مقدمه

آغاز دومین حمله بزرگ سایبری سازمان یافته به تأسیسات زیربنایی کشورمان در قالب ویروس هوشمند اینترنتی “Viper“، آثار و پیامدهای بسیار مخربی را در بیشتر سازمان های دولتی ایران بر جای گذاشته و منجر به از دست رفتن اطلاعات بسیار زیادی گردیده است.

ویروس Viper که توسط دولت متخاصم اسرائیل، در ابتدا به منظور کاهش تولیدات نفتی، طراحی و به پیکره سیستم های وزارت نفت منتقل و سپس در سراسر شبکه دولتی ایران منتشر شده است، قادر به پاک کردن برگشت ناپذیر تمامی اطلاعات از سرورها بوده و بازیابی اطلاعات را تحت هر شرایطی، غیر ممکن می نماید. در ضمن، به علت ناشناخته بودن آن، تاکنون هیچ یک از شرکت های امنیتی موفق به شناسایی و تجزیه و تحلیل کدهای آن نشده اند.

به نظر می رسد که هدف اصلی این ویروس، نفوذ در همه سیستم های موجود در شبکه، به منظور پاک نمودن تمام اطلاعات موجود بر روی هارد دیسک های آن ها می باشد.

لازم به ذکر است که این تهدید، دومین حمله بزرگ سایبری در طی دو سال اخیر است که منجر به خسارات جبران ناپذیری به اطلاعات و سیستم های تأسیسات زیربنایی کشورمان گردیده است. نخستین حمله توسط دولت متخاصم اسرائیل، با ورود کرم اینترنتی Stuxnet به نیروگاه هسته ای بوشهر در سال 1389 با هدف تأخیر در راه اندازی ژنراتور برق هسته ای بوشهر، آغاز گردید که توانست تعداد بسیار زیادی از سانتریفیوژها را از چرخه تولید خارج نماید.

 

ساير نام ها

اين ویروس، به نام هاي زير شناخته مي شود:

Viper , Wiper

بهتر است یادآوری شود که ویروس Viper هیچ ارتباطی با ویروس Wipe که از تهدیدات امنیتی سال گذشته به شمار می رود، نداشته و اشتباهاتی که در این خصوص مطرح می شود، به دلیل نداشتن دانش و تخصص فنی و همچنین شباهت نزدیک اسمی آن ها به یکدیگر است.

سیستم های آسیب پذیر

Microsoft Windows Server 2003 SP2 , Windows XP on 32-bit Platforms

 

پراکنش جغرافيايي

Viper فقط براي حمله سایبری به جمهوری اسلامی ایران، طراحی و منتشر شده است. هدف اصلی این نرم افزار مخرب، تأسیسات زیربنایی ایران می باشد که با توجه به شواهدی که از حمله و نفوذ آن به وزارتخانه ها و سازمان های مهم کشورمان موجود است، این فرضیه قوت بیشتری می گیرد.

لازم به ذکر است که تاکنون به جز ایران، هیچ گزارشی از فعالیت های مخرب این ویروس در سایر کشورها گزارش نشده است.

 

تاریخچه کشف

اوایل اردیبهشت ماه سال جاری (1391)، نخستین بار ویروس Viper در سیستم های وزارت نفت و شرکت های تابعه آن گزارش گردید و منجر به ایجاد مرکز بحران در این وزارتخانه برای مقابله با آسیب های آن و همچنین آمادگی برای حملات مشابه بعدی شد. بر این اساس و به منظور کنترل این حمله سایبری، دسترسی به اینترنت برای کارکنان وزارتخانه نفت و کارکنان شرکت ملی نفت، شرکت های پتروشیمی، پالایشگاه و توزیع قطع گردید. همچنین، خدمات اینترنت در خارگ، بهرگان، سیری، لاوان، قشم و کیش نیز مسدود شد.

