ليم اومورچو، پژوهشگر شرکت سيمانتک، درباره منشا اسرائیلی ويروس استاکسنت، مدعی شده است که رمز ويژه اين ويروس با تاريخ دقيق اعدام حبيب القانيان، يهودی بانفوذ ايرانی در نهم ماه می 1979 ارتباط دارد.
وبسايت خبری ترت پست (Treat Post) که به تهديدها و خطرات کامپيوتری و امنيت آنها میپردازد، در گزارشی که هفته پیش منتشر کرد، از قول يک پژوهشگر شرکت سيمانتک (Symantec) مدعی شد که ويروس کامپيوتری استاکسنت را متخصصان اسرائیلی طراحی کردهاند.
بپیش از این خبرهایی درباره حمله ويروس کامپيوتری استاکسنت که ظاهرا برای خرابکاری در کارخانهها و زیرساختهای صنعتی ایران به ويژه در نيروگاههای هستهای طراحی شده،منتشر شده بود.
پیشتر روزنامه گاردین نيز از حضور احتمالی هکرهای اسرائیلی پشت عملیات حمله سایبری ویروس استاکسنت خبر داده بود. همچنين روزنامه نیویورکتایمز نيز در گزارش خود در اينباره، احتمال دست داشتن اسرائیل در طراحی این کرم کامپیوتری را مطرح کرده بود.
اما گزارش اخیر ترت پست، به نقل از پژوهشگر شرکت سيمانتک، حاکی از آن است که اين ويروس به وسيله متخصصان اسرائیلی برای تخریب تاسیسات هستهای ايران طراحی شده است.
ليم اومورچو، پژوهشگر شرکت سيمانتک، درباره منشا اسرائیلی اين ويروس گفت که بر اساس تحقيقات متخصصان شرکت سيمانتک، رمز ويژه اين ويروس با تاريخ دقيق اعدام حبيب القانيان، يهودی بانفوذ ايرانی در نهم ماه می 1979 ارتباط دارد.
حبیبالله القانیان، رئیس انجمن کلیمیان تهران و سرمایهدار بزرگ یهودی ایرانی بود که در سال 1337 شرکت پلاستیکسازی پلاسکو را در تهران تاسیس کرد. وی به خاطر موفقیتهای اقتصادیش، شهرت زيادی در ایران و اسرائیل کسب کرد. بعد از انقلاب اسلامی در ايران، داراییهای القانيان از جمله ساختمان معروف پلاسکو واقع در چهارراه استانبول تهران، به وسيله جمهوری اسلامی مصادره شد و خود او نيز به وسيله نيروهای انقلابی دستگير وبه اتهام «مفسد فیالارض»، «تماس با اسرائیل و صهیونیسم» و «محارب» محاکمه و محکوم به اعدام شد. حبیب القانيان در 19 اردیبهشت 1358 تیرباران شد.
ریشه های توراتی استاکسنت
بر اساس گزارش ترت پست، شناسایی عملکرد ويروس استاکس نت که از ماه جولای گذشته، آغاز شده، اکنون نه تنها ذهن تحليلگران مسائل امنيت کامپيوتری را مشغول کرده، بلکه متخصصان علوم سياسی را نيز به شدت درگير کرده است.
بر اساس اين گزارش، گمانههايی وجود دارد که اين ويروس اساسا با هدف حمله به تاسيسات هستهای ايران طراحی شده و هر روز اطلاعات تازهای درباره ميزان تاثير مخرب آن و منشا آن منتشر میشود.
در گزارش ترت پست، همچنين از کشف رمزی به نام myrtus در برنامه استاکسنت سخن به میان آمده که احتمالا به کتاب استر اشاره میکند که یکی از بخشهای کتاب مقدس يهوديان يعنی تورات است. ارول نیوسام، محقق و کارشناس تورات نیز این ارتباط معنایی را تاييد کرده است.
Myrtu کلمهای است با ریشه عبری که اشاره به داستان «استر» دارد. استر، زن دوم خشایارشاه در ایران باستان است که زنی یهودی بوده و با وساطت عموی خود، مردخای که از مشاوران پادشاه ایران بود، خشایارشاه راضی به ازدواج با او میشود.
بر اساس گزارش روزنامه ديلی تلگراف لندن، استر به نوعی ملکه یهودیان جهان شناخته میشود و رژیم اسرائیل با الهام گرفتن از این شخصیت تاریخی در پی نفوذ در تاسیسات ایران بوده است.
اما متخصصان انفورماتيک میگویند که شناسایی مرتکبین اين کرم کامپيوتری، غیرممکن است. در این میان رالف لانگر، کارشناس آلمانی امنیت کامپيوتری فرضیه جدیدی را مطرح میکند. وی مدعی شده که ممکن است کرم جاسوسی استاکسنت توسط پیمانکاران روسی به تاسیسات هستهای ایران منتقل شده باشد. او اولین کارشناس مستقلی بود که تائید کرد استاکسنت برای حمله به سانتریفیوژهای ایران طراحی شده است.
ميزان تاثير استاکسنت
به گفته ليم اومورچو، کارشناس شرکت سيمانتک، درصد آلودگی به این ویروس در ايران، بیشتر از بقيه کشورها است.
