ویروس اسراییلی Duqu 2.0 و جاسوسی در هتل محل مذاکرات هسته‌ای ایران با غرب

پارسال وقتی یک شرکت امنیت سایبری متوجه شد که به وسیله یک ویروس که گفته می‌شد جاسوسان اسراییلی از آن استفاده می‌کردند، هک شده است، تصمیم گرفت که ببیند دیگر اهداف این ویروس چه کسانی بوده‌اند. کمپانی روسی کسپرسکی، میلیون‌ها کامپیوتر را در سراسر جهان مورد بررسی قرار داد و در بین اهداف این ویروس نام سه هتل مجلل اروپایی هم دیده می‌شد. جالب این که بقیه هتل‌هایی که مورد بررسی قرار گرفتند، پاک بودند و خبری از این ویروس در آنها نبود. پژوهشگران این کمپانی ابتدا نمی‌دانستند که نتایج به دست آمده از این پژوهش چه چیزی را نشان می‌دهد، تا این که متوجه شدند، سه هتل اروپایی آلوده به این ویروس در یک چیز مشترک بودند

 

هر سه آنها درست پیش از مذاکرات بین ایران و قدرت‌های جهانی درباره برنامه هسته‌ای ایران به این ویروس آلوده شده بودند. این نرم‌افزار جاسوسی که حالا در لیست بدافزارهای کسپرسکی قرار گرفته، نسخه بهبود یافته Duqu است؛ ویروسی که در سال ۲۰۱۱ توسط کارشناسان کسپرسکی شناسایی شد. مقامات کنونی و پیشین دولت ایالات متحده و بسیاری کارشناسان امنیت سایبری معتقدند که Duqu به گونه‌ای طراحی شده بود تا بتواند حساس‌ترین برنامه جاسوسی اسراییل را اجرا کند.

 

مقامات رده بالای دولت آمریکا در سال ۲۰۱۴ متوجه جاسوسی اسراییل از مذاکرات هسته‌ای شده بودند و این موضوع در ان زمان رسانه‌ای شد، اما درباره تاکتیک‌های اسراییل برای جاسوسی اطلاعات اندکی ارائه شد.

 

یافته‌های جدید کسپرسکی که روز چهارشنبه برای عموم منتشر شد، نشان داد که هنوز می‌توان از ویروس‌ها برای جاسوسی در سطوح بالا استفاده کرد. نتایج پژوهش‌های کسپرسکی نه تنها اثبات می‌کند که این مذاکرات مورد جاسوسی قرار گرفته، حتی مشخص می‌کند که این جاسوسی از سوی چه کسی یا سازمانی بوده است.

 

مقامات اسراییلی، همواره جاسوسی از ایالات متحده و سایر متحدانشان را تکذیب کرده‌اند، اما اعلام کرده‌اند که همیشه ایرانی‌ها را پایش می‌کنند و آنها را زیر نظر دارند. آنها هیچگاه درباره ویروس Duqu و جاسوسی از هتل محل مذاکرات صحبتی نکرده‌اند و در این باره هیچ پاسخی نداده‌اند.

 

برای آژانس‌های جاسوسی اسراییل هیچ موضوعی مهم‌تر از ایران وجود ندارد. مذاکرات هسته‌ای ایران با غرب که پشت درهای بسته برگزار می‌شد و حالا وارد مراحل پایانی شده هم از این قاعده مستثنی نبوده است. رهبران رژیم صهیونیستی می‌گویند که توافق احتمالی با ایران می‌تواند منجر به آن شود که این کشور به کار بر روی تولید سلاح های هسته‌ای ادامه دهد! موضوعی که بارها توسط ایران رد شده است.

 

کسپرسکی به خاطر سیاست‌های شرکتی‌اش، مسئول هک شدن خودش را کشور اسراییل نمی‌داند. اما محققان این کمپانی به طور غیرمستقیم به ارتباط اسراییل با این موضوع اشاره کرده‌اند. مثلا گزارش اولی که آنها برای رسانه‌ها ارسال کرده بودند، این تیتر را داشت: «The Duqu Bet». دومین حرف از الفبای عبری Bet است. البته آنها در نسخه نهایی گزارششان این تیتر را عوض کردند و کلمه Bet را از آن حذف کردند.