اگر چه این ویروس، مدتی قبل وارد سیستم های وزارت نفت گردید ولی به علت عدم تخصص و دانش کافی متخصصان امنیت اطلاعات این وزارتخانه، اقدام مناسبی برای مقابله با آن صورت نگرفت که در نهایت، به چنان مرحله بحرانی و حساسی رسید که حتی چند روز، منجر به قطع کامل تمامی ارتباطات و خدمات رسانی در سطح وزارتخانه نفت و شرکت های تابعه آن گردید. بلافاصله بعد از چند روز، این ویروس در سایر وزارتخانه ها و سازمان های مهم کشورمان نیز کشف گردید.

اگرچه هنوز در مورد زمان آغاز به کار Viper اتفاق نظر وجود ندارد ولی بنابر اظهارات و شواهد موجود، این ویروس از یک ماه پیش، در سیستم های وزارت نفت موجود بوده و در طول این مدت، بدون شناسایی شدن به کار خود ادامه داده است که البته این مطلب، از طریق بررسی تاریخ نشانه های دیجیتالی این ویروس، به خوبی قابل استناد و درک خواهد بود.

نامگذاری

Viper  در اصلاح لغوی به معنای ” آدم خائن و بد نهاد ” می باشد که از همین نام نیز برای نفوذ در رایانه ها استفاده می کند.

طراحي و سازماندهي

این ویروس، به چندین زبان مختلف از جمله C، C++ و سایر زبان های شیء گرا نوشته شده است. Viper، چنان در نفوذ به سیستم ها، حتی با عبور از فایروال های قدرتمند و با تنظیمات صحیح و پیچیده همچون ISA ماهر است که به طور یقین، متخصصانی با پشتوانه فنی قوی و دارای انواع تخصص ها، آن را ایجاد کرده و هدایت می کنند.

با توجه به شناسایی کاملی که این ویروس انجام می دهد، پیچیدگی کد، خطرناک بودن حمله آن، نفوذ به مراکز خاص و همچنین منابع و هزینه های مورد نیاز برای انجام این حمله به همراه ریسک بالایی که پروژه در پی داشته است، تنها دولت ملی می تواند توانایی های آن را داشته باشد.

در شرایط فعلی، محتمل ترین سناریو در مورد این ویروس، سرویس جاسوسی سایبری دولت متخاصم اسرائیل می باشد چرا که از مدت ها قبل، وعده حمله به ایران در فروردین ماه امسال را داده بود که اکنون با حمله سایبری و هدف قرار دادن تأسیسات زیربنایی کشورمان، به این وعده خویش، جامه عمل پوشانده است. هر چند که این موضوع، تاکنون به تأیید مقامات اسرائیلی نرسیده است ولی اکثر کارشناسان، معتقد به این قضیه هستند.

 

     عملکرد

با توجه به ناشناخته بودن نحوه نفوذ این ویروس، حتی با عبور از ISA، هنوز مشخص نیست که این ویروس از چه آسیب پذیری ها و حفره هایی در ویندوز بهره می برد.

با توجه به تجربیات اینجانب، احتمالاً این ویروس پس از نفوذ به شبکه، با سوء استفاده از یک آسیب پذیری ویندوز، می تواند حق دسترسی Admin به سایر pc ها را برای خود ایجاد کرده، سپس با استفاده از آسیب پذیری های دیگری،کنترل شبکه را در دست گرفته و با انتشار خود در تمام سیستم ها، اقدام به از بین بردن همه اطلاعات هارد دیسک ها می کند.

آنگاه پس از موفقیت آمیز بودن این عمل، ارتباط سیستم ها در شبکه قطع شده، هیچ سیگنالی به مانیتورها ارسال نگردیده و صفحه نمایشگر، مشکی می شود. پس از راه اندازی دوباره سیستم نیز، فقط تا مرحله بارگذاری بایوس پیش رفته و ویندوز بارگذاری نمی گردد. در بعضی از موارد نیز، صدای بوق ممتد از سیستم به گوش می رسد که بیانگر آسیب های سخت افزاری به آن می باشد. همه این ها، از عجایب ویروس Viper است.