به گفته وی، اين ويروس قادر است، کنترلکنندههای هوشمند قابل برنامهريزی (PLC) شرکت زیمنس را تحت کنترل خود درآورد.
ليم اومورچو، در کنفرانسی که اخيرا در ونکوور کانادا پيرامون اين ويروس برگزارشد، ثابت کرد که چگونه اين ويروس میتواند ماشينهای متصل به کنترلکننده پی.ال.سی را از کار بيندازد.
او گفت تحليلگران سيمانتک، با شناسایی کد استاکسنت، اکنون فهميدهاند که اين ويروس چگونه کار میکند، اما به گفته وی بدون درک نوع ماشينهای متصل به سيستمهای کنترلکننده، امکان دانستن اينکه اين کرم بر سيستمهای کنترل صنعتی چه آسیبی وارد میکند، ميسر نيست.
وی گفت: ما میدانيم که استاکسنت چه بلایی سر پی.ال.سی میآورد، اما هنوز دنيای تاثيرات واقعی آن را نمیشناسيم.
به اعتقاد اين پژوهشگر شرکت سيمانتک، کرم کامپيوتری استاکسنت، با روشهای پيشرفته میتواند سيستمهای کنترلکننده پی.ال.سی مثل زيمنس مدل اس7-300 و اس 7-400 را هدف قرار دهد.
اين ويروس همچنين با استفاده از برخی نرم افزارها مثل استپ 7 میتواند اطلاعات و دستورالعملهای داده شده به سيستم پی.ال.سی را تغییر داده و يا کارایی آنها را از بين ببرد.
وی گفت راه جلوگيری از ورود اين کرم کامپيوتری به سيستمهای کنترلکننده اين است که کدهای مخصوصی که در درون اين سیستمها عمل میکند، در اختيار صاحبان آنها قرار نگيرد و استفاده از آنها خیلی سریتر شود.
اين متخصص کامپيوتری آنگاه با استفاده از يک آزمایش عملا به تشريح عمکرد نفوذ و تاثير اين ويروس بر سيستمهای صنعتی پرداخت.
وی نشان داد که چگونه اين ويروس میتواند با آلوده کردن سيستم کنترل پی ال سی، حرکت موتور يک پمپ هوا را که برای سه ثانيه طراحی شده به 140 ثانيه تغییر داده و با اين کار بادکنک درون اين پمپ را بترکاند.
به گفته وی اگر آن سيستم پی.ال.سی متصل به يک لوله نفت بود، نتيجه آن تا چه حد میتوانست مخرب باشد.
ويروس استاکسنت، در ماه جولای سال جاری به وسیله یک شرکت بلاروسی به نام VirusBlockAda کشف شد که اعلام کرد نرمافزاری را بر روی سیستم کامپيوتر یکی از مشتریان ایرانی خود مشاهده کرده است. این کرم به دنبال سیستم مدیریتی اسکادا (SCADA ) زیمنس که معمولا در کارخانههای بزرگ تولیدی و صنعتی مورد استفاده قرار میگیرد بوده و تلاش میکند اسرار صنعتی کامپيوترهای این کارخانه ها را بر روی اینترنت بارگذاری (Upload) کند.
این ویروس که نام کامل آن استاکسنت روتکیت است، از انواع کرمها است که به نوشته سایت سی.نت، از طریق تجهیزات یو.اس.بی منتشر میشود و طوری طراحی شده که اسناد زیرساختها را از سامانههای کنترل سرپرستی و گردآوری اطلاعات (SCADA) میدزدد.
اسکادا، بخش بزرگی از مدرنترین سیستمهای کنترل صنعتی است. به گزارش رسانههای ایرانی، بسیاری از امکانات صنعتی مشهور در ایران از سیستم اسکادا که توسط شرکت زیمنس ساخته شده، استفاده میکنند و بعضی از آنها هدف ویروس استاکسنت قرار گرفتهاند.
مقابله ايران با استاکسنت
طبق اطلاعات گردآوری شده توسط مرکز پاسخگویی امنیت شرکت سيمانتک، نزدیک 60 درصد همه سیستمهای آلوده شده به این ویروس، در ایران هستند.
به دنبال انتشار اين اخبار، محمود لیایی، دبیر شورای فناوری اطلاعات وزارت صنایع و معادن ايران چندی پیش اعلام کرد، 30 هزار IP صنعتی آلوده به ویروس «استاکسنت» شناسایی شده است.
اما رضا تقیپور، وزیر ارتباطات و فناوری اطلاعات ايران از آمادگی کامل تیمهای عملیاتی اين وزارتخانه، برای مقابله با این ویروس و پاکسازی سیستمهای آلودهشده خبر داد.
وی همچنین از تجهیز سیستمهای صنعتی به آنتی ویروس خاص برای مبارزه با این ویروس خبر داده و به صنعتگران توصیه کرده که از آنتی ویروس شرکت اسکادا زیمنس استفاده نکنند، زیرا ممکن است حتی در این آنتی ویروسها نیز نسخههای جدید ویروس و یا برنامه بهروزرسانی ویروس قبلی وجود داشته باشد.
مقامات ايرانی، توليد و انتشار ویروس استاکسنت را در راستای «جنگ الکترونیکی علیه ایران» ارزیابی کردهاند.