بدافزار استاکسنت پس از اجرای حملاتی که بر ضد سانتریفیوژهای غنیسازی اورانیوم در ایران داشت، توانست به شهرت بسیار زیادی در جهان برسد. این کرم رایانهای پیچیده که در سال 2010 میلادی شناسایی شد، گفته میشود حداقل از سال 2005 در حال توسعه و گسترش خود در زیرساختهای صلحآمیز انرژی هستهای کشورمان بوده است.
طبق باور کارشناسان امنیتی و اسناد اطلاعاتی افشا شده، این بدافزار توسط نهادهای اطلاعاتی آمریکا و اسرائیل ساخته شده است.
اهداف اصلی
استاکسنت برای تغییر کنترلرهای منطقی برنامهپذیر (PLC) که در انواع سیستمهای کنترل صنعتی (ICS) کاربرد دارند، طراحی شده است. از PLCها در تشکیلات حیاتی و زیرساختی همچون پتروشیمیها، پالایشگاهها، نیروگاههای برق، تصفیه آب، خطوط لولههای گاز و غیره استفاده میشود. این کرم برای آلوده کردن رایانهها از چندین اکسپلویت روز صفر شناخته شده استفاده میکرد.
در سال 2007، این بدافزار سیستمهای کنترل صنعتی ایران، اندونزی و هند را هدف قرار داد. بیشترین تأثیرات این بدافزار یعنی چیزی حدود 60 درصد از آلودگیهای به وقوع پیوسته، در ایران مشاهده شد. بعضی از کارشناسان بر این باورند که استاکسنت توانست هزار سانتریفیوژ را فقط در تشکیلات هستهای نظنز تخریب کند.
طرز کار
استاکسنت پس از آلوده کردن یک رایانه، بررسی میکند که آیا آن سیستم به یک مدل PLC خاص تولید شرکت زیمنس متصل شده است یا خیر. این بدافزار، نرم افزار STEP 7 شرکت زیمنس را که برای کنترل PLCها کاربرد دارد، جستجو میکند. پس از پیدا شدن سیستمی با این نرم افزار، استاکسنت شروع به تزریق اطلاعات غلط به PLC کرده و دادههای واقعی را تغییر میدهد. سپس PLC بر اساس اطلاعات غلط تزریق شده، یک گزارش اشتباه به STEP 7 برگردانده و اعلام میکند عملیات به صورت عادی در حال جریان است.
این کرم برای انتشار در شبکههای ایرگپ (ایزوله) طراحی شده است و معمولاً از طریق فلش مموریهای آلوده و سایر دستگاههای اکسترنال منتقل میشود.
هدف
مهاجمان میتوانند از طریق استاکسنت، کنترلرهای منطقی مربوط به حساسترین فرایندهای یک تشکیلات صنعتی را تحت کنترل گرفته و از آنها برای انجام تغییرات مورد نظرشان (مثلاً دما، فشار، جریان آب، مواد شیمیایی و گاز) استفاده کنند. همچنین این کرم برای مجاز به نظر رسیدن و پیشگیری از شناسایی توسط سیستمهای ضدبدافزار و تشخیص نفوذ، حاوی اطلاعات جعل شده چندین امضای دیجیتالی خاص است.
مدل جدید استاکسنت
کارشناسان و محققان امنیتی میگویند مدل جدیدی از استاکسنت به نام استاکسنت 2، شبکههای ایران را هدف حملات خود قرار داده است. گفته میشود که این نسخه جدید، پیچیدهتر و پیشرفتهتر از مدلهای پیشین خود است. هنوز مشخص نیست که چه شرکتها و صنایعی هدف این بدافزار قرار گرفتهاند و عوامل پشت این حمله نیز چه افراد یا نهادهایی هستند.
در سالهای اخیر، بدافزارهای مختلف دیگری با قابلیتهایی شبیه استاکسنت در کشورمان شناسایی شدهاند. Duqu و Flame دو کرم دیگر هستند که البته هدف آنها کاملاً متفاوت با استاکسنت بوده و زیرساختهای خاصی را نیز هدف حملات خویش قرار داده بودند.
هر چند در حال حاضر، انتشار استاکسنت محدود شده است اما گفته میشود این کرم میتواند نقش مهمی در حملات آتی بر ضد زیرساختهای آمریکا و سایر کشورها بازی کند. محققان ESET طی تحلیلهای خود درباره استاکسنت اعلام کردند: «این یک پیشرفت غیرمنتظره و چشمگیر بود که افراد مسئول در امنیت سیستمهای صنعتی باید آن را جدی بگیرند».