لابراتوار کاسپرسکی، شرکت روسی امنيت رايانهای، جزئيات جديدی از ابتدای ماجرای جنجالبرانگيز بدافزار استاکسنت در ايران را منتشر کرد و مدعیست تاريخچۀ آلوده شدن تاسيسات کامپيوتری مرتبط با برنامۀ غنیسازی اورانيوم در ايران طولانیتر از آن است که تاکنون پنداشته میشد.
کارشناسان لابراتوار کاسپرسکی بر اين باورند که شرکت «کالا الکتريک» که در توليد سانريفيوژ برای تاسيسات اتمی نطنز نقش داشته، هدف اصلی نخستين حمله، و شرکت «مهندسی بهپژوه» درگاه ورود اين ويروس به شبکۀ جهانی بود. آنا رايسکايا، گزارشگر رادیو فردا در اوکراین با آلکساندر گوستف (Alexander Gostev) کارشناس ارشد ضدويروس در کاسپرسکی در اين باره گفتگو کرد:
Your browser doesn’t support HTML5
چرا شما کار بر روی پروژه استاکسنت را ادامه داديد؟ آيا اين کنجکاوی خود شرکت کاسپرسکی بود يا به سفارش سازمانهای اتمی ايران يا روسيه اين کار را انجام میدهيد؟
در حقيقت تحقيق بر روی استاکسنت هيچ وقت متوقف نشد. از سال ۲۰۱۰ (۱۳۸۹) که اين بدافزار را شناختيم، تحقيق بر روی آن شروع شد و تا امروز ادامه دارد. در چهارچوب اين پژوهش، اوايل سال جاری ميلادی نخستين نسخهٔ استاکسنت که در سال ۲۰۰۷ (۱۳۸۶) توليد شده بود کشف شد که ما را به مدتها پيش از حملۀ اصلی اين بدافزار برمیگرداند.
ماجرای استاکسنت به پايان نرسيده و ما در کنار شرکتهای مختلف در اين زمينه تحقيق میکنيم، از جمله سايمانتک که همکار اصلی ما در کاوش پيرامون اين موضوع است.
اطلاعاتی که ديروز منتشر کرديم و در آن مشخص شد کدام شرکتها اولين قربانيان استاکسنت بودهاند، با انتشار کتاب روزنامهنگار آمريکايی کيم زتر (Kim Zetter) دربارۀ تاريخچۀ پيدايش و تحقيق استاکسنت ارتباط دارد. ما به عنوان کارشناس در تاليف اين کتاب مشارکت فعال داشتيم و حتی میشود گفت که کتاب بر پایۀ گفتگو با ما نوشته شده است.
در حقيقت اينکه کدام شرکتها و سازمانها اولين قربانيان اين بدافزار بودهاند اطلاعات جديدی نيست و ما اين موضوع را از يک سال و نيم پيش میدانستيم و شرکت سايمانتک در فوريه ۲۰۱۱ (بهمن ۱۳۸۹) در اينباره خبر داده بود، البته بدون ذکر نام اين سازمانها. ما در اين مدت بر روی مسايلی مرتبط با اين ويروس کار میکرديم که فوريت بيشتری داشت. اما اکنون که کتاب جديد دربارۀ استاکسنت به بازار عرضه شده به ياد آورديم که اطلاعاتی در اينباره در اختيار داريم که ارزش ارائه به مخاطب را دارد و به همين دليل با همکاری سايمانتک اين اطلاعات را منتشر کرديم.
قبل از اينکه گفتگویمان را راجع به اطلاعات اخيراً منتشر شده از سوی شرکت شما ادامه بدهيم میخواستم بپرسم آيا درست متوجه شدم که استاکسنت از روی شبکهٔ مجازی محو نشده و هنوز به حيات خود ادامه میدهد؟ آيا ادامۀ پژوهش شما به معنای آن است که خطر آلوده شدن رايانهها به اين بدافزار همچنان وجود دارد؟
نه، خوشبختانه استاکسنت ديگر تکثير نمیشود. در حقيقت در کدنويسی اين ويروس دستور عدم انتشار به صورت خودکار جاسازی شده بود که در تابستان ۲۰۱۲ (۱۳۹۱) فعال شد. اکنون بيش از دو سال است که اين بدافزار خود را غيرقابل انتشار کرده و رايانههای جديد را آلوده نمیکند. اما استاکسنت در سيستمهايی که به اين بدافزار آلوده شده و درمان نشدهاند به فعاليت خود ادامه میدهد.