 

محققان کسپرسکی گفته‌اند که هنوز بسیاری از سوالات درباره نحوه عملکرد ویروس و اطلاعات دزدیده شده بی پاسخ مانده‌اند. کاستین رایو، مدیر تیم تحلیل و پژوهش کسپرسکی می‌گوید که این ویروس در بسته‌ای با بیش از ۱۰۰ ماژول مجزا توسعه داده شده بود که به مهاجم این امکان را می‌داد تا کامپیوترهای الوده را تحت کنترل خود بگیرد.

 

یک ماژول برای فشرده‌سازی فیدهای ویدیویی که احتمالا برای دوربین‌های مداربسته هتل کاربرد داشته‌ طراحی شده بود. ماژول‌های دیگر، ارتباطات قربانی را مورد هدف قرار می‌دادند؛ ارتباطاتی چون تلفن‌ها یا ارتباطات و شبکه‌های وای‌فای. مهاجم متوجه می‌شد که چه کسی به سیستم قربانی متصل شده و می‌توانست مکالمات را شنود کرده و فایل‌های الکتریکی را سرقت کند.

 

ویروس همچنین آنها را قادر می‌کرد تا میکروفون‌های آسانسورها و کامپیوترها و سیستم‌های هشدار هتل را تحت کنترل بگیرند. به علاوه، هکرها کامپیوترهای پیشخوان را نیز آلوده کرده بودند، بنابراین می‌توانستند به راحتی بفهمند که کدام افراد در کدام اتاق‌ها اقامت دارند.

 

این ویروس چندین فایل را در کامپیوتر قربانی کپی می‌کند تا مهاجمان بتوانند آن را با خیالی آسوده تحت نظر بگیرند و هر موقع که خواستند، محتوای موجود در آن را تغییر داده یا از بین ببرند. دیوان تحقیق و تفحص فدرال ایالات متحده در حال بررسی تحلیل کسپرسکی است و مستقلا نتایج این کمپانی را تایید نکرده است. مقامات آمریکایی گفته‌اند که از شنیدن این خبر متعجب نشده‌اند و این موضوع را جدی گرفته‌اند.

 

یکی از مقامات ارشد آمریکایی گفت:

 

مقامات ایران، آلمان، فرانسه و بریتانیا درباره این موضوع هنوز اظهار نظری نکرده‌اند.

 

کسپرسکی که از صدها میلیون کامپیوتر در سراسر جهان محافظت می‌کند، متوجه نشد که کامپیوترهای خودش به مدت شش ماه به این ویروس اسراییلی آلوده شده بودند. هکرها و آژانس‌های جاسوسی مدت‌ها است که کمپانی‌های امنیت سایبری را مورد هدف قرار می دهند تا اطلاعات با ارزشی از جدیدترین راهکارها در حوزه امنیت به دست آورند.

 

رایو گفت که مهاجمان اولین بار یک کارمند کسپرسکی را در دفتر ماهواره منطقه آسیا-اقیانوسیه مورد هدف قرار دادند. آنها این کار را از طریق فایل‌های ضمیمه شده به یک ایمیل انجام دادند که در آنها ویروس پنهان شده بود.

 

 با باز کردن این فایل ضمیمه، کارمند مذکور سهوا اجازه داده بود تا ویروس کامپیوتر او را با استفاده از یک ابزار هک به نام اکسپلویت ‍zero day آلوده کند. این نوع ابزارها از حفره‌های ناشناخته برای نفوذ استفاده می‌کنند تا کمپانی‌های نرم‌افزار امنیتی نتوانند از نفوذ زیرکانه آنها جلوگیری کنند. کسپرسکی می‌گوید که هکرها از بیش از دو اکسپلویت zero day برای نفوذ به سیستم‌های این کمپانی بهره جسته‌اند.

