جاسوس افزارها یکی پس از دیگری در راهند

 تیرداد هروی
وزارت ارتباطات وفناوری اطلاعات در حالی در برابر شیوع جاسوس افزار استارس یا چندین مورد مشابه دیگر سکوت کرده است که هشدار کارشناسان امنیتی داخل و خارج ازکشور نسبت به شیوع جاسوس افزارهایی از این دست شدت گرفته است.
هفته گذشته رضا تقی پور ، وزیر ارتباطات و فناوری اطلاعات کشور، با یکی از معدود اظهارنظرات خود در خصوص امنیت فضای مجازی، باز هم بسیار دیرهنگام به جریان ویروس «استارس» پرداخت و این بار هم حتی بیش از پیش با گفته هایش کارشناسان را شگفت زده کرد.
تقی پورتقی پور اخبار منتشر شده درباره ویروس جاسوسی استارس را ایجاد جو روانی دانست و گفت:«آنچه که تاکنون مشخص شده است از ایجاد جو روانی علیه کشور حکایت دارد.»
وزیر ارتباطات کشف ویروس «استارس» را تایید یا تکذیب نکرد و گفت:« جست وجو برای ویروس «استارس» در مراکز عملیات رخدادهای رایانه ای وزارت ارتباطات و فناوری اطلاعات ادامه دارد.»
رضا تقی پور در گفت وگو با همان آژانس خبری که پیش از خود اخبار انتشار ویروس استارس را به نقل از مقامات امنیتی کشور منتشر کرده بود یعنی خبرگزاری مهر، اخبار منتشر شده درباره ویروس جاسوسی استارس را ایجاد جو روانی دانست و گفت: «آنچه که تاکنون مشخص شده است از ایجاد جو روانی علیه کشور حکایت دارد.»
وی در پاسخ به این سوال که آیا وجود ویروس استارس را در سیستم های رایانه ای کشور تایید می کند یا خیر گفت:« در این زمینه بررسی هایی در جریان است. سازمان های مختلف دارای فایروال های مختلفی هستند که ممکن است این بدافزار از طریق تجهیزات این سازمان شناسایی شده باشد. اما در حال حاضر جست وجو در مراکز امنیتی ما که وظیفه مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای را به عهده دارند، ادامه دارد.»
دیگران حرف‌های دیگری می‌زنند
گفته های وزیر ارتباطات از آن رو سبب سردرگمی اغلب کارشناسان و رسانه ها را فراهم کرده است که کم وبیش در تضاد کامل با حرف های غلامرضا جلالی، رییس سازمان پدافند غیر عامل، قرار دارد.
اوایل ماه جاری جلالی در گفت وگویی از شناسایی دومین جاسوس افزار ضدایرانی با نام «استارس» توسط دانشمندان ایرانی خبرداد و گفت:«خوشبختانه دانشمندان جوان ما موفق شدند که این ویروس را کشف کنند و هم اکنون ویروس «استارس» به آزمایشگاه ارایه شده است اما هنوز بررسی ها روی آن ادامه دارد و نتایج نهایی و قطعی در این رابطه به دست نیامده است.»
رییس سازمان پدافند غیر عامل با تاکید بر لزوم پیگیری حقوقی وزارت خارجه برای تهاجم سایبری علیه کشور، در بیان علت تاخیر در شناسایی کامل بدافزار «استارس» گفت: «ویژگی های خاصی را در مورد ویروس «استارس» شناسایی کرده اند به طوری که مشخص شده است که این ویروس هماهنگ و همساز با سیستم بوده، تخریب آن در مرحله اول بسیار کم است به شکلی که ممکن است بعضا با فایل های اجرایی دستگاه های دولتی اشتباه گرفته شود، بنابراین باید متخصصان ما ابعاد مختلف این ویروس را مورد ارزیابی قرار دهند تا همه ابهامات و اشکالات ما نسبت به آن برطرف شود و سپس اقدام لازم برای مقابله با آن انجام شود.»
او در خصوص مقابله با بدافزار «استاکس نت» گفت:« باید به این موضوع توجه داشت که مقابله با ویروس استاکس نت به این معنی نیست که این تهدید به طور کامل برطرف شده است چون ویروس ها یک طول عمر مشخصی دارند و ممکن است به شکل دیگری فعالیت خود را ادامه دهند. بنابراین کشور باید خود را برای مقابله با ویروس های بعدی آماده کند، زیرا امکان دارد که ویروس های جدید وقتی وارد سیستم ما شوند به مراتب از ویروس اولی خطرناک تر باشند.»
