به تدریج که اطلاعات بیشتری درباره
ویروس Duqu منتشر میشود و برنامه ویروس تحت بررسی دقیقتر قرار میگیرد،
اکنون برخی کارشناسان امنیتی معتقدند که جنجال درباره این ویروس بیش از حد
بوده و شاید درباره اهمیت و میزان خطر ویروس Duqu زیادهروی شده باشد.
شک و تردید کارشناسان به دلیل اطلاعات محدودی است که درباره فعالیت و
عملکرد ویروس Duqu تا به حال منتشر شده است. تا به حال فقط شرکت Symantec
یک گزارش درباره این ویروس منتشر کرده که نشان میدهد هدف اصلی آن
سیستمهای مدیریت صنعتی است.
به عقیده کارشناسان Symantec نویسنده این ویروس جدید باید
همان نویسنده ویروس Stuxnet باشد. در این گزارش گفته شده که ویروس Duqu فقط
وظیفه جمعآوری اطلاعات درباره سیستمهای مدیریت صنعتی را دارد و احتمال
داده میشود براساس این اطلاعات، ویروس اختصاصی و ویژهای برای حمله و رخنه
به سیستمهای مدیریت صنعتی ساخته شود.
شرکت Symantec تاکنون اطلاعات دقیقی درباره مراکزی که آلوده
به ویروس Duqu شدهاند، منتشر نکرده و ادعای قبلی خود را که گفته بود چندین
واحد صنعتی در اروپا آلوده شدهاند، پس گرفته و اکنون اعلام کرده فقط یک
واحد صنعتی قربانی ویروس Duqu شده است.
به اعتقاد کارشناسان، اگر موضوع مشابهت برنامهنویسی بین دو
ویروس Duqu و Stuxnet وجود نداشت، ویروس Duqu تا این حد مورد توجه و بحث
قرار نمیگرفت. مشابهت بخشهایی از برنامه این دو ویروس، فقط از این جهت
میتواند مورد توجه قرار گیرد که بالاخره یک نفر به فکر استفاده از برنامه
ویروس Stuxnet افتاده است.
باید توجه داشت که اگر هدف اصلی ویروس Duqu جمعآوری اطلاعات
از سیستمهای مدیریت صنعتی است، اینکار را ویروس Stuxnet قبلاً انجام داده
است. اگر هم قرار است اطلاعات جدیدی به دست آورده شود، استفاده دوباره و
علنی از برنامه ویروس Stuxnet، یک اقدام ناشیانه است که از افراد و مراکزی
که پشت اینگونه فعالیتهای جاسوسی هستند، بعید به نظر میرسد.
اگر در مراحل بعدی تحقیق و بررسی بر روی ویروس Duqu مشخص شود
که این ویروس اهداف دیگری را دنبال میکند، شاید آن موقع ارزش توجه و
پیگیری بیشتری داشته باشد وگرنه در حالت فعلی، ویروس Duqu هم ویروسی است
مانند هزاران ویروسی که روزانه ظاهر و کشف میشوند.
کاربران ضدویروسهای McAfee از هفته گذشته با داشتن فایلهای
به روز رسانی حداقل DAT 6501 و یا جدیدتر، در برابر گونههای مختلف ویروس
Duqu در امان بوده و قادر به شناسایی آنها هستند.
به گزارش وبلاگ شرکت مهندسی شبکه گستر، گزارش جدیدی که شرکت
Dell Secure Works منتشر کرده، ارتباط بین ویروس مشهور Stuxnetو ویروس
جدید Duqu را مورد تردید قرار میدهد. همچنین در این گزارش، به نبود مدرک و
سندی که نشان دهد هر دو ویروس توسط یک شخص یا یک گروه نوشته شدهاند،
اشاره شده است.
شاید شباهتهایی بین برنامه و عملکرد دو ویروس وجود داشته
باشد ولی دلیل و مدرک قاطعی برای نشان دادن ارتباط مستقیم بین دو ویروس
Stuxnet و Duqu وجود ندارد. این بحثها زمانی آغاز شد که در یک شرکت کوچک
امنیتی در مجارستان مشاهدات خود را درباره ویروس جدید Duqu را با ویروس
Stuxnet مطرح کرد.
