بدافزار ناریلام و تهدید شرکت‌های ایرانی

به روز شده:  11:07 گرينويچ - دوشنبه 26 نوامبر 2012 - 06 آذر 1391

توزیع کرم ناریلام روی نقشه جهان. ایران بیشترین میزان آلودگی را دارد

به تازگی بدافزار جدیدی کشف شده که ظاهراً به طور خاص سیستم‌های رایانه‌ای ایران را هدف قرار داده است.

شرکت سیمانتک، تولیدکننده نرم‌افزارهای ضدویروس‌ نورتون در کلیک گزارشی، این کرم تازه را دبلیو ۳۲ ناریلام (W32.Narilam) نام‌گذاری کرده و می‌گوید این بدافزار، پایگاه داده‌های Microsoft SQL را با جایگزین کردن تصادفی محتویات، تخریب و به این طریق در نرم‌افزارهای مالی و حسابداری خرابکاری می‌کند.

به گفته سیمانتک، ۹۷ درصد سامانه‌های آلوده به این کرم رایانه‌ای، کامپیوترهای شرکت‌ها و سازمان‌ها بوده‌اند و کامپیوترهای شخصی میزان آلودگی به مراتب کمتری داشته‌اند.

طبق یافته‌های شرکت سیمانتک، این بدافزار عمدتاً در خاورمیانه فعال است و میزان توزیع آن در ایران بسیار بالاتر از کشورهای دیگر منطقه است اما مواردی در بریتانیا و آمریکا هم گزارش شده است.

این بدافزار همچون کرم‌های دیگر خود را روی دستگاه‌ها کپی کرده و از راه حافظه‌ها و درایوهای قابل حمل و شبکه گسترش پیدا می‌کند.

تا اینجا، این یک رفتار طبیعی چون بدافزارهای دیگر است اما هدف این کرم این بار ایجاد نوعی آشفتگی در پایگاه داده شرکت‌ها و به طور مشخص سامانه‌های مالی آنها است.

نرم‌افزارهای مالی تهدیدشده توسط کرم ناریلام

  • نرم‌افزار جامع مالیران برای كاربری در شركت‌های متوسط و بزرگ طراحی شده و كاربران این برنامه می‌توانند كلیه فعالیت‌های حسابداری، انبار، فروش، تداركات و سفارشات، دریافت و پرداخت وجوه نقد و اسناد بهادار، گردش عملیات بانكی، حقوق و دستمزد و گزارش‌های مرتبط را از سیستم‌ها دریافت كنند.
  • نرم‌افزار یكپارچه مالی و بازرگانی شهد برای كاربری در شركت‌ها و مؤسسات تجاری طراحی شده و كاربران این برنامه می‌توانند كلیه فعالیت‌های خرید و فروش كالا، دریافت و پرداخت وجوه نقد و اسناد بهادار، گردش عملیات بانكی و موارد مشابه را ثبت كرده و مانده حساب مشتریان و بستانكاران خود را مشاهده نمایند.

این بدافزار پایگاه داده‌های اس‌کیو‌ال مایکروسافت را تغییر داده و به‌روزرسانی می‌کند. هدف آن به طور مشخص پایگاه داده سه نرم‌افزار به نام‌های علیم، مالیران و شهد است.

برنامه‌های شهد و مالیران ظاهرا از تولیدات شرکت طراح سیستم هستند. نرم‌افزار جامع مالیران برای شرکت‌ها و تعاونی‌های مصرف و نرم‌افزار یکپارچه شهد برای شرکت‌های بازرگانی و فروشگاه‌ها طراحی شده‌اند. نام این کرم یعنی ناریلام هم در واقع برعکس واژه مالیران است.

ناریلام هیچ علاقه‌ای به سرقت اطلاعات از سیستم‌های آلوده ندارد و به نظر می‌رسد به طور خاص برای صدمه زدن به اطلاعات در پایگاه داده برنامه‌ریزی شده است.