قبلا هم همین اتفاق افتاد
تاخیر وزارت ارتباطات در به رسمیت شناختن تهدیدات رایانه ای سابقه ای نه چندان دیرینه دارد، بارز ترین نمونه آن به سال گذشته و تمامی جنجال های خبری حول و حوش جاسوس افزار معروف استاکس نت باز می گردد.
ویروس استاکس نت که به وسیله دستگاه های حافظه جانبی (USB) گسترش یافته است، نخستین بار به وسیله یک شرکت سازنده ضد ویروس های بلاروسی موسوم به VBA کشف شد.برپایه گزارش های شرکت های معتبر امنیتی جهانی مانند سیمانتک به سرعت مشخص شد بیشتر سامانه های کنترلی که هدف حمله این ویروس قرار گرفته اند، ساخت شرکت زیمنس هستند و 60 درصد آلودگی هم از سمت رایانه ای ایرانی گزارش شده است. بعد از گذشت کمتر از یک هفته از انتشار اخبار جهانی استاکس نت بود که کارشناسان تایید کردند این جاسوس افزار یا حتی خرابکار تاسیسات زیرساختی کشور و به ویژه احتمالاتاسیسات هسته ای را هدف گرفته است که سرانجام اولین عکس العمل ها به استاکس نت از سوی مقامات وزارت وزارت ارتباطات وفناوری اطلاعات شروع شد.
از انتشار اولیه اخبار این ویروس ، حتی پیش از آن که برای آن یک نام عمومی انتخاب شود، نزدیک به دو ماه گذشت تا بالاخره محسن حاتم معاون برنامه ریزی وزیر صنایع با اشاره به ورود کرم جاسوس به سیستم های صنعتی کشور، از تشکیل تیم مشترکی از وزارتخانه های صنایع و ارتباطات جهت مقابله با این کرم خبر داد و اذعان کرد:« حمله کرم جاسوس به سیستم های صنعتی کشور به تایید رسیده ولی این موضوع که چقدر از سیستم های صنعتی به این کرم آلوده شده اند، در دست بررسی است. واحدهای صنعتی برای حفاظت از اطلاعات تولیدی شان باید از اتصال رایانه های خود به اینترنت جلوگیری کنند.»
جالب آن که او در پاسخ به این سوال که با توجه به پیشرفته بودن کرم جاسوس حمله کننده به سیستم های صنعتی ایران، آیا امکان مقابله با این کرم به راحتی امکان پذیر است؟ گفت:« در گذشته کرم های پیشرفته تر از این نیز به سیستم های صنعتی کشور حمله ور شده اند که مقابله با آنها صورت گرفته است. متخصصان حوزه نرم افزار در ایران از قابلیت های بالایی برخوردارند و می توانند با کرم جاسوس حمله کننده مقابله کنند.»
حتی پس از گفته های حاتم نیز اولین واکنش وزیر ارتباطات به جریان استاکس نت نزدیک به شش ماه پس از شروع شیوع این جاسوس افزار اتفاق افتاد که طی آن رضا تقی پور، وزیر ارتباطات و فناوری اطلاعات ایران، 28 مهر ماه، اعلام کرد که عوامل انتشار ویروس استاکس نت در ایران شناسایی شده اند.
به گفته تقی پور، درباره عاملان شیوع این ویروس، بعضی از این افراد کارشناسانی خارجی بوده اند که در مراکز صنعتی تردد داشته اند و بعضی هم افراد ناآگاه بوده اند که به صورت سهوی و از طریق حافظه های قابل حمل این ویروس را منتقل کرده اند.
چند ماه بعد روزنامه نیویورک تایمز طی گزارشی جنجال برانگیز از ماه ها طراحی منسجم ویروس نویسان اسرائیلی و آمریکایی روی این ویروس خبر داد و حتی پرده از همکاری برخی مقامات زیمنس با پروژه استاکس نت برداشت که هیچ گاه رسما از سوی مقامات ایران علیه شرکت آلمانی زیمنس مورد استفاده قرارنگرفت.
بی توجهی به کارشناسان
پس از همه گیر شدن ویروس استاکس نت چندین و چند لابراتوار داخلی از کندی اقدام مقامات در این باره انتقاد کردند که در صدر آنها بازوی خصوصی موسسه استاندارد در زمینه آی تی یعنی مرکز تحقیقات صنایع انفورماتیک قرار داشت.
عضو هیات رییسه سندیکای تولیدکنندگان فناوری اطلاعات گفت:«به کلیه سازمان ها، افراد و شرکت های صنعتی و غیرصنعتی درباره کرمی که اخیرا بسیاری از رایانه های ایرانی را آلوده کرده، نامه نوشته و به آن ها هشدار داده ایم.»