 

کسپرسکی و کارشناسان دیگر می‌گویند که تولید و توسعه چنین ابزارهایی بسیار پرهزینه هستند و فقط یک بار گارانتی کارکرد آنها وجود دارد. پس از آن، کمپانی‌ها می‌توانند با استفاده از بروزرسانی‌های امنیتی جلوی کار این ابزارها را بگیرند.

 

محققان حوزه امنیت مثل رایو از کسپرسکی معمولا فقط به دنبال پیدا کردن هکرها نیستند، بلکه تلاش می‌کنند تا ارتباط بین نفوذها را هم مورد بررسی قرار دهند و همچون یک کارآگاه به دنبال رد پاها بگردند. این کار ترکیبی از دانش کامپیوتر، غریزه و شانس است! رایو توانست ارتباط بین این ویروس و Duqu را کشف کند.

 

یکی از مقامات سابق آمریکایی می‌گوید آژانس‌های اطلاعاتی ایالات متحده، Duqu را به عنوان عملیات جاسوسی اسراییل می‌شناسند. کسپرسکی هم در گزارش خود نوشته که ویروس جدید از نظر پیچیدگی آنقدر شبیه به Duqu است که می‌توان گفت قطعا فردی که آن را توسعه داده به کد منبع Duqu دسترسی داشته است.

 

رایو، چند هفته قبل یافته‌های خود را به یکی از دوستانش، بولدیژار بنشات، که محققی در لابراتوار کریپتوگرافی و امنیت سیستم دانشگاه تکنولوژی و اقتصاد بوداپست است، فرستاد. بنشات در سال ۲۰۱۱ در کشف ویروس Duqu سهیم بود. او در مصاحبه‌ای اعلام کرده که این دو ویروس به شدت به هم شبیه هستند. وی می‌گوید برای توسعه ویروسی تا این حد کپی‌برداری شده از Duqu، باید یک تیم ۱۰ نفره متخصص حداقل دو سال تمام روی آن کار کنند، مگر آن که این ویروس توسط همان توسعه‌دهندگان Duqu ساخته شده باشد!

 

اوایل بهار کسپرسکی متوجه حمله دیگری به خودش شد. یکی از کارمندان این شرکت روسی در حالی که یک برنامه امنیتی را روی کامپیوتری تست می‌کرد، متوجه یک ویروس شد. آنها به جای آن که با این ویروس مقابله کرده و آن را از سیستم خود خارج کنند، تصمیم گرفتند یک تیم ویژه برای تحت نظر گرفتن عملکرد آن تشکیل دهند تا ببینند این ویروس چگونه کار می‌کند و چه هدفی را دنبال می‌کند.

 

نحوه عملکرد این ویروس باعث تعجب تیم کسپرسکی شد. این ویروس از یک سیستم به سیستم دیگری نفوذ می‌کرد و بدین صورت به آرامی به چندین و چند کامپیوتر حمله می‌کرد. این ویروس تمام رد پایش را از سیستم‌هایی که علاقه‌ای به اطلاعات موجود در آنها نداشت پاک می‌کرد و تنها یک فایل بسیار کوچک در آنها باقی می‌گذاشت که به او اجازه می‌داد در آینده بتواند دوباره به آن نفوذ کند.

 

رایو می‌گوید که کسپرسکی مدت‌ها است با انواع نفوذهای سایبری مقابله کرده، اما به هیچ عنوان انتظاری ویروسی با این پیچیدگی و دقت را نداشته است. مهاجمین بسیار آهسته در سیستم‌های کسپرسکی نفوذ می‌کردند، تا موجب جلب توجه نشوند. وی می‌گوید بر اساس این رفتار می‌توان حدس زد که احتمالا برای آنها دزدیدن اطلاعات مهم‌تر از هر چیز دیگری بوده است.