به احتمال بسیار زیاد، Viper از یک آسیب پذیری منحصر به فرد دیگر نیز برای دور زدن فایروال ها و اتمام فرآیندهای امنیتی سیستم، استفاده می کند. هر چند که، برای به دست آوردن اطلاعات بیشتر در این خصوص، باید کد ویروس مورد بررسی و تحلیل عمیق قرار گیرد.

 

    تغييرات در سيستم

هنوز از فایل ها و سرویس هایی که توسط این ویروس در سیستم آلوده ایجاد می شود، اطلاعاتی در دست نیست و همچنین مشخص نیست که چه تغییراتی در Registry ویندوز به وجود می آید اما همانطور که اشاره گردید، تمامی فایل ها از روی هارد دیسک حذف گردیده و چنانچه فایلی نیز باقی بماند از هر نوع فرمت نوشتاری همچون .doc , .docx , pdf , .xls , … و حتی فرمت های تصویری، پس از باز شدن فایل مربوطه، تمامی اطلاعات آن به یکباره پاک می گردد. اگرچه ممکن است هیچ تغییری در حجم فایل ها ایجاد نگردد و در ظاهر، فایل ها دارای محتویات باشند، اما در اصل، فاقد هر گونه اطلاعاتی بوده و اطلاعات آن ها نیز غیر قابل بازیابی می باشد.

در ضمن، هنوز مدارکی در دست نیست که این ویروس، اطلاعاتی را از طریق HTTP به آدرس های مشخصی که سرورهای آن هستند، ارسال می نماید یا خیر.

با این تفاسیر، حذف تمامی فایل ها، حتی فایل های سیستمی سیستم عامل، از مهمترین مشخصه های این ویروس محسوب می شود.

انتشار

Viper علاوه بر اینترنت، با كپي كردن خودش در درایوهای USB يا فايل هاي به اشتراك گذاشته شده در شبکه های رایانه ای، منتشر مي شود.

جلوگیری

شركت های امنیتی به دلیل نشناختن این ویروس و عدم مواجهه با آن، تاکنون هیچ تحقیق یا گزارشی را به شرکت  مايكروسافت ارایه نکرده اند و بنابراین، به روز رسانی و یا اصلاحیه ای نیز برای از بین بردن آسیب پذیری های مورد استفاده این ویروس، عرضه نشده است. هم اکنون، هیچ یک از آنتی ویروس ها نیز قادر به شناسایی و پاک سازی این ویروس نیستند.

با این وجود، انجام فعاليت هاي زير توسط همه مديران و كاربران سيستم مي تواند باعث جلوگيري و يا كاهش خطر اين ویروس شود:

