اولین بدافزار موبایل در تاریخ؛ ویروسی به نام «کابیر» که از طریق بلوتوث در سال ۲۰۰۴ گوشی‌های سیمبین را آلوده می‌کرد

امنیت گوشی‌های تلفن همراه امروزه یکی از دغدغه‌های اصلی کاربران است اما این تهدیدات ریشه در سال‌ها پیش دارند. در سال ۲۰۰۴ زمانی که گوشی‌های نوکیا با سیستم‌عامل سیمبین (Symbian) بازار را تسخیر کرده بودند اولین کرم رایانه‌ای متحرک جهان به نام کابیر (Cabir) متولد شد. این بدافزار با استفاده از فناوری نوپای بلوتوث دستگاه‌ها را آلوده می‌کرد و موجی از نگرانی را در میان کارشناسان امنیت سایبری برانگیخت. در این مقاله می‌خواهیم بررسی کنیم که چگونه این ویروس تاریخی ساخته شد و چرا شیوع آن نقطه عطفی در تاریخ امنیت دیجیتال به شمار می‌رود. آیا کابیر برای دزدی اطلاعات ساخته شده بود یا هدف دیگری پشت آن وجود داشت؟

فهرست مطالب

۱. چشم‌انداز امنیت موبایل پیش از ظهور اولین بدافزار گوشی‌ها

در ابتدای دهه دو هزار میلادی تلفن‌های همراه ابزارهای ساده‌ای برای تماس صوتی و ارسال پیامک بودند و هیچ‌کس نگران ویروسی شدن آن‌ها نبود. سیستم‌عامل‌های اولیه گوشی‌ها بسیار بسته بودند و دسترسی به اینترنت بسیار محدود و گران بود که این عوامل محیطی امن را ایجاد می‌کرد. کاربران عادت داشتند فایل‌ها و تصاویر را بدون نگرانی از طریق اینفرارد (Infrared) یا کابل‌های رابط منتقل کنند.

با معرفی گوشی‌های هوشمند سری ۶۰ نوکیا (Nokia Series 60) که از سیستم‌عامل سیمبین استفاده می‌کردند شرایط تغییر کرد چون این گوشی‌ها قابلیت نصب برنامه‌های شخص ثالث را داشتند. مهندسان امنیت هشدار می‌دادند که باز شدن پای نرم‌افزارهای جانبی می‌تواند راه را برای ورود کدهای مخرب هموار کند. با این حال جامعه کاربران و حتی خود شرکت نوکیا این هشدارها را جدی نمی‌گرفتند تا اینکه اولین زنگ خطر به صدا درآمد.

۲. گروه هکری ۲۹آ و انگیزه آن‌ها از اثبات مفهوم ویروس موبایل

کرم کابیر توسط یک گروه هکری بین‌المللی معروف به نام ۲۹آ (29A) نوشته شد که به خاطر ساخت ویروس‌های نوآورانه و اثبات مفهوم (Proof of Concept) شهرت داشتند. هدف این گروه از توسعه کابیر دزدیدن اطلاعات بانکی یا آسیب رساندن به کاربران نبود بلکه آن‌ها می‌خواستند ثابت کنند که گوشی‌های هوشمند نیز در برابر ویروس‌ها آسیب‌پذیرند. نویسنده اصلی این ویروس هکری با نام مستعار والدز (Valdez) بود که کد را به شرکت‌های امنیتی ارسال کرد.

این گروه کد منبع کابیر را منتشر کرد تا نشان دهد که چگونه یک معماری نرم‌افزاری باز در موبایل می‌تواند مورد سوءاستفاده قرار گیرد. ارسال مستقیم کد به آزمایشگاه‌های کسپرسکی (Kaspersky) نشان‌دهنده ماهیت تحقیقاتی این پروژه بود تا کارشناسان را بیدار کند. اما انتشار عمومی کد باعث شد تا هکرهای بدخواه به سرعت از آن برای ساخت نسخه‌های مخرب‌تر استفاده کنند.

۳. تحلیل فنی ساختار کرم کابیر و نحوه عملکرد آن در سیمبین

کابیر به صورت یک فایل نصب سیمبین با فرمت سیس (.sis) طراحی شده بود که خود را به عنوان یک برنامه مدیریت سیستم معرفی می‌کرد. زمانی که کاربر فریب می‌خورد و فایل را نصب می‌کرد کرم فعال شده و کدهای خود را به بخش‌های حساس سیستم‌عامل منتقل می‌کرد. این ویروس پس از هر بار روشن شدن گوشی به طور خودکار در پس‌زمینه اجرا می‌شد بدون اینکه کاربر متوجه شود.

