ماجرای «جاسوسی از هارددیسک‌ها» در ایران چه بود؟

 

به تازگی کارشناسان شرکت روسی «کسپرسکای» اعلام کرده‌اند که یک بدافزار جاسوسی از سال‌ها قبل به سیستم‌های کامیپوتری بیش از ۳۰ کشور جهان، از جمله ایران نفوذ کرده است.

به گزارش خبرگزاری رویترز، متخصصان امنیت دیجیتال شرکت کسپرسکای، در نشستی که شانزدهم فوریه سال جاری برگزار شد اعلام کردند که هارد دیسک‌های کشورهای مورد اشاره از سال‌ها پیش تحت نظارت آژانس امنیت ملی آمریکا (NSA) بوده است.

بر اساس این گزارش، موسسه‌های دولتی٬ سازمان‌های نظامی٬ شرکت‌های مخابراتی٬ بانک‌ها، مراکز انرژی اتمی٬ رسانه‌ها و فعالان اسلام‌گرا از مهم‌ترین اهداف این پروژه جاسوسی بوده‌اند.

بررسی کد این بدافزار جاسوسی نشان می‌دهد که سال‌ها از توسعه آن می‌گذرد و بیشترین میزان آلودگی به این بدافزار جاسوسی نیز در سیستم‌های کامپیوتری ایران بوده است.

به نوشته رویترز « روسیه‌، الجزایر، سوریه، پاکستان، افغانستان، مالی و یمن» نیز از دیگر قربانیان این شیوه جاسوسی دیجیتال بوده‌اند.

در گزارش منتشر شده شرکت «کسپرسکای»، به کشور یا کشورهایی که ممکن است در توسعه این بدافزار جاسوسی نقشی داشته باشند اشاره نشده است اما کارشناسان کسپرسکای از ارتباط این بدافزار  با «استاکس نت» سخن گفته‌اند. استاکس‌نت بدافزاری بود که با نفوذ به تأسیسات غنی‌سازی اورانیوم ایران، مدت‌ها چرخه کار در مراکز اتمی این کشور را مختل کرد.

شرکت کسپرسکای علاوه بر اعلام خبر وجود این بدافزار جاسوسی، جزئیات فنی مرتبط با این بدافزار را نیز منتشر کرده تا شرکت‌هایی که سیستم‌های آن‌ها به آن آلوده است٬ بتوانند خود را پالایش کنند.

گزارش شده که برخی از سیستم‌ها از سال ۲۰۰۱ به این بدافزار آلوده بوده‌اند و از قربانیان قدیمی این پروژه محسوب می‌شوند.

برای جزئیات بیشتر از این بدافزار «ایران وایر» گفتگویی را با آرش آبادپور، کارشناس امنیت شبکه و اینترنت انجام داده که در ادامه می‌خوانید:

آقای آبادپور، ممکن است یک توضیح کلی درباره‌ی شیوه‌ی کار این بدافزار به زبان ساده برای مخاطبان ما بدهید؟

گزارش کسپراسکای یکی از طولانی‌ترین و پرجزییات‌ترین مدارکی است که در سال‌های اخیر درباره‌ی ابزارهای جمع‌آوری اطلاعات سایبری خوانده‌ایم. بنابرگزارش منتشر شده، گروه Equation از مجموعه‌ای از بدافزارها، که کسپراسکای به آن‌ها نام‌هایی نظیر EQUATIONDRUG و DOUBLEFANTASY داده است، استفاده می‌کند و از دو مسیر هدف‌مند و مبتنی بر جستجو، برای پیدا کردن قربانیانش استفاده می‌کند. این یعنی ممکن است سخت‌افزاری مورد حمله قرار بگیرد به این دلیل که مثلا گروه می‌دانسته‌است که یک سفیر، شخصیت سیاسی مهم، یا دانشمند هسته‌ای از این ابزار استفاده می‌کند. از طرف دیگر، افراد زیادی توسط بدافزار مورد حمله قرار می‌گیرند و سپس درباره‌ی اهمیت آن‌ها تصمیم‌گیری می‌شود. ممکن است بدافزار تصمیم بگیرد که قربانی اهمیت ویژه‌ای ندارد و از روی سخت‌افزار او پاک شود.

از نگاه دیگر، ما عملا با بدافزاری روبرو نیستیم که مثلا روی سیستم عامل نصب می‌شود و عملیات Keyloggerی انجام می‌دهد (keylogger کلید‌های فشرده شده توسط قربانی را به سروری می‌فرستد). گروه Equation یک بستر بدافزاری تولید کرده‌است که کنترل سیستم عامل را در دست می‌گیرد و با تغییر نرم‌افزار مدیریت هارد‌دیسک امکان تولید یک فایل‌سیستم مجازی و مخفی را می‌دهد. این یعنی، بدافزار عملا لایه‌ای بین سیستم عامل و سخت‌افزار تشکیل می‌دهد و بسته به میزان اهمیت کاربر از نظر حمله‌کنندگان، رفتار او را تحت نظارت کامل قرار می‌دهد.