طبق تایید شرکت Symantec، ویروس Duqu سیستمهای مدیریت صنعتی
را هدف قرار نداده و به آنها حمله نمیکند. بلکه فقط اقدام به جمعآوری
اطلاعات از شرکتهای سازنده این سیستمهای مدیریت صنعتی میکند. هدف از
جمعآوری و سرقت این اطلاعات نیز احتمالاً ساخت یک ویروس براساس اطلاعات و
دانش به دست آمده است.
هر دو ویروس Duqu و Stuxnet ویروسهای پیچیدهای هستند که
از چندین بخش مختلف تشکیل شدهاند. تنها شباهت برنامه این دو ویروس، در
یکی از چندین بخش مختلفی است که در مجموع برنامه ویروس را تشکیل میدهند.
هر دو ویروس از یک روش یکسان برای رمزگشایی فایلهایی خاص و قراردادن آنها
بر روی کامپیوتر قربانی، استفاده میکنند. همچنین روش رمزگذاری و
مخفیسازی فایلهای مرتبط با ویروس، در هر دو ویروس یکسان و مشابه هستند.
با این حال، استفاده از یک برنامه مخفیسازی یکسان،
نشاندهنده ارتباط دو ویروس نمیتواند باشد. اینگونه برنامههای
مخفیسازی که اصطلاحاً Rootkit نامیده میشوند، امروزه در ویروسهای
مختلف به کار گرفته میشود. این برنامه و روش خاص مخفیسازی که در ویروس
Duqu و Stuxnet مورد استفاده قرار گرفته، قبلاً در ویروسهای Black Energy
و Rustock نیز مشاهده شده است.
به نکته دیگری که برای اثبات ارتباط دو ویروس Duqu و Stuxnet ،
اشاره میشود، استفاده از یک گواهینامه دیجیتال به سرقت رفته در هر دو
ویروس است. این نکته کاملاً صحیح است ولی دسترسی به این گواهینامههای
سرقت شده از چندین منابع مختلف امکانپذیر است و احتمال دارد در آینده، از
این گواهینامه در برنامههای مخرب دیگر هم استفاده شود.
ویروس Stuxnet برای رخنه و نفوذ به سیستمهای مورد نظر خود
از چهار نقطه ضعف ناشناخته استفاده میکرد. ویروس Duqu از هیچ نقطه ضعفی
استفاده نمیکند و ساختار این ویروس نشان میدهد که انتشار و گسترش
گسترده ویروس، از اولویتهای نویسنده آن نبوده است.
ویروس Duqu یک برنامه قوی و پیچیده است و شاید چند سال قبل به
عنوان یک ویروس خارقالعاده به حساب میآمد ولی امروز ویروسهای هوشمند و
پیچیده کم نیستند و نباید این چنین مجذوب Duquشد.
درباره ویروس Duqu
Duqu چیست؟
یک ویروس جدید است که فقط مراکز و موسسات خاصی را در اروپا، آفریقا و خاورمیانه مورد هدف قرار میدهد.
این ویروس چه ارتباطی به ویروس Stuxnet دارد؟
بسیاری از بخشهای این ویروس کاملاً مشابه ویروس مشهور
Stuxnet است. در بعضی قسمتها، برنامه ویروس Duqu خط به خط مشابه Stuxnet
است. به همین دلیل به این ویروس، نامهای Stuxnet دوم یا Stuxnet پسر داده
شده است.
چرا نام Duqu روی این ویروس گذاشته شده است؟
Duqu به صورت «دی یو-کی یو» تلفظ میشود. این ویروس فایلهایی با پیشوند DQ بر روی کامپیوتر قربانی ایجاد میکند.
زمان ظهور این ویروس چه تاریخی بوده است؟
ویروس Duqu حدود هفت هفته قبل برای اولین بار مشاهده شده ولی
برخی گزارشات حاکی از آن است که این ویروس از دی ماه سال گذشته فعال بوده
است.
ویروس Duqu چکار میکند؟
این ویروس بر روی شبکههایی که آلوده کرده است، اقدام به جمعآوری اطلاعات میکند.
ویروس Duqu چگونه عمل میکند؟
ویروس ابتدا اقدام به آلوده کردن کامپیوتر میکند. نحوه این
آلودگی بطور کامل و دقیق مشخص نیست ولی روشهای مختلف از جمله حافظههای
USB و فریب از طریق مهندسی اجتماعی (Social Engineering)، گزارش شده است.