کد کابیر به گونه‌ای نوشته شده بود که به طور مداوم فرستنده بلوتوث گوشی را برای پیدا کردن دستگاه‌های فعال دیگر جستجو می‌کرد. این جستجوی مداوم منابع پردازنده را درگیر می‌کرد و باعث تخلیه سریع باتری گوشی در عرض چند ساعت می‌شد. همچنین با ایجاد فایل‌های سیستمی جعلی مانع از اجرای برخی برنامه‌های پیش‌فرض سیمبین می‌شد که این امر شناسایی دستی ویروس را دشوار می‌کرد.

۴. مکانیسم انتشار از طریق بلوتوث و وحشت در فضاهای عمومی

روش انتشار کابیر از طریق بلوتوث (Bluetooth) یکی از هوشمندانه‌ترین و در عین حال آزاردهنده‌ترین بخش‌های عملکرد آن بود. در سال ۲۰۰۴ کاربران معمولا بلوتوث خود را برای دریافت پیام‌های رایگان در مکان‌های شلوغ روشن نگه می‌داشتند. کابیر با جستجوی دستگاه‌های اطراف پیامی با عنوان «کارائیب» (Caribe) ارسال می‌کرد و از کاربر می‌خواست ارتباط را تایید کند.

اگر کاربر کنجکاو دکمه تایید را فشار می‌داد ویروس به سرعت دانلود و نصب می‌شد و گوشی قربانی به یک فرستنده جدید برای آلوده کردن دیگران تبدیل می‌گردید. این مکانیسم انتشار فیزیکی باعث شد تا ویروس در مکان‌های شلوغ مانند متروها و مراکز خرید بزرگ به سرعت شیوع پیدا کند. مردم از اینکه بدون اتصال به اینترنت و تنها با راه رفتن در خیابان گوشی‌شان ویروسی می‌شد شگفت‌زده و نگران شده بودند.

۵. واکنش شرکت‌های امنیتی و تحلیل آزمایشگاهی کدهای مخرب کابیر

دریافت نمونه کدهای کابیر توسط آزمایشگاه‌های آنتی‌ویروس در ژوئن ۲۰۰۴ شوک بزرگی به این صنعت وارد کرد زیرا آن‌ها تا آن زمان هیچ ابزاری برای بررسی فایل‌های سیمبین نداشتند. شرکت کسپرسکی اولین شرکتی بود که این بدافزار را تحلیل کرد و آن را به عنوان یک کرم شناسایی نمود. مهندسان امنیت مجبور شدند به سرعت نسخه‌های موبایلی آنتی‌ویروس‌های خود را برای سیستم‌عامل سیمبین توسعه دهند.

تحلیل‌های آزمایشگاهی نشان داد که ساختار کد بسیار ساده اما کارآمد طراحی شده است و از توابع بومی سیمبین برای مدیریت بلوتوث استفاده می‌کند. این کشف ثابت کرد که امنیت موبایل باید به عنوان یک شاخه مستقل از امنیت کامپیوترهای شخصی تعریف شود. شرکت‌های امنیتی هشدارهای جدی به کاربران دادند تا بلوتوث خود را در حالت غیرقابل شناسایی (Hidden Mode) قرار دهند.

۶. سیستم‌عامل سیمبین و بررسی نقاط ضعف معماری امنیتی آن

سیستم‌عامل سیمبین در زمان خود پلتفرمی بسیار پیشرفته بود اما معماری امنیتی آن برای مقابله با بدافزارهای خودکار طراحی نشده بود. در نسخه‌های اولیه سیمبین هیچ مکانیزم تایید امضای دیجیتال برای نصب برنامه‌ها وجود نداشت و هر فایلی به راحتی نصب می‌شد. این فقدان امنیت پایه به کابیر اجازه داد تا بدون هیچ مانع سیستمی کدهای خود را ثبت کند.

نوکیا پس از شیوع کابیر مجبور شد در نسخه‌های بعدی سیمبین مکانیزم امضای دیجیتال سیمبین (Symbian Signed) را معرفی کند. این سیستم تولیدکنندگان نرم‌افزار را ملزم می‌کرد تا کدهای خود را قبل از انتشار توسط نوکیا تایید کنند تا از عدم وجود کدهای مخرب اطمینان حاصل شود. این تغییر ساختاری اگرچه امنیت را بالا برد اما کار را برای توسعه‌دهندگان مستقل بسیار دشوار و پرهزینه کرد.

