«هدف اصلی استاکس‌نت، تولیدکننده سانتریفوژهای نطنز بود»

لابراتوار کاسپرسکی، شرکت روسی امنيت رايانه‌ای، جزئيات جديدی از ابتدای ماجرای جنجال‌بر‌انگيز بدافزار استاکس‌نت در ايران را منتشر کرد و مدعی‌ست تاريخچۀ آلوده شدن تاسيسات کامپيوتری مرتبط با برنامۀ غنی‌سازی اورانيوم در ايران طولانی‌تر از آن است که تاکنون پنداشته می‌شد.

کارشناسان لابراتوار کاسپرسکی بر اين باورند که شرکت «کالا الکتريک» که در توليد سانريفيوژ برای تاسيسات اتمی نطنز نقش داشته، هدف اصلی نخستين حمله، و شرکت «مهندسی به‌پژوه» درگاه ورود اين ويروس به شبکۀ جهانی بود. آنا رايسکايا، گزارشگر رادیو فردا در اوکراین با آلکساندر گوستف (Alexander Gostev) کارشناس ارشد ضدويروس در کاسپرسکی در اين باره گفتگو کرد:

Your browser doesn’t support HTML5

گفتگوی آنا رايسکايا با آلکساندر گوستف از کاسپرسکی

چرا شما کار بر روی پروژه استاکس‌نت را ادامه داديد؟ آيا اين کنجکاوی خود شرکت کاسپرسکی بود يا به سفارش سازمان‌های اتمی ايران يا روسيه اين کار را انجام می‌دهيد؟

در حقيقت تحقيق بر روی استاکس‌نت هيچ وقت متوقف نشد. از سال ۲۰۱۰ (۱۳۸۹) که اين بدافزار را شناختيم، تحقيق بر روی آن شروع شد و تا امروز ادامه دارد. در چهارچوب اين پژوهش، اوايل سال جاری ميلادی نخستين نسخهٔ استاکس‌نت که در سال ۲۰۰۷ (۱۳۸۶) توليد شده بود کشف شد که ما را به مدت‌ها پيش از حملۀ اصلی اين بدافزار برمی‌گرداند.

ماجرای استاکس‌نت به پايان نرسيده و ما در کنار شرکت‌های مختلف در اين زمينه تحقيق می‌کنيم، از جمله سايمانتک که همکار اصلی ما در کاوش پيرامون اين موضوع است.
اطلاعاتی که ديروز منتشر کرديم و در آن مشخص شد کدام شرکت‌ها اولين قربانيان استاکس‌نت بوده‌اند، با انتشار کتاب روزنامه‌نگار آمريکايی کيم زتر (Kim Zetter) دربارۀ تاريخچۀ پيدايش و تحقيق استاکس‌نت ارتباط دارد. ما به عنوان کارشناس در تاليف اين کتاب مشارکت فعال داشتيم و حتی می‌شود گفت که کتاب بر پایۀ گفتگو با ما نوشته شده است.

در حقيقت اين‌که کدام شرکت‌ها و سازمان‌ها اولين قربانيان اين بدافزار بوده‌اند اطلاعات جديدی نيست و ما اين موضوع را از يک سال و نيم پيش می‌دانستيم و شرکت سايمانتک در فوريه ۲۰۱۱ (بهمن ۱۳۸۹) در اين‌باره خبر داده بود، البته بدون ذکر نام اين سازمان‌ها. ما در اين مدت بر روی مسايلی مرتبط با اين ويروس کار می‌کرديم که فوريت بيشتری داشت. اما اکنون که کتاب جديد دربارۀ استاکس‌نت به بازار عرضه شده به ياد آورديم که اطلاعاتی در اين‌باره در اختيار داريم که ارزش ارائه به مخاطب را دارد و به همين دليل با همکاری سايمانتک اين اطلاعات را منتشر کرديم.

قبل از اينکه گفتگوی‌مان را راجع به اطلاعات اخيراً منتشر شده از سوی شرکت شما ادامه بدهيم می‌خواستم بپرسم آيا درست متوجه شدم که استاکس‌نت از روی شبکهٔ مجازی محو نشده و هنوز به حيات خود ادامه می‌دهد؟ آيا ادامۀ پژوهش شما به معنای آن است که خطر آلوده شدن رايانه‌ها به اين بدافزار همچنان وجود دارد؟

نه، خوشبختانه استاکس‌نت ديگر تکثير نمی‌شود. در حقيقت در کدنويسی اين ويروس دستور عدم انتشار به صورت خودکار جاسازی شده بود که در تابستان ۲۰۱۲ (۱۳۹۱) فعال شد. اکنون بيش از دو سال است که اين بدافزار خود را غيرقابل انتشار کرده و رايانه‌های جديد را آلوده نمی‌کند. اما استاکس‌نت در سيستم‌هايی که به اين بدافزار آلوده شده و درمان نشده‌اند به فعاليت خود ادامه می‌دهد.