وقتی میگويم ماجرای استاکسنت هنوز تمام نشده، منظورم اين است که تحقيق بر روی آن ادامه دارد. ما اکنون تلاش میکنيم حداکثر اطلاعات از گذشتۀ اين ويروس را جمعآوری کنيم تا بفهميم اين ماجرا از کجا شروع شد. چندی قبل نگارشی از استاکسنت کشف شد مربوط به سال ۲۰۰۷ (۱۳۸۶). حتی برخی سرنخها به سال ۲۰۰۳ (۱۳۸۲) میرسند. ما داريم به صورت معکوس به گذشته بازمیگرديم تا شايد نسخۀ ابتدايیتر از اين هم کشف کنيم.
بسيار خوب، برای ما تعريف کنيد که شما اخيراً چه اطلاعاتی را دربارهٔ اين بدافزار در اختيار عموم قرار دادهايد؟
ما نام پنج سازمان و شرکت در ايران که اولين اهداف و قربانيان استاکسنت بودهاند را منتشر کرديم و اينکه اين شرکتها در سال۲۰۰۹ (۱۳۸۸)و يا (۱۳۸۹) ۲۰۱۰ و برخی از آنها در هر دو سال مورد هدف قرار گرفتند. شناخت سازمانهای هدف مسائل بسياری را برای کسانی که میخواهند به عمق و ريشۀ اين حمله پی ببرند، روشن میکند. با کنار هم چيدن اين اطلاعات میتوان فهميد مهاجمان چطور سعی کردهاند به هدف خود برسند.
شرکتهای قربانی اين حمله همه در بخش غنیسازی اورانيوم فعالند يا برای اين بخش خدمات ارائه میدهند و همه در فهرست تحريمهای ايالات متحده قرار دارند. اين شرکتها به دليل واردات کالاهايی که ممکن است در ساخت سلاح هستهای مورد استفاده قرار گيرد در فهرست سياه آمريکا جا گرفتهاند. سازندگان استاکسنت از اين شرکتها استفاده کردند تا هدف نهايی خود را مورد حمله قرار دهند.
همه متفقالقولند که اين هدف نهايی، کارخانه غنیسازی اورانيوم نطنز بود و استاکسنت پس از نفوذ به تاسيسات اتمی نطنز میبايد سانتريفيوژهای اين سايت را از کار میانداخت. حمله به اين تاسيسات به طور مستقيم غيرممکن بود به دليل آنکه مشخصاً اين سايت به اينترنت متصل نيست و تنها راه نفوذ کدهای مخرب، آلوده کردن شرکتهای همکار بود به اين اميد که دير يا زود يک حافظۀ جانبی يواسبی آلوده از اين شرکتها به نطنز راه پيدا کند.
در اطلاعاتی که شما منتشر کردهايد آمده که انتقال استاکسنت به ايران از طريق حافظۀ جانبی يواسبی نبوده. ممکن است در اين باره بيشتر توضيح دهيد؟
يکی از نظريههای پيشين اين بود که استاکسنت با يک حامل يواسبی به نطنز وارد شد و از نطنز سفر جهانی خود را آغاز کرد. اما کشفيات جديد ما اين نظريه را کاملاً منتفی میداند. با توجه به اطلاعات جديد، استاکسنت تنها ساعاتی پس از تکميل کدنويسیاش به ايران رسيد و بسيار بعيد است که سازندگانش میتوانستند ظرف چند ساعت حافظۀ جانبی آلوده به اين ويروس را به ايران منتقل، و رايانهای در نطنز را به آن آلوده کنند. به احتمال زياد با حملهای از گونهای ديگر سروکار داريم.
يک احتمال اين است که استاکسنت از طريق نامۀ الکترونيکی ارسال شده باشد اما در اين صورت بخشی از اطلاعاتمان دربارۀ اين ويروس همچنان ناقص است زيرا نامۀ حاوی آن که به کاربران ارسال شده را در اختيار نداريم. راه دوم، آلوده شدن سروریست از راه دور و از طريق يک نقص امنيتی سيستم عامل ويندوز، و بازهم در اينجا عرصۀ جديد برای تحقيق پيش روی ما باز است.