۷. تاثیر روانی و رسانه‌ای شیوع اولین ویروس گوشی‌های تلفن همراه

رسانه‌های عمومی در سال ۲۰۰۴ خبر شیوع کابیر را با آب و تاب فراوان پوشش دادند و تصاویری ترسناک از هک شدن گوشی‌ها ترسیم کردند. این پوشش رسانه‌ای باعث ایجاد وحشت عمومی شد و بسیاری از مردم فکر می‌کردند ویروس موبایل می‌تواند به سخت‌افزار گوشی آسیب فیزیکی بزند یا سیم‌کارت آن‌ها را بسوزاند. فروشگاه‌های موبایل با سیل مشتریانی مواجه شدند که خواستار پاکسازی گوشی‌های خود بودند.

این بحران روانی نشان داد که جامعه تا چه حد نسبت به امنیت ابزارهای ارتباطی جدید بی‌اطلاع است. شرکت نوکیا بیانیه‌های متعددی صادر کرد تا به کاربران اطمینان دهد که ویروس بدون تایید دستی نصب نمی‌شود و جای نگرانی شدید نیست. با این حال کابیر برای همیشه ذهنیت کاربران را تغییر داد و دوران بی‌گناهی و امنیت مطلق موبایل‌ها به پایان رسید.

۸. تکامل بدافزارهای موبایل پس از کابیر و ظهور کدهای باج‌افزاری

کابیر مانند باز شدن جعبه پاندورا در دنیای موبایل بود و هکرها با الهام از آن کدهای بسیار خطرناک‌تری را توسعه دادند. به فاصله کوتاهی ویروس لاسکو (Lasco) و بدافزار کام‌واریر (Commwarrior) معرفی شدند که از طریق پیام‌های چندرسانه‌ای ام‌ام‌اس (MMS) منتشر می‌شدند. کام‌واریر با ارسال خودکار پیامک به تمام مخاطبان دفترچه تلفن هزینه‌های مالی سنگینی روی دست قربانیان می‌گذاشت.

این تکامل در سال‌های بعد به ظهور اولین باج‌افزارهای موبایلی منجر شد که صفحه نمایش گوشی را قفل کرده و برای باز کردن آن درخواست پول می‌کردند. امروزه بدافزارهای جاسوسی پیشرفته مانند پگاسوس (Pegasus) که بدون نیاز به هیچ تعاملی از سوی کاربر گوشی را هک می‌کنند میراث‌دار مستقیم همان ایده‌ای هستند که با کابیر آغاز شد.

۹. جنبه‌های فنی مقابله با انتشار بلوتوثی و به‌روزرسانی وصله‌های امنیتی

مبارزه با کابیر نیازمند تغییر در رفتار کاربران و همچنین به‌روزرسانی‌های فنی از سوی اپراتورهای مخابراتی بود. اپراتورها در برخی کشورها فیلترهایی را برای شناسایی کدهای سیس مخرب در شبکه‌های خود فعال کردند. همچنین کارشناسان امنیتی برنامه‌های کوچکی به نام واکسن کابیر ساختند که به صورت دستی فایل‌های آلوده را از حافظه سیمبین پاک می‌کرد.

سازندگان تراشه‌های بلوتوث نیز پروتکل‌های ارتباطی خود را به‌روزرسانی کردند تا جفت شدن دستگاه‌ها نیازمند تاییدیه‌های امنیتی سخت‌گیرانه‌تری باشد. کاربران یاد گرفتند که روشن گذاشتن مداوم بلوتوث نه‌تنها باتری را مصرف می‌کند بلکه یک پنجره باز برای ورود نفوذگران است. این تغییرات رفتاری باعث شد تا سرعت انتشار بلوتوثی بدافزارها به مرور زمان کاهش یابد.

۱۰. مقایسه بدافزارهای کلاسیک موبایل با تهدیدات پیشرفته امروزی

مقایسه کابیر با بدافزارهای امروزی اندروید و آی‌اواس نشان‌دهنده تغییر جهت اهداف هکرها از خودنمایی به کسب درآمدهای نامشروع است. کابیر یک بدافزار پر سر و صدا بود که حضور خود را اعلام می‌کرد در حالی که بدافزارهای مدرن تلاش می‌کنند تا حد امکان پنهان بمانند. هدف بدافزارهای امروزی سرقت اطلاعات کارت‌های اعتباری و جاسوسی از پیام‌های شخصی است.