وقتی می‌گويم ماجرای استاکس‌نت هنوز تمام نشده، منظورم اين است که تحقيق بر روی آن ادامه دارد. ما اکنون تلاش می‌کنيم حداکثر اطلاعات از گذشتۀ اين ويروس را جمع‌آوری کنيم تا بفهميم اين ماجرا از کجا شروع شد. چندی قبل نگارشی از استاکس‌نت کشف شد مربوط به سال ۲۰۰۷ (۱۳۸۶). حتی برخی سرنخ‌ها به سال ۲۰۰۳ (۱۳۸۲) می‌رسند. ما داريم به صورت معکوس به گذشته بازمی‌گرديم تا شايد نسخۀ ابتدايی‌تر از اين هم کشف کنيم.

بسيار خوب، برای ما تعريف کنيد که شما اخيراً چه اطلاعاتی را دربارهٔ اين بدافزار در اختيار عموم قرار داده‌ايد؟

ما نام پنج سازمان و شرکت در ايران که اولين اهداف و قربانيان استاکس‌نت بوده‌اند را منتشر کرديم و اين‌که اين شرکت‌ها در سال۲۰۰۹ (۱۳۸۸)و يا (۱۳۸۹) ۲۰۱۰ و برخی از آن‌ها در هر دو سال مورد هدف قرار گرفتند. شناخت سازمان‌ها‌ی هدف مسائل بسياری را برای کسانی که می‌خواهند به عمق و ريشۀ اين حمله پی ببرند، روشن می‌کند. با کنار هم چيدن اين اطلاعات می‌توان فهميد مهاجمان چطور سعی کرده‌اند به هدف خود برسند.

شرکت‌های قربانی اين حمله همه در بخش غنی‌سازی اورانيوم فعالند يا برای اين بخش خدمات ارائه می‌دهند و همه در فهرست تحريم‌های ايالات متحده قرار دارند. اين شرکت‌ها به دليل واردات کالاهايی که ممکن است در ساخت سلاح هسته‌ای مورد استفاده قرار گيرد در فهرست سياه آمريکا جا گرفته‌اند. سازندگان استاکس‌نت از اين شرکت‌ها استفاده کردند تا هدف نهايی خود را مورد حمله قرار دهند.

همه متفق‌القولند که اين هدف نهايی، کارخانه غنی‌سازی اورانيوم نطنز بود و استاکس‌نت پس از نفوذ به تاسيسات اتمی نطنز می‌بايد سانتريفيوژهای اين سايت را از کار می‌انداخت. حمله به اين تاسيسات به طور مستقيم غيرممکن بود به دليل آنکه مشخصاً اين سايت به اينترنت متصل نيست و تنها راه نفوذ کدهای مخرب، آلوده کردن شرکت‌های همکار بود به اين اميد که دير يا زود يک حافظۀ جانبی يو‌اس‌بی آلوده از اين شرکت‌ها به نطنز راه پيدا کند.

در اطلاعاتی که شما منتشر کرده‌ايد آمده که انتقال استاکس‌نت به ايران از طريق حافظۀ جانبی يو‌اس‌بی نبوده. ممکن است در اين باره بيشتر توضيح دهيد؟

يکی از نظريه‌های پيشين اين بود که استاکس‌نت با يک حامل يو‌اس‌بی به نطنز وارد شد و از نطنز سفر جهانی خود را آغاز کرد. اما کشفيات جديد ما اين نظريه را کاملاً منتفی می‌داند. با توجه به اطلاعات جديد، استاکس‌نت تنها ساعاتی پس از تکميل کدنويسی‌اش به ايران رسيد و بسيار بعيد است که سازندگانش می‌توانستند ظرف چند ساعت حافظۀ جانبی آلوده به اين ويروس را به ايران منتقل، و رايانه‌ای در نطنز را به آن آلوده کنند. به احتمال زياد با حمله‌ای از گونه‌ای ديگر سروکار داريم.

يک احتمال اين است که استاکس‌نت از طريق نامۀ الکترونيکی ارسال شده باشد اما در اين صورت بخشی از اطلاعات‌مان دربارۀ اين ويروس همچنان ناقص است زيرا نامۀ حاوی آن که به کاربران ارسال شده را در اختيار نداريم. راه دوم، آلوده شدن سروری‌ست‌ از راه دور و از طريق يک نقص امنيتی سيستم عامل ويندوز، و بازهم در اينجا عرصۀ جديد برای تحقيق پيش روی ما باز است.

