با ورود به قرن 21، جامعه جهاني با مفاهيم جديدي در ادبيات جهاني روبهرو شد. از جمله فضاي سايبري، كه بسياري از نيازهاي دنياي امروز مثل اطلاعات حياتي و تاسيسات مهم كشورها در بستر همين فضا قرار گرفته است، اين عامل باعث شد كه عدهيي به فكر نفوذ در اين بستر شوند و مشكلات عديدهيي را به وجود آورد. اين موضوع باعث ايجاد نرمافزارها و امكانات دفاع از اين سيستمها شد. در سالهاي گذشته حملات سايبري به بانكها، مراكز اطلاعاتي كشورها، فروشگاههاي اينترنتي روزبهروز گسترش پيدا ميكند؛ و برخي از اين اهداف نيز مراكز مهم و حياتي كشورهاست، از جمله تاسيسات اتمي و غنيسازي اورانيوم جمهوري اسلامي ايران. فرض ما بر اين است، حملات سايبري كه به تاسيسات اتمي و صنعتي جمهوري اسلامي صورت گرفته است، هدف و سازنده مشخصي دارد و همچنين هر يك از اين حملات به صورت سلسلهيي، فعاليتي جداگانه دارد. سوال اصلي اين است كه نوع و هدف فعاليت ويروسها در فضاي سايبري ايران چگونه است؟ هدف اين نوشتار، بررسي حملات سايبري مهمي است كه در سالهاي اخير به مراكز حساس، اتمي و صنعتي و... صورت گرفته است و سعي دارد كه چهار حمله سايبري اخير، تحت نام ويروسهاي استاكس نت، وايپر، دوكو و فليم را به صورت جداگانه مورد بررسي قرار دهد. شايد در حدود 30 سال قبل زماني كه فرد كوهن در دانشگاه كاليفرنياي جنوبي نخستين ويروس را به وجود آورد، فكر اين را نميكرد زماني شود كه كشورها، از جنگهاي كلاسيك خارج شوند و به جنگهاي سايبري روي آورند. جنگي كه هزينهيي بسيار كمتر از نبردهاي كلاسيك دارد و خسارتهاي آن چه بسا در بعضي موارد بيشتر است و بدون هيچگونه تلفات جاني و تسليحاتي. زماني كه جرج بوش پسر، كاخ سفيد را به دست باراك اوباما ميسپرد، طرحي با كد «بازيهاي المپيك» را به تازگي آغاز كرده بود كه هدفش حملههايي در فضاي مجازي بود. جرج بوش در روز تحويل كاخ سفيد، به اوباما توصيه كرد تا اين طرح را ادامه دهد و اين برنامه به دستور اوباما شدت بيشتري پيدا كرد. از نام بازيهاي المپيك براي رمز كد ميتوان اينگونه برداشت كرد كه اين طرح هدف يا اهداف مشخصي دارد يا اينكه هدفي دنبالهدار و مرحله به مرحله است كه شواهد نيز اين موضوع را ثابت ميكند. اما براي درك هرچه بيشتر موضوع نياز به تعريفي از خود ويروس است. اينكه ويروس چيست؟ چگونه ميتواند به يك سيستم آسيب برساند؟
ويروس ويروس، نوعي از بدافزار است كه وقتي اجرا ميشود، تلاش ميكند خود را در يك كد اجرايي ديگر كپيكند. وقتي موفق به انجام اين كار شد، كد جديد، آلوده ناميده ميشود. وقتي كد آلوده اجرا شود به نوبه خودكد ديگري را ميتواند آلوده كند. اين عمل توليد مثل يا كپيسازي از خود روي يك كد اجرايي، ويژگي كليدي در تعريف يك ويروس است. معمولا كاربران كامپيوتر به ويژه آنهايي كه اطلاعات تخصصي كمتري درباره كامپيوتر دارند، ويروسها را برنامههايي هوشمند و خطرناك ميدانند كه خود به خود اجرا و تكثير شده و اثرات تخريبي زيادي دارند كه