ویدا سینا مدیر عامل این مرکز، در این باره توضیح داد:«متاسفانه درباره کرم اخیری که حدود 60 درصد از رایانه های ایرانی را آلوده کرده اطلاع رسانی مناسبی نشده و البته هیچ متولی مشخصی نیز در این زمینه در کشور وجود ندارد. »
او با بیان این که وزارت ارتباطات و فناوری اطلاعات باید در زمینه اطلاع رسانی درباره ویروس ها و کرم های آلوده کننده قوی تر عمل کند، گفت:«حتی ستاد پیشگیری از حوادث غیرمترقبه در کشور می تواند در این زمینه فعال تر عمل کند، چرا که آلودگی 60 درصد از رایانه های کشور به این کرم خطر کمتری نسبت به زلزله یا سیل ندارد. »
سینا با ابراز تاسف از این که هشت ماه پس از شروع آلودگی رایانه های ایرانی به این کرم تازه درباره آن در کشور اطلاع رسانی شده است. تاکید کرد:« متاسفانه هم اکنون سازمان خاصی در کشور متولی اطلاع رسانی درباره آلودگی کرم ها و ویروس ها نبوده و کسی نیز مسوولیت این حوزه را نمی پذیرد؛ بنابراین برآوردی از خسارات ناشی از این آلودگی نیز وجود ندارد. همیشه نمی توان جلوی آلودگی رایانه ها به کرم ها و ویروس ها را گرفت، اما می توان به شیوه مناسبی با آن ها مقابله کرد.»
بازگشت به دیروز
این روزها طفره رفتن وزیر ارتباطات و فناوری اطلاعات از پذیرفتن جاسوس افزاهای جدید در حالی اتفاق می افتد که بازهم نهادهای کارشناسی مستقلی از احتمال شیوع گسترده ویروس های رایانه ای با ابعاد و اسامی جدید ، حتی گذشته از استارس، سخن می گوید.
برای مثال در زمان انتشار این گزارش نمایندگی بخش تحقیق و توسعه ویروس کش VBA، همان ویروس کشی که استاکس نت را برای اولین بار کشف کرد، از انتشار یک ویروس جدید با شیوه انتشاری مشابه خبر داده است که این بار به جای فایل های زیمنس و اسکادا از فایل های DLL برای گسترش خود استفاده می کند.
در بیانیه رسمی این ویروس کش در سایت رسمی اش آمده است: «ابتدا تمامی اطلاعات موجود روی USB Flashهایی که به این ویروس آلوده می باشند به صورت مخفیانه و با سرعت بالادر یک مسیر مشخص و روی کامپیوتر مقصد کپی می شود پس از ساخته شدن این فایل های DLL تمامی این اطلاعات در آلوده سازی های بعدی روی کامپیوتر مقصد کپی می شود. به نظر می رسد این ویروس اطلاعات کامپیوترهای آلوده شده را جمع آوری کرده و با خود حمل می کند تا بالاخره از روی یک کامپیوتر برای مقصد نامعلومی ارسال کند.»
هشدار کم و بیش مشابهی هم از سوی یکی از نمایندگی های ویروس کش مک آفی (شبکه گستر) منتشر شده است که در آن نسبت به انتشار بسیار سریع یک ویروس کش رمز دزد هشدار داده شده است. در نامه این شرکت به کاربرانش آمده است:«ویروسی با درجه خطر کم که عملکرد «اسب تروا» (Trojan) داشته و اقدام به دزدیدن نام های کاربری و رمزهای مربوط به حساب های بانکی ذخیره شده بر روی کامپیوتر قربانی می کند. این ویروس به طور کلی از نوع ویروس های رمز دزد ( password stealer ) است. طی روزهای اخیر آمار آلودگی به این ویروس به خصوص در آسیا بالارفته است.»
ظاهرا این ویروس که PWS-LegMir نام دارد پس از مقیم شدن در حافظه تلاش می کند کد آلوده ای را از راه دور رروی دستگاه قربانی بارگذاری کرده و سپس آن را در پروسه پوسته اصلی سیستم عامل (Explorer.exe) سیستم آلوده و همچنین در پروسه هایی که به تازگی در سیستم بارگذاری شده اند، اجرا کند. باید دید آیا در نهایت مسوولان وزارت ارتباطات و سایر مقامات امنیتی کشور بخشی از توان خود را صرف یک نظام منسجم برای امنیت مجازی رایانه ها خواهند کرد یا خیر.