان ویروس دوکو و استاکسنت این فرض را تقویت کرده که طراحان استاکسنت در ساخت این بدافزار کامپیوتری جدید نقش داشتهاند. با این حال هنوز مدرکی مبنی بر وجود ارتباط بین این دو ویروس ارائه نشده است.
استاکسنت یک بدافزار کامپیوتری بسیار پیچیده بود که بنا بر گزارشها با هدف اصلی تجسس و مختل کردن برنامه اتمی ایران نوشته شده بود. طراحان استاکس نت هنوز شناسایی نشدهاند اما به نقل از روزنامه آمریکایی نیویورک تایمز، مظنونان اصلی در این میان، سرویس های اطلاعاتی اسراییل و آمریکا بودند.
گفته میشد که ویروس استاکس نت به بیش از ۶۰ درصد رایانه های کنترل صنعتی در ایران نفوذ کرده و از جمله به تاسیسات اتمی بوشهر نیز آسیب جدی رسانه است.
در وبلاگ شرکت سیمانتک در نوامبر ۲۰۱۱ نوشته شده که "ویروس دوکو بر خلاف استاکسنت حاوی هیچ کدی برای تخریب سیستمهای کنترل صنعتی نیست و خود به خود تکثیر نمیشود." به عبارت دیگر احتمالا دوکو برای حمله به سیستمهای صنعتی مانند تاسیسات اتمی ایران طراحی نشده بلکه کار آن جمعآوری اطلاعات برای حملات آینده است.
به گزارش کارشناسان شرکت سیمانتک دوکو حاوی بخشی از کدهای استاکس نت است. در نتیجه میتوان گفت که این برنامه یا توسط برنامه نویسان استاکس نت پیاده شده، یا کسانی که آنرا نوشتهاند به کدهای منبع استاکس نت دسترسی داشتهاند.
طبق نظر همین متخصصان، دوکو در واقع پیش درآمد بدافزارهای مشابه استاکس نت در آینده خواهد بود. دوکو در رایانه های هفت یا هشت شرکت اروپایی نیز تشخیص داده شده که در زمینه توسعه نرم افزار برای هدایت دستگاه های صنعتی فعالیت دارند. این بدافزار طوری برنامهریزی شده که بعد از ۳۶ روز بطور خودکار از رایانه آلوده پاک میشود. گمان میرود که نخستین تهاجم این بدافزار در دسامبر سال ۲۰۱۰ انجام گرفته باشد.
MDM/SJ