باعث از دست رفتن اطلاعات و گاه خراب شدن كامپيوتر ميشوند، در حالي كه طبق آمار تنها پنج درصد ويروسها داراي اثرات تخريبي بوده و بقيه صرفا تكثير ميشوند. يك ويروس رايانهيي را ميتوان برنامهيي تعريف كرد كه ميتواند خود را با استفاده از يك ميزبان تكثير كند. بنابراين اگر برنامهيي تعريف داشته باشد كه داراي اثرات تخريبي باشد ولي امكان تكثير نداشته باشد، نميتوان آن را ويروس ناميد. ويروسهاي رايانهيي از جنس برنامههاي معمولي هستند كه توسط ويروسنويسان نوشته ميشود و سپس به طور ناگهاني توسط يك فايل اجرايي يا جا گرفتن در ناحيه سيستمي ديسك، فايلها يا كامپيوترهاي ديگر را آلوده ميكنند. در اين حال پس از اجراي فايل آلوده به ويروس يا دسترسي به يك ديسك آلوده توسط كاربر دوم، ويروس به صورت مخفي نسخهيي از خودش را توليد كرده و به برنامههاي ديگر ميچسباند و به اين ترتيب داستان زندگي ويروس آغاز ميشود و هر يك از برنامهها يا ديسكهاي حاوي ويروس، پس از انتقال به كامپيوترهاي ديگر باعث تكثير نسخههايي از ويروس و آلوده شدن ديگر فايلها و ديسكها ميشوند؛ لذا پس از اندك زماني در كامپيوترهاي موجود در يك كشور يا حتي در سراسر دنيا منتشر ميشوند. از آنجا كه ويروسها به طور مخفيانه عمل ميكنند، تا زماني كه كشف نشده و امكان پاكسازي آنها فراهم نشده باشد، برنامههاي بسياري را آلوده ميكنند و از اين رو يافتن سازنده يا منشا اصلي ويروس مشكل است. ويروسها به مرور زمان و با تكامل سيستمهاي رايانهيي و شبكه نيز، تكامل يافته است، به گونهيي كه ديگر به عنوان يك ابزار شيطنت از آن استفاده نميشود بلكه وسيلهيي شده براي دستيابي به اهدافي بزرگتر، ابزاري است جنگي براي ميدان سايبري امروزي. هرچه از نبرد سايبري ميگذرد، ابزار نيز پيچيدهتر و همچنين مخرب و هدفمندتر شدهاند. حملههايي كه به تاسيسات اتمي و صنعتي ايران صورت گرفت كاملا مشخص است كه حاصل يك برنامه از پيش طراحي شده است نه حاصل يك شيطنت رايانهيي. تمامي اينها نشان از برنامهريزي دقيق دشمن براي رسيدن به اهداف خود از راههاي گوناگون است.
حملات سايبري مهم تاكنون را ميتوان چهار بدافزار نام برد: استاكس نت، وايپر، دوكو و فليم كه هركدام به صورت مجزا از يكديگر بررسي خواهند شد.
استاكسنت استاكسنت يك بدافزار رايانهيي (طبق نظر شركتهاي نرمافزار امنيت رايانهاي: كرم رايانهيي يا تروجان) است كه نخستينبار در تاريخ 13 جولاي 2010 شناسايي شد. ماجرا زماني شروع شدكه شركت سيمانتك در كاليفرنيا، گزارشي درباره آلودگي كامپيوترهاي جهان به اين كرم منتشر كرد. در اين گزارش عنوان شده بود كه حدود 60 درصد آلودگيهاي جهان به اين كرم كامپيوتري، در ايران قرار دارد. گزارشهاي اوليه از اين ويروس حاكي از آن بود كه اين ويروس در سيستمهاي كنترل صنعتي شركت زيمنس به نام اسكادا نفوذ كرده است. اما در گزارشهاي تكميلي كه شركت سيمانتك منتشر كرد اعلام داشت كه هدف اين ويروس جاسوسي نيست بلكه تخريب سيستمهاي صنعتي است.
