بدافزار ناریلام و تهدید شرکت‌های ایرانی

توزیع کرم ناریلام روی نقشه جهان. ایران بیشترین میزان آلودگی را دارد

به تازگی بدافزار جدیدی کشف شده که ظاهراً به طور خاص سیستم‌های رایانه‌ای ایران را هدف قرار داده است.

شرکت سیمانتک، تولیدکننده نرم‌افزارهای ویروس‌کش نورتون در کلیک گزارشی، این کرم تازه را دبلیو ۳۲ ناریلام (W32.Narilam) نام‌گذاری کرده و می‌گوید این بدافزار، پایگاه داده‌های Microsoft SQL را با جایگزین کردن تصادفی محتویات، تخریب و به این طریق در نرم‌افزارهای مالی و حسابداری خرابکاری می‌کند.
به گفته سیمانتک، ۹۷ درصد سامانه‌های آلوده به این کرم رایانه‌ای، کامپیوترهای شرکت‌ها و سازمان‌ها بوده‌اند و کامپیوترهای شخصی میزان آلودگی به مراتب کمتری داشته‌اند.

طبق یافته‌های شرکت سیمانتک، این بدافزار عمدتاً در خاورمیانه فعال است و میزان توزیع آن در ایران بسیار بالاتر از کشورهای دیگر منطقه است اما مواردی در بریتانیا و آمریکا هم گزارش شده است.

این بدافزار همچون کرم‌های دیگر خود را روی دستگاه‌ها کپی کرده و از راه حافظه‌ها و درایوهای قابل حمل و شبکه گسترش پیدا می‌کند.

تا اینجا، این یک رفتار طبیعی چون بدافزارهای دیگر است اما هدف این کرم این بار ایجاد نوعی آشفتگی در پایگاه داده شرکت‌ها و به طور مشخص سامانه‌های مالی آنها است.

این بدافزار پایگاه داده‌های اس‌کیو‌ال مایکروسافت رو تغییر داده و به‌روزرسانی می‌کند. هدف آن به طور مشخص پایگاه داده سه نرم‌افزار به نام‌های علیم، مالیران و شهد است.

برنامه‌های شهد و مالیران ظاهرا از تولیدات شرکت طراح سیستم هستند. نرم‌افزار جامع مالیران جهت شرکت‌ها و تعاونی‌های مصرف و نرم‌افزار یکپارچه شهد برای شرکت‌های بازرگانی و فروشگاه‌ها طراحی شده‌اند.

این تروجان هیچ علاقه‌ای به سرقت اطلاعات از سیستم‌های آلوده ندارد و به نظر می‌رسد به طور خاص برای صدمه زدن به اطلاعات در پایگاه داده برنامه‌ریزی شده است.

با توجه به رد پاهایی که از اسامی اشیاء و جدول‌هایی که در این کرم به دست آمده است، هدف آن آسیب‌رسانی به بخش‌های مربوط به سفارش، حسابداری، و موارد مرتبط با مشتریان شرکت‌ها است.

این کرم مقادیر رکوردهای پایگاه داده‌ها را به طور تصادفی جابه‌جا می‌کند و سازمان آسیب‌دیده احتمالاً به اختلالی قابل توجه در سامانه مالی و حسابرسی و حتی از دست دادن اطلاعات مالی دچار می‌شود.

هدف این کرم دزدی اطلاعات مالی نیست، بلکه تخریب آنهاست و با توجه به بررسی‌ها، هدف اصلی، بخش‌های مربوط به سفارش‌ها، حسابداری و سامانه‌های مدیریت مشتریان شرکت‌ها است.

بیش از ۹۷% کامپیوترهای آلوده مربوط به بخش بازرگانی و شرکت‌های تجاری هستند

پژوهش‌های انجام‌گرفته توسط شرکت سیمانتک نشان می‌دهد که بیش از ۹۷ درصد قربانیان این کرم کاربران مرتبط با بخش‌های تجاری هستند.

به جز شرکت‌هایی که نسخه‌های پشتیبان مناسبی را پیش از این از سامانه‌های خود تهیه کرده‌اند، بازگرداندن اطلاعات از دست رفته بسیار مشکل خواهد بود.

به عنوان تروجانی که هدفش آسیب‌رسانی به پایگاه‌داده‌ها بدون تهیه یک کپی از مقادیر آن است، عملیات بازیابی اطلاعات راهی بسیار طولانی و صعب به حساب می‌آید.

در سال‌های اخیر میزان بدافزارهایی که به طور خاص ایران را مورد هدف قرار داده‌اند، رو به فزونی گذاشته است.

این حملات در ابتدا در قالب ویروس‌هایی نظیر استاکس نت، دوکو و فلیم، تأسیسات هسته‌ای ایران را مورد حمله قرار دادند اما اکنون گستره‌ای وسیع‌تر یافته و متوجه تأسیسات نفتی و بانکی و دیگر نهادهای ایران نظیر وزارت علوم، تحقیقات و فناوری ایران و سامانه مخابراتی و وب سایت وزارت نفت ایران شده‌اند.

برخی از کارشناسان معتقدند طراحی چنین بدافزارهایی نیاز به نیروی انسانی و پشتیبانی مالی زیادی دارد که تأمین آن تنها از سوی دولت‌ها میسر است.

کرم ناریلام جداول و اشیائی در پایگاه داده نرم‌افزارهای فوق را هدف می‌گیرد که نامی مشخص و بعضاً فارسی دارند. این موضوع نشان می‌دهد که طراح یا طراحان به طور دقیق به نحوه کارکرد این نرم‌افزارها آشنایی داشته و بر چگونگی کار آن مسلط بوده‌اند.

مقامات جمهوری اسلامی در موضعگیری علیه حملات سایبری تا کنون از یک سو بر موفقیت در فائق آمدن بر حملات سخن گفته‌اند و از طرف دیگر گاه اذعان کرده‌اند که ایران در این حوزه به اندازه کافی آماده نبوده است.

تاکنون واکنشی از سوی شرکت‌های تولیدکننده نرم‌افزارهای مالی، شرکت‌های تجاری، قربانیان احتمالی یا مقامات مسؤول در قبال آلودگی توسط بدافزار ناریلام گزارش نشده است.

نرم‌افزارهای مالی تهدیدشده توسط کرم ناریلام