فکر کنم حدود یک سال قبل بود که سر و صدای عظیمی در دنیای تکنولوژی به پا شد . ترس از وجود یک بدافزار فوق العاده پیشرفته ، قدرتمند و بسیار خطرناک که برنامه ی هسته ای ایران را هدف قرار داده بود . یک نام در این بین شنیده میشد . STUXNET ؛ کرمی که لقب پیشرفته ترین بدافزار تاریخ را از آن خود کرد و مقالات زیادی راجع به آن نوشته شد . بعد از مدتی مسئولین برنامه های هسته ای ایران خبر از حل مشکل دادند . گذشت و گذشت تا روز یکم ماه سپتامبر سال جاری که محققان ظاهرا بدافزار دیگری را پیدا کرده بودند . اما خیلی در مورد آن توضیحاتی داده نشد . اما در چند روز گذشته ظاهرا خبرهایی از دنیای امنیت به گوش میرسد . استاکس نت 2 ، استاکس نت جدید ، نسخه پیشرفته تر استاکس نت ، فرزند استاکس نت و نام هایی دیگر . همه این اسامی به این دلیل انتخاب شده اند تا قدرت این بدافزار را بار دیگر به همگان یادآوری کنند .

طبقه گفته های شرکت امنیتی سیمانتک ، این بدافزار اولین بار در سیستم های کامپیوتری اروپا مشاهده شده است که کدهایی مشابه کدهای کرم مشهور استاکس نت دارد و میتواند پیش زمینه ای برای انجام حملات بزرگ کامپیوتری علیه سیستم های حیاتی زیر ساختی در آینده باشد .

برخلاف استاکس نت که سیستم های خاص “اسکادا” شرکت زیمنس را هدف قرار میداد و در واقع هدفش ایجاد اختلال در برنامه های هسته ای ایران بود ، این بدافزار جدید یک Backdoor ( درب پشتی ) روی سیستم نصب کرده و به جمع آوری اطلاعاتی مثل اسناد مربوط به طرح ها میپردازد . این اطلاعات میتواند در حملاتی که ممکن است در آینده رخ دهند مورد استفاده قرار بگیرد .

این بدافزار برای اجرا روی سیستم های ویندوزی نوشته شده است . متخصصان به دلیل ایجاد فایل هایی با پیشوند “~DQ.” به آن لقب “دوکیو” ( Duqu ) را داده اند . این بدافزار همچنین یک دسترسی از راه دور ایجاد میکند . البته دوکیو با نصب دیگر “سارقان اطلاعاتی” ( منظور ماژول هایی است که برای سرقت اطلاعات طراحی شده اند ) میتواند کلیدهای فشرده شده را ثبت کرده و همچنین اطلاعات دیگر سیستم را نیز به سرقت ببرد .

یکی از مدیران شرکت سیمانتک به نام Vikram Thakur گفته است که نمونه هایی از این بدافزار را در هفت یا هشت کمپانی اروپایی پیدا کرده اند . البته او مشخصات و موقعیت مکانی آن شرکت ها را فاش نکرده است . وی همچنین تاکید کرد که از هویت مشتریان محافظت خواهد شد .

به گفته سیمانتک این احتمال وجود دارد که سازندگان استاکس نت ، دوکیو را نوشته باشند یا افراد دیگری که به کد استاکس نت دسترسی داشته اند .

شباهت کدهای دوکیو با استاکس نت زیاد است ، اما با این حال در بحث انجام فعالیت های خرابکارانه ، کاملا با هم متفاوت هستند . استاکس نت سعی در ایجاد اختلال در سیستم های کنترل صنعتی داشت ، اما دوکیو هدف خود را ایجاد دسترسی از راه دور انتخاب کرده است . سازندگان دوکیو از این قابلیت به منظور جمع آوری اطلاعات و بهره گیری از آنها در حملات بعدی استفاده خواهند کرد .

Vikram Thakur همچنین میگوید که هنوز مشخص نیست که دوکیو چگونه یک سیستم را آلوده میکند . جالب اینجاست که این بدافزار از هیچگونه آسیب پذیری هم استفاده نمیکند .  وی همچنین ادامه میدهد که ممکن است این آلودگی از طریق روش های مهندسی اجتماعی صورت بگیرد . مثل باز کردن یک ایمیل حاوی ضمیمه ی آلوده و یا کلیک کردن بروی یک لینک مخرب که باعث آلودگی سیستم میشود . وی همچنین ابراز امیدواری کرد که در روزهای آینده بتوانند جزئیات بیشتری در مورد دوکیو بدست بیاورند .

طبق گفته های شرکت سیمانتک ، دو نوع مختلف از دوکیو کشف شده است . یکی از آنها در تاریخ 1 سپتامبر سال جاری کشف شد . محققان میگویند یکی از انواع دوکیو از گواهی دیجیتال معتبر مربوط به یک شرکت تایوانی استفاده میکند . چیزی که در استاکس نت هم به چشم میخورد و از گواهی های به سرقت رفته ی شرکت Realtek استفاده شده بود .

دوکیو همچنین از یک سرور دستور-کنترل برای آپلود و دانلود اطلاعات مورد نظرش که به نظر میرسد چیزی مثل فایل های JPG باشند ، استفاده میکند . البته این اطلاعات به صورت رمزنگاری شده ارسال و دریافت میشوند . دوکیو طوری برنامه نویسی شده است که پس از 36 روز به صورت اتوماتیک خود را از روی سیستم حذف میکند . اطلاعات فنی دیگری در مورد دوکیو که توسط سیمانتک و یک آزمایشگاه ناشناخته ( به احتمال زیاد آزمایشگاه امنیتی CrySyS ) دیگر جمع آوری شده است را میتوانید در این فایل PDF مشاهده کنید .

در همین حال شرکت مک آفی هم بیکار ننشسته و پستی راجع به دوکیو در بلاگ خود میگذارد . در این پست آمده است که دوکیو به منظور جاسوسی و همچنین انجام حملات هدفمند علیه وبسایت های ارائه دهنده گواهی های دیجیتال طراحی شده است .

تصویری نیز توسط شرکت سیمانتک تهیه شده است که در آن استاکس نت و دوکیو را با هم مقایسه کرده اند .

آقای میکو هیپونن مدیر عامل شرکت امنیتی F-Secure معتقد است که این گواهی های دیجیتال جعلی از شرکت تایوانی C-Media به سرقت رفته اند . وی همچنین در پاسخ به اینکه دوکیو توسط آمریکا و یا اسرائیل و به منظور هدف قرار دادن ایران نوشته شده است ، اظهار بی اطلاعی کرد .

منابع : 12