بد افزار Stuxnet یک روتکیت مخصوص سیستمهای صنعتی است. مجموعهای از نرمافزارهاست که کنترل یک سیستم رایانهای را به دست میگیرد. در این نوع حمله، کاربر سیستم متوجه حضور روتکیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد. رایانهای که تحت سلطه روتکیت و نهایتاً هکر قرار میگیرد را زامبی (Zombie) مینامند. اگر ضایعهای در شبکه رایانهها پیدا شود، با پیگیری آن به زامبی میرسیم و هکر نمیتواند ردیابی شود.
stuxnet به عنوان یک اسلحه جدید در جنگ سایبری مطرح شد. اولین مشاهده این بد افزار در سال 2010 صورت گرفت. تمام مجموعه دانشها و یافتهها با وجود آمدن این حمله بسیار پیشرفته، کنار گذاشته شد. در مقایسه با حملات دیگر، این بد افزار یک سلاح هسته ای به شمار میرود.
هرچند stuxnet برای اولین بار در ژوئن 2009 مشاهده شد، تا تابستان 2010 که سازمان ICS-CERT درباره آن هشدار دهد، در مقابل آن مقابله جدید انجام نشده بود. این ویروس از چهار نوع حمله zero-day برای آلوده کردن و پخش شدن استفاده میکند. این ویروس ابتدا به دنبال برنامه های simatic WINCC و PCS7 که توسط شرکت simens توسعه پیدا کردهاند میگردد، سپس از مجوز اکانت پیش فرض sql برای سرایت کردن به plc های مرتبط با آن، به روش تزریق کد استفاده میکند. این تزریق کد از طریق پروتکل fieldbus شرکت simens انجام میگیرد. در مرحله بعد، stuxnet به دنبال ابزارهای اتوماسیون که وظیفه کنترل سرعت موتورها را دارند میگردد. اگر کنترلی پیدا شد که در محدوده 800-1200hz باشد، تلاش میکند تا خرابکاری انجام دهد.
هرچند در ابتدا، اطلاعاتی که از این بد افزار بسیار کم بود، اما شرکت simens سریعاً عمل کرد و یک برنامه برای یافتن و پاک کردن این بد افزار عرضه کرد.
stuxnet در اواخر سال 2010 توجه رسانهها را به خود جلب کرد. در رسانهها این بد افزار به عنوان یک عامل با گسترش سریع و بسیار پیچیده مطرح شد. این مسئله توجه بسیاری به یک مسئله خاص معطوف کرد: «صنایع باید با سرعت زیاد نسبت به افزایش سطح امنیت خود عمل کنند».
کالبد شکافی stuxnet
این بدافزار بسیار پیچیده است، در شکل زیر میتوان ساختار آن را مشاهده کرد.
- این بد افزار اولین روتکیت شناخته شده برای دستگاههای کنترل صنعتی میباشد. این روتکیت میتوانست خود را به صورت خودکار بروز رسانی کند. توانایی تزریق کد در منطق بار کننده یک plc را دارا بود و بعد از این مرحله فعالیت یک plc به خوبی ادامه پیدا میکرد، و این بد افزار خود را کاملاً مخفی میکند، فقط در مواقع خاصی داده های اشتباه به HMI ارسال میشد.
این بد افزار برای محیطهای مختلف، خود را هماهنگ میکرد، از مجموعه مجوزهای توکار سیستمها استفاده میکرد و در مواقعی از کلیدهای دسترسی ابزارهای دیگر که جعل میکند، برای نفوذ استفاده میکرد.
در مطلب بعدی به روند کارهایی که این بد افزار انجام میداد، پرداخته خواهد شد.