 

کسپرسکی ویروس بهبود یافته جدید را Duqu 2.0 نامگذاری کرده و تست‌هایی را مشخص کرده تا ببیند از بین ۲۷۰٫۰۰۰ مشتری‌اش در سراسر دنیا کدام‌ها به این ویروس آلوده شده‌اند. در لیست مشتریان کسپرسکی، نام کمپانی‌های بزرگ حوزه انرژی، بانک‌های اروپایی و هزاران هتل دیده می‌شود. این کمپانی طی بیانیه‌ای اعلام کرده که انتظار ندارد این اتفاق منجر به آسیب‌پذیری بیشتر مشتریانش شود. لابراتوار کسپرسکی مطمئن است که مشتریان و شرکایش کاملا ایمن هستند و این موضوع هیچ تاثیری روی محصولات، تکنولوژی‌ها و خدمات آنها نمی‌گذارد. 

 

آنها آلودگی به این ویروس را فقط در سیستم‌های چند مشتری خاص در  اروپای غربی، آسیا و خاور میانه پیدا کرده‌اند. البته روز چهارشنبه، کمپانی امنیتی آمریکایی سیمنتک اعلام کرد که Duqu 2.0 را بر روی کامپیوترهایی در ایالات متحده هم پیدا کرده است.

 

در بین سیستم‌های آلوده به Duqu 2.0 نام چندین هتل دیده می‌شود. رایو با دیدن نام اولین هتل مشهور اروپایی در لیست هتل‌های آلوده توجهش به موضوعی خاص جلب می‌شود. او قبلا درباره تلاش‌های اسراییل برای جاسوسی مقاله‌ای خوانده بود. این هتل به خاطر مذاکرات هسته‌ای که در آن برگزار می‌شد شهرت داشت، اما رایو مطمئن نبود که آیا می‌تواند نتیجه‌ای از این ماجرا بگیرد یا خیر.

 

اندک زمانی بعد، کسپرسکی همین ویروس را در هتل مجلل دیگری پیدا کرد. در ابتدا رایو ارتباطی بین این هتل و مذاکرات هسته‌ای پیدا نکرد. اما پس از مدتی و تنها چند هفته پس از کشف دومین هتل آلوده به این ویروس، او متوجه شد که دور بعدی مذاکرات هسته‌ای در آنجا برگزار می‌شود. او تیمش شوکه شده بودند. در هر دو مورد، هتل‌ها تنها چند هفته پیش از آغاز مذاکرات به این ویروس آلوده شده بودند.

 

کسپرسکی اطلاعات مربوط به Duqu 2.0 را در اختیار یکی از شرکایش قرار داد تا چند تست را روی ان انجام دهد. جستجوی بیشتر سومین هتل آلوده به این ویروس را هم مشخص کرد. رایو می‌گوید که سومین هتل آخر از همه کشف شد، ولی مشخص شد که پیش از دو هتل دیگر، در سال ۲۰۱۴ به ویروس آلوده شده بوده است.

 

هتل‌هایی که مذاکرات هسته‌ای ایران با غرب در آنها برگزار شد عبارت بودند از: کاخ بو-ریواژ در لوزان سوییس، هتل اینترکانتیننتال ژنو، پاله کوبرگ در وین، هتل پرزیدنت ویلسون ژنو، هتل بایریشرهوف در مونیخ و رویال پلازا مونترو در شهر مونترو سوییس. یکی از سخنگویان هتل بوریواژ اعلام کرده که این هتل از هک شدن سیستم‌هایش اطلاعی نداشته است. 

 

تیم مدیریتی رویال پلازا اعلام کرد:

بقیه هتل‌ها هم واکنشی به این موضوع نشان نداده‌اند.

 

علاوه بر سه هتلی که هک شده بودند، این ویروس در کامپیوترهای محل برگزاری هفتادمین سالگرد یادبود آزادسازی اردوگاه مرگ نازی در آشوویتز هم پیدا شده است. برخی رهبران کشورها نیز در این مراسم شرکت کرده بودند. رایو می‌گوید که کسپرسکی اطلاع ندارد از کامپیوترهای این سه هتل و سایر سیستم‌های آلوده چه اطلاعاتی به سرقت رفته است.

 

یکی از مقامات اطلاعاتی سابق ایالات متحده در این باره می‌گوید: