مقابله ایران با "سومین ویروس جاسوسی"

آزمایش‌های تخصصی رایانه‌ای در روزهای اخیر از آلودگی برخی رایانه‌های ایران به ویروس "دوکو" حکایت می‌کنند. پیش از این نیز خبرگزاری‌های خارجی از آلودگی برخی مراکز کنترل صنعتی کشورهای غربی به این ویروس خبر داده بودند.

بدافزار «دوکو» برخلاف «استاکس‌نت» که به خرابکاری می‌پرداخت، با کنترل کی‌بورد و صفحه کامپیوتر‌ها به صورت پنهانی تمام عملیات انجام شده در این مراکز را شناسایی و زیر نظر می‌گیرد.

رییس سازمان پدافند غیرعامل جمهوری اسلامی گفته که "دوکو" پس از "استاکس نت" و "استارس"، سومین بدافزار «جاسوسی» است که ایران با آن روبرو می‌شود. غلامرضا جلالی به خبرگزاری ایرنا اعلام کرده که مقابله با «دوکو» در مراحل اولیه قرار دارد، اما « در سازمان هایی که این ویروس نفوذ کرده است، کار مقابله و پاکسازی انجام شده است.»

در اواخر مهر ماه، شرکت ایمنی مقابله با بدافزارهای کامپیوتری، موسوم به سیمانتک، اعلام کرده بود که ویروس خرابکار"استاکس نت"، برادر کوچک‌تری دارد. این موسسه آمریکایی به دلیل آن که این ویروس، تمامی گرونده‌های اطلاعاتی جمع‌آوری شده را با پیش‌شناسه «DQ» ثبت می‌کند، آن را «دوکو» نامیده است.

این شرکت امنیت کامپیوتری در آن زمان اعلام کرد که این ویروس در ده‌ها کشور از جمله ایران، فرانسه، بریتانیا و هند شناسایی شده است. به گفته سیمانتک این کد در شماری از سازمان‌ها از جمله "آنهایی که در تولید سیستم‌های کنترل صنعتی تخصص دارند" پیدا شده است.

بنا بر اعلام شرکت مایکروسافت، دوکو با بهره‌گیری از یک حفره امنیتی سابق در سیستم عامل ویندوز، کد مورد نظر طراحان این کرم را در قلب سیستم کامپیوتری جای می‌دهد.

شرکت سمانتیک در باره ارتباط ویروس "استاکس نت" با ویروس جدید گفته که «به نظر می‌رسد کارکرد بدافزار دوکو در حقیقت پیش‌درآمد حمله یک ویروسی دیگر شبیه به استاکس‌نت است که در آینده براساس اطلاعات جمع‌آوری شده توسط دوکو می‌تواند مراکز مدیریت صنعتی مشابه را مورد حمله قرار دهد.» اما رییس سازمان پدافند غیرعامل ایران می‌گوید که تحقیقات در این زمینه هنوز در مرحله ابتدایی هستند و نتیجه‌گیری نهایی در این خصوص انجام نشده است.

غلامرضا جلالی به خبرگزاری ایرنا اعلام کرده که «نرم‌افزار کنترل‌کننده این ویروس تولید شده و در اختیار سازمان‌ها و دستگاه‌ها قرار گرفته است.» بر اساس گزارش‌ها وجود ویروس کامپییوتری دوکو نخستین بار در اواسط ماه اکتبر (حدود یک ماه پیش) توسط شرکت سیمانتک گزارش شد.

پیشینه بدافزارهای جاسوسی در ایران

گفته می‌شود حمله سایبری «استاکس نت» در سال ۱۳۸۹ به رایانه‌های تاسیسات اتمی ایران، نیمی از سانتریفوژهای این تاسیسات را از کار انداخت یا در حدی به آنها آسیب زد که دیگر برای ادامه کار قابل اعتماد نبودند.

در اردیبهشت‌ماه سال ۱۳۹۰ هم سازمان پدافند غیرعامل ایران از شناسایی ویروس «جاسوسی»‌ دیگری با نام «استارس» خبر داد و گفت که ممکن است اين ويروس با فايل‌های اجرايی دستگاه‌های دولتی اشتباه گرفته شود.

اکثر کار‌شناسان ایمنی شبکه‌های کامپیو‌تری معتقدند که سازمان‌های امنیتی- اطلاعاتی کشورهای غربی، بدافزار «استاکس‌نت» را طراحی کرده و شرایطی را فراهم کردند که این بدافزار به مراکز کنترل برنامه هسته‌ای ایران که از سیستم‌های مدیریت صنعتی ساخت شرکت آلمانی زیمنس استفاده می‌کند، حمله کنند.

شباهت‌های موجود میان ویروس دوکو و استاکس‌نت این فرض را تقویت کرده که طراحان استاکس‌‌نت در ساخت این بدافزار کامپیوتری جدید نقش داشته‌اند. با این حال هنوز مدرکی مبنی بر وجود ارتباط بین این دو ویروس ارائه نشده است.

استاکس‌نت یک بدافزار کامپیوتری بسیار پیچیده بود که بنا بر گزارش‌ها با هدف اصلی تجسس و مختل کردن برنامه اتمی ایران نوشته شده بود. طراحان استاکس نت هنوز شناسایی نشده‌اند اما به نقل از روزنامه آمریکایی نیویورک تایمز، مظنونان اصلی در این میان، سرویس های اطلاعاتی اسراییل و آمریکا بودند.

گفته می‌شد که ویروس استاکس نت به بیش از ۶۰ درصد رایانه های کنترل صنعتی در ایران نفوذ کرده و از جمله به تاسیسات اتمی بوشهر نیز آسیب جدی رسانه است.

در وبلاگ شرکت سیمانتک در نوامبر ۲۰۱۱ نوشته شده که "ویروس دوکو بر خلاف استاکس‌نت حاوی هیچ کدی برای تخریب سیستم‌های کنترل صنعتی نیست و خود به خود تکثیر نمی‌شود." به عبارت دیگر احتمالا دوکو برای حمله به سیستم‌های صنعتی مانند تاسیسات اتمی ایران طراحی نشده بلکه کار آن جمع‌آوری اطلاعات برای حملات آینده است.

به گزارش کارشناسان شرکت سیمانتک دوکو حاوی بخشی از کدهای استاکس نت است. در نتیجه می‌توان گفت که این برنامه یا توسط برنامه نویسان استاکس نت پیاده شده، یا کسانی که آنرا نوشته‌اند به کدهای منبع استاکس نت دسترسی داشته‌اند.

طبق نظر همین متخصصان، دوکو در واقع پیش درآمد بدافزارهای مشابه استاکس نت در آینده خواهد بود. دوکو در رایانه های هفت یا هشت شرکت اروپایی نیز تشخیص داده شده که در زمینه توسعه نرم افزار برای هدایت دستگاه های صنعتی فعالیت دارند. این بدافزار طوری برنامه‌ریزی شده که بعد از ۳۶ روز بطور خودکار از رایانه آلوده پاک می‌شود. گمان می‌رود که نخستین تهاجم این بدافزار در دسامبر سال ۲۰۱۰ انجام گرفته باشد.

MDM/SJ