و همین‌جاست که گروه Equation و روش‌های مورد استفاده‌ی آن را باید دقیق‌تر بررسی کرد. نکته‌ی مهم درباره‌ی گزارش کسپراسکای این است که دیگر دوران بدافزارهای تنهایی که با سعی و خطا به سخت‌افزارها حمله می‌کنند و تلاش می‌کنند اطلاعات بانکی بدزدند و یا با رمزکردن هارد قربانی پولی طلب کنند گذشته است. در گزارش می‌خوانیم که بدافزار علاوه بر استفاده از وب‌سایت‌ها و تبلیغات آلوده‌ی اینترنتی، از USB Stick و CD برای انتقال خود استفاده می‌کرده‌است. و همین‌جاست که می‌توان از میزان قدرت گروه تصویری پیدا کرد. در یک مورد، برای شرکت‌کنندگان در کنفرانس در هوستون، که بدلیلی برای گروه جالب توجه بود، بعد از کنفرانس CDهایی ارسال شد که حاوی بدافزارهای گروه بود. واضح است که این بدافزارها در دسترس کسی جز گردانندگان نهاد توسعه دهنده‌ی آن نیستند. کسپراسکای حدس می‌زند که ممکن است مواردی وجود داشته باشد که کسی که CD بصورت آنلاین سفارش داده‌است و بسته در مسیر تغییر داده شده و به بدافزار آلوده شده است. استفاده از وب‌سایت‌های «جهادی» یکی دیگر از روش‌های مورد استفاده‌ی گروه Equation بوده است.

به این ترتیب، گزارش کسپراسکای تصویری از یک بدافزار بسیار پیچیده ترسیم می‌کند که منابع مالی و انسانی فراوانی برای توسعه‌ی آن هزینه شده‌است و نهاد توسعه‌دهنده دسترسی آزادی به روش‌های اعمال قدرت در فضای بیرون داشته است. به این دلایل، تصور این‌که این بدافزار توسط کسی جز نهادهای دولتی در یکی از کشورهای بزرگ توسعه داده شده باشد سخت است.

گزارش شده که این بدافزار با تکنیک بسیار پیچیده و پیشرفته‌ای در هارد دیسک‌ها پنهان شده بوده و می‌توانسته در طول زمان روشن بودن رایانه از راه دور به کلیه اطلاعات ذخیره شده دسترسی داشته باشد. پرسش این است که اساسا این بدافزار چگونه وارد هارددیسک‌ها شده است؟

یکی از فرض‌های اساسی برای مبارزه با هر بدافزاری این است که کافی است سیستم‌عامل کامپیوتر را از نو نصب کنیم تا سخت‌افزاری سالم داشته باشیم. پیشنهاد ِ دیگر، فرمت‌کردن کامل هارددیسک است. این‌جاست که گزارش کسپراسکای جالب توجه می‌شود. بدافزارهای گروه Equation با تغییر نرم‌افزار مدیریت کننده‌ی هارددیسک، این امکان را به آن می‌داده‌اند که فایل‌های بدافزار در سناریوهایی نظیر تغییر سیستم‌عامل و حتی فرمت‌شدن خدشه‌ای نخورند. به‌این ترتیب، دسترسی این بدافزار به هارددیسک، صرفا به‌دلیل دزدیدن اطلاعات نیست. این بدافزار با کنترل هارددیسک از خود محافظت می‌کند.

با توجه به گزارش، قربانیان از طرف وب‌سایت‌های آلوده، USB Stick و CD آلوده می‌شده‌اند.

کسپراسکای در گزارش خود از ارتباط این بدافزار با «استاکس‌نس» خبر داده است. این ارتباط چه پیامی می‌تواند داشته باشد؟