همچنین ابزارهای دفاعی سیستم‌عامل‌های مدرن مانند سندباکس (Sandboxing) مانع از دسترسی برنامه‌ها به بخش‌های دیگر سیستم می‌شود که در سیمبین وجود نداشت. با این حال پیچیدگی کدهای مخرب امروزی به حدی است که کشف آن‌ها نیازمند تحلیل‌های هوش مصنوعی است. کابیر در مقایسه با این تهدیدات مانند یک بازی کودکانه به نظر می‌رسد اما درس‌های پایه‌ای آن هنوز معتبر هستند.

۱۱. پیامدهای اقتصادی بدافزارها برای اپراتورهای مخابراتی و سازندگان

ظهور بدافزارهای موبایلی ضررهای مالی مستقیمی برای اپراتورهای تلفن همراه به همراه داشت زیرا ترافیک شبکه‌ها را با ارسال پیام‌های اسپم اشغال می‌کردند. اپراتورها مجبور شدند مبالغ هنگفتی را برای خرید فایروال‌های پیشرفته شبکه هزینه کنند تا از ارسال پیام‌های مخرب جلوگیری نمایند. این هزینه‌های اضافی در نهایت منجر به افزایش قیمت خدمات برای مشتریان شد.

برای سازندگان گوشی مانند نوکیا نیز شیوع ویروس به معنای آسیب به اعتبار برند و افزایش هزینه‌های پشتیبانی مشتریان بود. مراکز خدمات نوکیا مجبور بودند روزانه صدها گوشی آلوده را فلش کنند که این کار وقت و هزینه زیادی می‌طلبید. این تجربه تلخ باعث شد تا استانداردهای امنیتی به یکی از فاکتورهای اصلی رقابت در بازار سخت‌افزار موبایل تبدیل شود.

۱۲. درس‌های تاریخی کابیر برای امنیت سایبری مدرن در عصر اینترنت اشیا

داستان کابیر نشان داد که هر ابزار متصلی که دارای قابلیت ارتباطی بیسیم باشد می‌تواند به عنوان هدفی برای هک قرار گیرد. امروزه با گسترش دستگاه‌های اینترنت اشیا (IoT) و خانه‌های هوشمند خطر مشابهی این ابزارها را تهدید می‌کند. بسیاری از گجت‌های هوشمند امروزی همانند گوشی‌های سیمبین سال ۲۰۰۴ فاقد پروتکل‌های امنیتی اولیه هستند.

درس بزرگ کابیر این است که امنیت نباید به عنوان یک بخش ثانویه در نظر گرفته شود بلکه باید در مرحله طراحی اولیه سیستم تعبیه گردد. نادیده گرفتن امنیت به امید اینکه دستگاه‌ها کوچک یا ساده هستند اشتباهی است که تاریخ بارها آن را اثبات کرده است. درک تاریخچه کابیر به مهندسان امروز کمک می‌کند تا از تکرار اشتباهات گذشته در دنیای متصل فردا جلوگیری کنند.

جمع‌بندی نهایی

کرم کابیر به عنوان اولین بدافزار موبایل در سال ۲۰۰۴ خط بطلانی بر فرضیه امنیت مطلق تلفن‌های همراه کشید. این ویروس که توسط گروه هکری ۲۹آ برای اثبات ضعف‌های امنیتی سیستم‌عامل سیمبین طراحی شده بود از طریق بلوتوث منتشر می‌شد و باتری گوشی‌ها را به سرعت تخلیه می‌کرد. اگرچه کابیر آسیب‌های شدیدی به همراه نداشت اما مسیر را برای تکامل بدافزارهای جاسوسی و باج‌افزارهای پیچیده امروزی هموار ساخت و نوکیا را مجبور به بازنویسی قوانین امنیتی خود کرد تا استانداردهای جدیدی در حوزه امنیت سایبری متحرک شکل گیرد.