پس از آلوده کردن کامپیوتر، ویروس با یک مرکز فرماندهی که در
کشور هند است، تماس برقرار میکند. (در حال حاضر، این ارتباط قطع شده
است.) از طریق این مرکز، دستورات جدید و انواع برنامههای مخرب دریافت شده
و بر روی کامپیوتر قربانی به اجرا در میآید. همچنین اگر کامپیوتر آلوده،
به شبکه وصل باشد، کل شبکه توسط ویروس برای شناسایی نقاط ضعف احتمالی،
کنترل و بررسی شده و نتیجه به دست آمده به مرکز فرماندهی ارسال میشود.
هدف اصلی ویروس Duqu چیست؟
در حال حاضر اهداف خاص ویروس Duqu مشخص نیست. احتمال داده
میشود که ویروس در حال ایجاد بسترهای لازم برای انجام یک حمله خاص است.
ساختار فعلی ویروس Duqu هیچگونه امکانات حمله و تخریب ندارد ولی در هر لحظه
میتواند از طریق ارتباط با مرکز فرماندهی، این نوع قابلیتها را به دست
آورد.
قربانیان ویروس Duqu چه افراد و مراکزی هستند؟
درباره قربانیان اصلی ویروس Duqu اختلاف نظر وجود دارد. برخی
معتقدند که این ویروس برای حمله به مراکز صدور گواهینامههای دیجیتالی
(Certificate Authority) طراحی شده و برخی دیگر، سیستمهای مدیریت صنعتی
خاصی را قربانی و هدف اصلی ویروس Duqu میدانند.
نویسندگان و گردانندگان ویروس Duqu چه کسانی هستند؟
با توجه به شباهت بسیار زیاد بین ویروس Stuxnet و Duqu،
احتمال داده میشود همان تشکیلاتی که مسئول ساخت و توزیع ویروس Stuxnet
بودند، پشت ویروس Duqu هم باشند. با آنکه به اثبات نرسیده، تقریباً همه
کارشناسان، دولت آمریکا و اسرائیل را عامل اصلی ساخت و انتشار ویروس
Stuxnet دانستهاند.
از طرف دیگر، برخی کارشناسان، شباهت برنامه نویسی بین دو
ویروس را چندان با اهمیت ندانسته و کپی برداری از ویروس های قدیمی برای
ساخت ویروس های جدید را یک امر عادی و متداول می دانند. با توجه به مطرح
شدن گسترده ویروس Stuxnet در رسانه های عمومی، استفاده مجدد از این ویروس
برای ساخت یک ویروس دیگر و انجام یک کار مشابه، اقدام ناشیانهای به نظر می
رسد که از مراکزی مانند دولت های آمریکا و اسرائیل بعید می باشد.
از کجا بدانیم آلوده به ویروس Duqu شدهایم؟
ضدویروس McAfee از اوایل هفته گذشته، با فایل های بروز رسانی
DAT 6501 و به بعد، قادر به شناسایی ویروس Duqu است. البته احتمال دارد که
گونههای جدید و جهش یافته این ویروس در طی روزهای آبنده ظاهر شود. لذا به
همه کاربران توصیه میشود، ضدویروس خود را همواره به روز نگهدارند.
اهمیت و خطر ویروس Duqu تا چه حد جدی است؟
در حال حاضر با از کار انداختن مرکز فرماندهی این ویروس،
فعالیت چندانی از ویروس Duqu مشاهده نمیشود. البته امکان دارد که این
ویروس قادر باشد با مراکز فرماندهی متعدی ارتباط برقرار کند. هنوز ساختار
ویروس Duqu به دقت بررسی نشده و مشخص نیست که ویروس قابلیت برقراری ارتباط
با دیگر مراکز فرماندهی را داشته باشد. از طرف دیگر، برخی کارشناسان
معتقدند که تنها شباهت برنامه نویسی بین دو ویروس Duqu و Stuxnet باعث مطرح
شدن گسترده این ویروس جدید شده وگرنه هزاران ویروس هم ردیف ویروس Duqu هر
روز ظاهر و کشف می شوند.
ویروس Duqu را چه شخص و مرکزی کشف کرده است؟
این موضوع فعلاً محرمانه است و فقط گفته میشود که توسط یک
گروه از کارشناسان امنیتی این ویروس کشف شده است. البته یک شرکت امنیتی
کوچک در مجارستان هم ادعای کشف این ویروس را دارد.