بارها شنيده‌ايم که استاکس‌نت برنامۀ اتمی ايران را چندين سال به تعويق انداخته. آيا می‌توانيد توضيح بدهيد اين ويروس دقيقاً چگونه اين کار را کرده است؟

در واقع ما اطلاع دقيقی دربارۀ اين‌که آيا استاکس‌نت به نطنز رسوخ پيدا کرد يا نه، نداريم و از روی شواهد غيرمستقيم چنين برداشتی را می‌کنيم. از گزارش‌های آژانس بين‌المللی انرژی اتمی مشخص می‌شود که در پاييز ۲۰۰۹ (۱۳۸۸) يعنی زمانی که اولين نسخۀ استاکس‌نت وجود داشت، شمار سانتريفيوژهای فعال نطنز کاهش يافت. دست‌کم هزار سانتريفيوژ غيرفعال، و ظرفيت غنی‌سازی يک سوم کم شد. بازگشت به سطح توليد پيش از اين اتفاق چند سال زمان برد. اما ما نمی‌دانيم آيا اين افت حجم غنی‌سازی نتيجۀ عملکرد استاکس‌نت بود يا دليل ديگری داشت.

آيا کاوش‌های شما می‌تواند دريچه‌ای به سوی شناسايی کسانی‌که پشت ساخت استاکس‌نت هستند، بگشايد؟

هدف ما پيدا کردن مظنون نيست. ما به دنبال مشخصات فنی اين حمله و ويژگی‌های فن‌آوری‌ای که در ساخت اين بدافزار به کار رفته، هستيم. ما نمی‌توانيم با اطلاعات فنی‌ای که در دست داريم اين نظريه‌ را که از همان سال ۲۰۱۰ (۱۳۸۹) مطرح شد و براساس آن آمريکا ويا اسرائيل مظنون ساخت استاکس‌نت هستند، رد يا تاييد کنيم. در سال ۲۰۱۲ (۱۳۹۱) خبرنگار آمريکايی ديويد سانگر (David Sanger) گزارش داد که در سال ۲۰۰۸ (۱۳۸۷) رئيس‌جمهور اوباما اجرای طرحی با اسم رمز «بازی‌های المپيک» را امضا کرد که هدف آن، خرابکاری در برنامۀ اتمی ايران بود و بسياری بر اين باورند که استاکس‌نت در چهارچوب اين طرح ساخته شد. ما نمی‌دانيم اين گفته‌ها صحت دارد يا نه اما امروزه در ماجرای استاکس‌نت اين نظريه غالب است.

پس از حملۀ استاکس‌نت، بدافزارهای ديگر نيز تلاش کرده‌اند برنامۀ اتمی ايران را مورد هدف قرار دهند. آيا فليم يا اکتبر سرخ ويا... ساختۀ يک گروه‌ هستند يا ارتباطی به هم ندارند؟

زمانی که در سال ۲۰۱۲ (۱۳۹۱) بدافزار فليم را شناسايی کرديم، متوجه شديم که در نسخۀ سال ۲۰۰۹ (۱۳۸۸) استاکس‌نت برخی از اجزای فليم استفاده شده بود اما در نسخۀ ۲۰۱۰ (۱۳۸۹) استاکس‌نت اين اجزا ناپديد شد. اين بدان معناست که سازندگان فليم با سازندگان استاکس‌نت در سال‌های ۲۰۰۹-۲۰۰۸ (۱۳۸۸-۱۳۸۷) همکاری می‌کرده‌اند.

در سال ۲۰۱۰ (۱۳۸۹) اين همکاری قطع شده و از آن سال با دو گروه مجزا سروکار داريم. گروه اول مسئوليت توليد استاکس‌نت و دوکو، ديگر بدافزاری که به دنبال شرکت‌های ايرانی بود را برعهده داشتند. گروه دوم، توليدکنندگان فليم و برادر تنی‌اش، گائوس که در بانک‌های لبنانی جاسوسی می‌کرد، هستند. به عبارت ديگر، استاکس‌نت و دوکو، از يک سو، و فليم و گائوس از سوی ديگر، دو طرح موازی هستند و دو گروه جداگانه بر روی آنها کار می‌کردند. استاکس‌نت برای ما روشن کرد که اين دو گروه در دوره‌ای با هم همکاری می‌کرده‌اند.

بدافزارهای مشهور ديگر همچون اکتبر سرخ نه با استاکس‌نت و نه با فليم ربطی ندارد و تقريباً مطمئنيم که سازندگان اکتبر سرخ روس‌زبان هستند.