با توجه به رد پاهایی که از اسامی اشیاء و جدول‌هایی که در این کرم به دست آمده است، هدف آن آسیب‌رسانی به بخش‌های مربوط به سفارش، حسابداری، و موارد مرتبط با مشتریان شرکت‌ها است.

این کرم مقادیر رکوردهای پایگاه داده‌ها را به طور تصادفی جابه‌جا می‌کند و سازمان آسیب‌دیده احتمالاً به اختلالی قابل توجه در سامانه مالی و حسابرسی و حتی از دست دادن اطلاعات مالی دچار می‌شود.

هدف این کرم، دزدی اطلاعات مالی نیست، بلکه تخریب آنهاست و با توجه به بررسی‌ها، هدف اصلی، بخش‌های مربوط به سفارش‌ها، حسابداری و سامانه‌های مدیریت مشتریان شرکت‌ها است.

بیش از ۹۷% کامپیوترهای آلوده مربوط به بخش بازرگانی و شرکت‌های تجاری هستند

پژوهش‌های انجام‌گرفته توسط شرکت سیمانتک نشان می‌دهد که بیش از ۹۷ درصد قربانیان این کرم کاربران مرتبط با بخش‌های تجاری هستند.

به جز شرکت‌هایی که نسخه‌های پشتیبان مناسبی را پیش از این از سامانه‌های خود تهیه کرده‌اند، بازگرداندن اطلاعات از دست رفته بسیار مشکل خواهد بود.

به عنوان تروجانی که هدفش آسیب‌رسانی به پایگاه‌داده‌ها بدون تهیه یک کپی از مقادیر آن است، عملیات بازیابی اطلاعات راهی بسیار طولانی و صعب به حساب می‌آید.

در سال‌های اخیر میزان بدافزارهایی که به طور خاص ایران را مورد هدف قرار داده‌اند، رو به فزونی گذاشته است.

این حملات در ابتدا در قالب ویروس‌هایی نظیر استاکس نت، دوکو و فلیم، تأسیسات هسته‌ای ایران را مورد حمله قرار دادند اما اکنون گستره‌ای وسیع‌تر یافته و متوجه تأسیسات نفتی و بانکی و دیگر نهادهای ایران نظیر وزارت علوم، تحقیقات و فناوری ایران و سامانه مخابراتی و وب سایت وزارت نفت ایران شده‌اند.

برخی از کارشناسان معتقدند طراحی چنین بدافزارهایی نیاز به نیروی انسانی و پشتیبانی مالی زیادی دارد که تأمین آن تنها از سوی دولت‌ها میسر است.

کرم ناریلام جداول و اشیائی در پایگاه داده نرم‌افزارها را هدف می‌گیرد که نامی مشخص و بعضاً فارسی دارند. این موضوع نشان می‌دهد که طراح یا طراحان به طور دقیق به نحوه کارکرد این نرم‌افزارها آشنایی داشته و بر چگونگی کار آن مسلط بوده‌اند.

مقامات جمهوری اسلامی در موضعگیری علیه حملات سایبری تا کنون از یک سو بر موفقیت در فائق آمدن بر حملات سخن گفته‌اند و از طرف دیگر گاه اذعان کرده‌اند که ایران در این حوزه به اندازه کافی آماده نبوده است.

تاکنون واکنشی از سوی شرکت‌های تولیدکننده نرم‌افزارهای مالی، شرکت‌های تجاری، قربانیان احتمالی یا مقامات مسؤول در قبال آلودگی توسط بدافزار ناریلام گزارش نشده است.

در این زمینه بیشتر بخوانید

BBC © 2014 بی بی سی مسئول محتوای سایت های دیگر نیست

بهترین روش دیدن این صفحه بر روی آخرین مرورگر مجهز به CSS است. با اینکه مرورگر کنونی تان قابلیت نمایش سایت را دارد ولی امکان بهترین تجربه تصویری را به شما نمی دهد . لطفا در صورت امکان مرورگر خود را به آخرین نسخه ارتقا دهید.