بارها شنيدهايم که استاکسنت برنامۀ اتمی ايران را چندين سال به تعويق انداخته. آيا میتوانيد توضيح بدهيد اين ويروس دقيقاً چگونه اين کار را کرده است؟
در واقع ما اطلاع دقيقی دربارۀ اينکه آيا استاکسنت به نطنز رسوخ پيدا کرد يا نه، نداريم و از روی شواهد غيرمستقيم چنين برداشتی را میکنيم. از گزارشهای آژانس بينالمللی انرژی اتمی مشخص میشود که در پاييز ۲۰۰۹ (۱۳۸۸) يعنی زمانی که اولين نسخۀ استاکسنت وجود داشت، شمار سانتريفيوژهای فعال نطنز کاهش يافت. دستکم هزار سانتريفيوژ غيرفعال، و ظرفيت غنیسازی يک سوم کم شد. بازگشت به سطح توليد پيش از اين اتفاق چند سال زمان برد. اما ما نمیدانيم آيا اين افت حجم غنیسازی نتيجۀ عملکرد استاکسنت بود يا دليل ديگری داشت.
آيا کاوشهای شما میتواند دريچهای به سوی شناسايی کسانیکه پشت ساخت استاکسنت هستند، بگشايد؟
هدف ما پيدا کردن مظنون نيست. ما به دنبال مشخصات فنی اين حمله و ويژگیهای فنآوریای که در ساخت اين بدافزار به کار رفته، هستيم. ما نمیتوانيم با اطلاعات فنیای که در دست داريم اين نظريه را که از همان سال ۲۰۱۰ (۱۳۸۹) مطرح شد و براساس آن آمريکا ويا اسرائيل مظنون ساخت استاکسنت هستند، رد يا تاييد کنيم. در سال ۲۰۱۲ (۱۳۹۱) خبرنگار آمريکايی ديويد سانگر (David Sanger) گزارش داد که در سال ۲۰۰۸ (۱۳۸۷) رئيسجمهور اوباما اجرای طرحی با اسم رمز «بازیهای المپيک» را امضا کرد که هدف آن، خرابکاری در برنامۀ اتمی ايران بود و بسياری بر اين باورند که استاکسنت در چهارچوب اين طرح ساخته شد. ما نمیدانيم اين گفتهها صحت دارد يا نه اما امروزه در ماجرای استاکسنت اين نظريه غالب است.
پس از حملۀ استاکسنت، بدافزارهای ديگر نيز تلاش کردهاند برنامۀ اتمی ايران را مورد هدف قرار دهند. آيا فليم يا اکتبر سرخ ويا... ساختۀ يک گروه هستند يا ارتباطی به هم ندارند؟
زمانی که در سال ۲۰۱۲ (۱۳۹۱) بدافزار فليم را شناسايی کرديم، متوجه شديم که در نسخۀ سال ۲۰۰۹ (۱۳۸۸) استاکسنت برخی از اجزای فليم استفاده شده بود اما در نسخۀ ۲۰۱۰ (۱۳۸۹) استاکسنت اين اجزا ناپديد شد. اين بدان معناست که سازندگان فليم با سازندگان استاکسنت در سالهای ۲۰۰۹-۲۰۰۸ (۱۳۸۸-۱۳۸۷) همکاری میکردهاند.
در سال ۲۰۱۰ (۱۳۸۹) اين همکاری قطع شده و از آن سال با دو گروه مجزا سروکار داريم. گروه اول مسئوليت توليد استاکسنت و دوکو، ديگر بدافزاری که به دنبال شرکتهای ايرانی بود را برعهده داشتند. گروه دوم، توليدکنندگان فليم و برادر تنیاش، گائوس که در بانکهای لبنانی جاسوسی میکرد، هستند. به عبارت ديگر، استاکسنت و دوکو، از يک سو، و فليم و گائوس از سوی ديگر، دو طرح موازی هستند و دو گروه جداگانه بر روی آنها کار میکردند. استاکسنت برای ما روشن کرد که اين دو گروه در دورهای با هم همکاری میکردهاند.
بدافزارهای مشهور ديگر همچون اکتبر سرخ نه با استاکسنت و نه با فليم ربطی ندارد و تقريباً مطمئنيم که سازندگان اکتبر سرخ روسزبان هستند.