یکی از نکات مهم در بحث امنیت دیجیتال، کشف نقطه‌ی صفر شروع اپیدمی‌های بزرگ است. این عملا خیلی شبیه پیدا کردن اولین اشخاصی است که دچار بیماری‌ای مانند ابولا می‌شوند. با پیدا کردن این افراد می‌توان درباره‌ی منشا بیماری و روش‌های  انتقال آن اطلاعات مهمی پیدا کرد. کسپراسکای در تحقیقاتش متوجه شده است که تعدادی از سیستم‌های مبتلا به استاکس‌نت، توسط گروه Equation مورد حمله قرار گرفته بوده‌اند. با توجه به بحثی که درباره‌ی روش مورد استفاده‌ی گروه برای انتخاب قربانیانش کردیم، این احتمال ِ قابل توجهی است که ممکن است بدافزارهای گروه Equation برای انتقال استاکس‌نت به سیستم‌های هدف مورد استفاده قرار گرفته باشد. نکته‌ی مهم این است که در فهرست پلاگین‌های EQUATIONDRUG، که یکی از بدافزارهای گروه است، ابزارهای مناسبی برای آلوده کردن سخت‌افزارها به کدی که سرور مرکزی می‌فرستد وجود دارد. به این ترتیب، یکی از نتیجه‌گیری‌های کسپراسکای این است که بدافزار کشف شده عملا بعنوان یک سکوی پرتاب برای بدافزارهای دیگر هم عمل می‌کرده است. حقیقت این است که کد بدافزاری مانند استاکس‌نت را صرفا می‌توان از نهادی که آن را توسعه داده است گرفت. این فرضیه، که بسیار قابل دفاع به‌نظر می‌رسد، در عمل می‌گوید ارتباط نزدیکی بین Equation و کشورهای غربی که متهم اول تولید استاکس‌نت هستند وجود دارد.

 

با انتشار چنین خبری، بسیاری از کاربران نسبت به شرکت‌های سازنده رایانه و هارددیسک، مشکوک خواهند شد. مثلا همین الان که من دارم این پرسش را از شما می‌پرسم، از لپ‌تاپ «مک بوک» شرکت اپل استفاده می‌کنم و این پرسش به ذهنم خطور کرده که ممکن است من نیز هم‌اینک قربانی جاسوسی شرکت اپل باشم. چنین چیزی امکان‌پذیر است؟

ما در دنیایی زندگی می‌کنیم که با کد احاطه شده‌است. هر ابزاری که دربرابر ما واکنشی نشان می‌دهد و در چند سال اخیر ساخته شده‌است، احتمالا حاوی میزانی کد است. کد یعنی چیزی مثل «اگر... آن‌گاه...» یا «این اطلاع را در آن فایل قرار بده». حتی اگر من و تو کدنویس هم باشیم، اغلب تنها کاری که از ما برمی‌آید اعتماد به سازنده‌ی سخت‌افزار و نویسنده‌ی نرم‌افزار است. ما چاره‌ای نداریم جز این‌که اعتماد کنیم که ده‌ها هزار خط کدی که هارددیسک لپ‌تاپ ما را مدیریت می‌کند و میلیون‌ها خط کدی که محیطی مانند ویندوز را می‌سازد، دقیقا همان کاری را می‌کنند که روی وب‌سایت ادعا شده است. نکته‌ی کلیدی این است که حالا دیگر تنها منشا خطر، سازندگان ابزارها نیستند و ممکن است بی‌دقتی آن‌ها باعث بازشدن درهای پشتی‌ای برای گروه‌هایی مانند Equation شود که نرم‌افزارها را تغییر می‌دهند.

از طرف دیگر، باید کم‌کم بپذیریم که مفهوم کنترل روی اطلاعات شخصی، از وضعیتی سیاه و سفید به موقعیتی خاکستری تبدیل شده است. یا این‌طور بگویم، دیگر موضوع این نیست که آیا اطلاعات شخصی من صرفا در اختیار من است یا خیر. اغلب فایل‌های اطلاعاتی مهم ما جایی در فضاهای ابری هستند یا روی شبکه‌ی WiFi جابه‌جا می‌شوند. در عمل، اتفاق از این جلوتر رفته است. مثلا، اگر ماشین شما یک سیستم Navigation دارد که امکان پخش موسیقی، فرستادن پیام‌های صوتی و احتمالا استفاده از نقشه را می‌دهد، این نرم‌افزار اطلاعات زیادی درباره‌ی رانندگی شما جمع‌آوری می‌کند. مثل اگر دیروز در اتوبانی چند لحظه با سرعت ۱۵۰ کیلومتر در ساعت رانندگی کردید، این نرم‌افزار آن را می‌داند. به این دلیل، سوال مهم این است که چه کسی به اطلاعات من دسترسی دارد و با آن چه خواهد کرد.

من دارم این جملات را در Word می‌نویسم که اخیرا تصمیم گرفته‌است من را مجبور کند login کنم. این یعنی Word می‌داند که شخص من دارد این خطوط را می‌نویسد و با توجه به این‌که سخت‌افزار من به خط اینترنت متصل است، این اطلاع کاملا ممکن است به‌دلایلی خیرخواهانه، مثلا backup گرفتن یا امکان ویرایش فایل در محیط‌های مختلف، برای سرور دیگری هم فرستاده شود. اگر مضمون این متن فعالیتی باشد که در کشوری که ساکن آن هستم مشکوک تلقی می‌شود، آیا کسی جایی متن را بدون اجازه‌ی من نخواهد خواند؟ دقیق‌ترین جواب به این سوال «نمی‌دانم» است.