سوالات متداول

۱. آیا ویروس کابیر می‌توانست بدون اجازه کاربر روی گوشی نصب شود؟
خیر این ویروس برای نصب نهایی نیازمند تایید دستی توسط صاحب گوشی بود. ویروس پیام درخواست دریافت فایلی به نام کارائیب را از طریق بلوتوث ارسال می‌کرد. اگر کاربر دکمه پذیرش را می‌فشرد فایل دانلود و سپس مراحل نصب آغاز می‌شد. با این حال بسیاری از کاربران به دلیل ناآگاهی دکمه تایید را فشار می‌دادند.
۲. گروه هکری ۲۹آ چه گروه‌های دیگری را در دنیای فناوری هدف قرار داده بود؟
این گروه به خاطر ساخت اولین ویروس‌ها برای سیستم‌عامل‌های ۶۴ بیتی ویندوز شناخته شده بود. آن‌ها همچنین اولین کدهای مخرب را برای پلتفرم‌های دستکتاپ لینوکس توسعه داده بودند. اعضای این گروه خود را پژوهشگران امنیتی می‌دانستند که به دنبال کشف رخنه‌ها پیش از هکرهای واقعی بودند. آن‌ها در نهایت در اواخر دهه دو هزار میلادی فعالیت خود را متوقف کردند.
۳. چرا گوشی‌های آلوده به کابیر با سرعت بسیار زیادی شارژ باتری خالی می‌کردند؟
کد بدافزار به گونه‌ای تنظیم شده بود که فرستنده بلوتوث دستگاه را همواره روشن نگه می‌داشت. این برنامه در پس‌زمینه به صورت مداوم و بدون وقفه سیگنال‌های اطراف را برای یافتن گوشی‌های جدید اسکن می‌کرد. این فعالیت سخت‌افزاری مداوم پردازنده و تراشه ارتباطی را تحت فشار شدید قرار می‌داد. در نتیجه باتری گوشی‌ها که در آن زمان ظرفیت کمی داشتند سریع خالی می‌شد.
۴. واکسن بدافزار کابیر چه بود و چگونه کار می‌کرد؟
واکسن‌ها در واقع برنامه‌های ساده‌ای بودند که توسط شرکت‌های امنیتی نظیر اف-سکیور ساخته شدند. این برنامه‌ها با جستجوی مسیرهای مشخص سیستم‌عامل سیمبین فایل‌های اجرایی کابیر را حذف می‌کردند. همچنین تنظیمات رجیستری تغییر یافته توسط ویروس را به حالت اولیه بازمی‌گرداندند. کاربران برای دریافت این واکسن‌ها مجبور بودند گوشی خود را به کامپیوتر متصل کنند.
۵. بدافزار کام‌واریر که پس از کابیر آمد چه تفاوت عملکردی با آن داشت؟
تفاوت اصلی کام‌واریر در استفاده از سیستم پیام‌رسانی چندرسانه‌ای ام‌ام‌اس برای انتشار بود. کابیر تنها به محدوده برد بلوتوث یعنی حدود ده متر محدود می‌شد اما کام‌واریر مرز جغرافیایی نداشت. این بدافزار با ارسال خودکار پیامک به کل مخاطبان دفترچه تلفن هزینه‌های مخابراتی کلانی برای قربانیان ایجاد می‌کرد. این روش انتشار سرعت شیوع بدافزارهای موبایلی را به شدت افزایش داد.
۶. نوکیا چگونه با صدور گواهینامه‌های سیمبین امنیت گوشی‌ها را ارتقا داد؟
نوکیا سیستمی را معرفی کرد که در آن برنامه‌ها باید امضای دیجیتال معتبری از مراکز تایید نرم‌افزار دریافت می‌کردند. بدون این امضا سیستم‌عامل در حین نصب خطای امنیتی جدی صادر می‌کرد و مانع از اجرای آن می‌شد. این گواهینامه‌ها هویت نویسنده برنامه را ردیابی و تضمین می‌کردند که کد دستکاری نشده باشد. این مکانیزم به شدت از نصب بدافزارهای ناشناخته و خودکار جلوگیری کرد.
۷. آیا امروزه امکان آلوده شدن گوشی‌های هوشمند از طریق بلوتوث وجود دارد؟
بله اگرچه سیستم‌عامل‌های مدرن اندروید و آی‌اواس بسیار ایمن‌تر هستند اما رخنه‌های امنیتی بلوتوث همچنان کشف می‌شوند. حملاتی مانند بلوبرن می‌توانند دستگاه‌های دارای بلوتوث روشن را بدون نیاز به هیچ تاییدیه‌ای هک کنند. به همین دلیل کارشناسان همواره توصیه می‌کنند در صورت عدم استفاده از بلوتوث آن را خاموش نگه دارید. به‌روزرسانی مداوم سیستم‌عامل بهترین راه دفاع در برابر این نوع حملات است.
دکتر علیرضا مجیدی
دکتر علیرضا مجیدی
پزشک، نویسنده و بنیان‌گذار وبلاگ «یک پزشک»
دکتر علیرضا مجیدی، نویسنده و بنیان‌گذار وبلاگ «یک پزشک».
با بیش از ۲۰ سال نویسندگی «ترکیبی» مستمر در زمینهٔ پزشکی، فناوری، سینما، کتاب و فرهنگ.
باشد که با هم متفاوت بیاندیشیم!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
[wpcode id="260079"]