  • غير فعال كردن ويژگي AutoRun يا AutoPlay سيستم براي جلوگيري از اجراي خودكار فايل هاي قابل اجرا در درايوهاي قابل جابجايي.
  • · تهیه نسخه های پشتیبان از داده ها و اطلاعات، به صورت مرتب و در فاصله های زمانی کم و مشخص و نگهداری آن ها بر روی یک سیستم دیگر، جدا از شبکه.
  • · غیر فعال کردن درايوهاي قابل جابجایی و تمامی درایورها (Floppy , CD , DVD) از طریق Setup سیستم و در نظر گرفتن يك رمز عبور قوی براي setup
  • اصلاح نقاط آسيب پذير نرم افزارهاي نصب شده در سیستم.
  • به روز رسانی سیستم عامل و نصب آخرین وصله های امنیتی بر روی آن.
  • · به روز رسانی نرم افزار آنتي ويروس در فاصله هاي زماني كوتاه مدت و فعال کردن گزينه automatic updates براي دريافت خودكار آخرين updateها.
  • محدود کردن شدید دسترسي به آدرس هاي اینترنتی، با استفاده از فايروال و Router تا زمان برطرف شدن خطر و رفع تهدید.
  • · استفاده از رمز عبور پيچيده كه تركيبي از عدد، حروف بزرگ و كوچك و نمادها مي باشد براي كلمه عبور كاربران، به نحوي كه اين رمزها توسط dictionary attackها به راحتي قابل شناسايي و كشف نبوده و در عين حال، براي كاربران هم به ياد ماندني باشد.
  • · همه ارتباطات ورودی از اينترنت به سرويس هاي سازمان كه نبايد در دسترس عموم باشد را با استفاده از فایروال deny كرده و تنها به سرويس هايي اجازه دهيد كه به مردم خدمات ارائه می دهند.
  • هرگز نبايد با يوزر administrator به سيستم login كرد. كاربران و برنامه ها هم بايد پايين ترين سطح دسترسي لازم را داشته باشند.
  • غيرفعال كردن اشتراك گذاري منابع و فايل ها در شبكه، اگر به اشتراك گذاري آن ها نيازي نيست. در صورت نياز، از ACL ها استفاده كرده و مشخص نماييد كه چه افراد يا كامپيوترهايي اجازه دسترسي به آن ها را دارند.
  • · غيرفعال كردن و حذف سرويس هاي غيرضروري فعال در سيستم. اگر هم كد مخربي عليه يكي از سرويس ها پيدا شد، تا زمانيكه patch آن سرويس در سيستم نصب نشده است، آن سرويس را غير فعال كرده و يا دسترسي به آن را محدود نماييد.
  • · سرويس هايي همچون HTTP، FTP،  Mail و DNS مهمترين سرويس هاي يك شبكه متصل به اينترنت هستند. بنابراين، هميشه patchهاي اين سرويس ها را مهم درنظر گرفته و به روز نگهداريد. همچنين توسط فايروال، دسترسي به آن ها را كنترل نماييد.
  • · پیکربندی email سرور در جهت حذف نامه هاي الكترونيكي كه حاوي فايل ضميمه است. از این فایل ها برای گسترش تهديداتي همچون  .vbs، .bat ، .exe ، .pif و .scr استفاده مي شود.
  • · كامپيوترهاي آلوده را به سرعت براي جلوگيري از گسترش بيشتر آلودگي در شبكه ايزوله كنيد و تا زمانيكه از برطرف شدن آلودگي مطمئن نشده ايد، آن ها را وارد شبكه نكنيد.
  • · استفاده نکردن از Bluetooth در شبکه. در صورت نياز، ديد دستگاه را در حالت Hidden تنظيم کنید تا توسط دستگاه هاي ديگر پيدا نشده و حتماً از رمز عبور  نيز براي برقراري ارتباط بین دستگاه ها استفاده كنيد.

 

پیشگیری

پیشگیری از حوادث و کنترل امنیت سیستم نیاز به یک رویکرد چند لایه دارد که از آن با عنوان ” دفاع در عمق ” یاد می شود. این لایه، شامل سیاست ها و رویه ها، آگاهی و آموزش، تقسیم بندی شبکه، کنترل دسترسی ها، اقدامات امنیتی فیزیکی، سیستم های نظارتی همچون فایروال و آنتی ویروس، سیستم های تشخیص نفوذ (IDS)، رمز کاربری و … است.

بهترین روش برای پیشگیری هم معمولاً تجزیه و تحلیل خطر، شناسایی نقاط آسیب پذیر سیستم ها و شبکه، کنترل سیستم ارزیابی امنیتی و همچنین توسعه برنامه های اولویت بندی برای از بین بردن یا به حداقل رساندن ریسک خطر است.

نویسنده: محمد مهدی واعظی نژاد

متخصص امنیت شبکه

استفاده از مطالب این مقاله به هر نحو ممکن ، بدون ذکر نام نویسنده شرعاً حرام است.