نحوه فعاليت
كرم استاكسنت از طريق هرنوع شبكه و يواسبي، به پيالسي يا بخش اصلي مدار سيستمهاي كنترل صنعتي نفوذ و با وارد كردن كدهاي خود، برنامه جديدي در پيالسي جايگزين ميكند. بنابراين ميتواند كنترل كارخانه را تا حدودي در دست بگيرد. در اين صورت مثلا ميتواند در يك كارخانه پتروشيمي، تنظيم فشار در منبع يا لولههاي مواد را در دست بگيرد و با افزايش فشار باعث انفجار شود يا در نيروگاههاي توليد برق، ولتاژ را ببرد و به دستگاهها آسيب برساند. اين حالت نيز ميتواند در سانتريفيوژهاي تاسيسات اتمي تكرار شود. كارشناسان معتقدند كه يافتن كرم استاكس نت در سيستمهاي كنترل صنعتي بسيار دشوار است. اما آن را در كامپيوترهاي خانگي به راحتي ميتوان پيدا كرد. اين كرم با جعل امضاي اينترنتي شركت معتبر ريل تك توانسته به راحتي از سد سيستمهاي امنيتي و فاير والها عبور كند و بيآنكه شناسايي شود وارد سيستم ميشود. اما اين سوال را به وجود ميآورد كه امضاي اينترنتي اين شركت ساخت سخت افزارهاي كامپيوتري دزديده شده، يا خود شركت به اختيار اين امضا را داده است؟
هدف
ازشواهد امر اينگونه برميآيد كه هدف اصلي اين كرم تاسيسات غنيسازي اورانيوم نطنز بوده است. اما به طور كلي ميتواند هدف اين كرم تمامي مراكزي كه داراي سيستم كنترل صنعتي هستند، باشد. اين كرم در بسياري از سيستمهاي خانگي يا لپتاپها ديده ميشود اما براي اين نوع كاربرها خطري نخواهد داشت و به راحتي قابل مشاهده است ولي اين كرم در سيستمهاي صنعتي بهشدت هوشمند عمل ميكند و مشاهده آن بسيار سخت يا حتي غيرممكن خواهد بود. علياكبر صالحي رييس وقت سازمان انرژي اتمي ايران اعلام كرد كه اين ويروس در لپتاپ چند تن از مهندسان تاسيسات اتمي بوشهر شناسايي شده و از بين رفته است.
سازنده درباره ساخت اين ويروس نظريات متفاوتي وجود دارد. اما هيچ كشور يا شخصي به طور مستقيم مسووليت ساخت اين كرم را به عهده نميگيرد. برخي بر اين عقيدهاند كه اين ويروس در اين حجم نميتواند كار يك شخص يا يك شركت باشد بلكه قطعا يك كشور پشت اين برنامه است كه انگشت اتهام در وهله اول به سوي ايالات متحده نشانه ميرود كه اين عمليات به دستور مستقيم اوباما صورت گرفته است. برخي بر اين عقيدهاند كه اين برنامه را اسراييل حمايت ميكند و اين ويروس را نيز روي برخي سانتريفيوژهاي خود امتحان كرده است و برخي نيز اين عمليات را كار مشترك امريكا و اسراييل ميدانند.
كشورهاي آسيبديده
در يك گزارش تحقيقي كه شركت سيمانتك ارائه داد، كشورهاي آسيبديده از اين ويروس در روزهاي اوليه ايران، اندونزي و هند بودند. آمار كشورهاي آسيب ديده به درصد به شرح ذيل است: آمار نشان ميدهد كه ايران در رتبه نخست از نفوذ ويروس قرار دارد و ديگر كشورها با فاصله زيادي از آن قرار دارند و از اين آمار نيز ميتوان نتيجه گرفت كه هدف اصلي اين ويروس ايران بوده است.
وايپر در شب يكشنبه 3 ارديبهشت ماه سال 1391، سامانه الكترونيكي و شبكه داخلي وزارت نفت ايران و شركتهاي تابعه آن مورد حمله سايبري قرار گرفت، و در شبكه و اطلاعات آن اختلالاتي به وجود آورد. بر اين اساس تمام سرورها و دستگاههاي الكترونيكي براي جلوگيري از آسيبهاي احتمالي خاموش شد. پس از انتشار خبر، گمانه زنيهايي شد مبني بر اينكه هكرها به سيستم داخلي وزارت نفت حمله كردند. اما پس از بررسيهاي اوليه نشان از اين بود كه وزارت نفت و شركتهاي تابعه آن مورد حمله ويروسي به نام وايپر قرار گرفتهاند. خبرگزاري ايسنا به نقل از يك كارشناس گزارش داد كه اين حمله تنها مربوط به سايتهاي شركت نفت و شركتهاي تابعه آن نبود بلكه ديگر شركتهاي صنعتي رانيز در بر ميگيرد. بر اساس اين گزارش حمله ويروس وايپر از اسفند ماه سال 90 شروع شده و در روز 3 ارديبهشت به اوج خود رسيده، و اطلاعات برخي از سيستمها را پاك كرده و برخي از سرورها را از كار انداخته است. سخنان عليرضا نيكزاد، سخنگوي وزارت نفت ايران، تاكيد بر اين داشت كه تمام اطلاعات وزارت نفت نسخه پشتيبان داشته و حمله به شكل ويروس بوده و به ديسكهاي سخت آسيب رسانده است. نكته اساسي درباره ويروس وايپر، در جمله نيكزاد نهفته است كه اين ويروس به ديسكهاي سخت آسيب رسانده است، اين بدين معناست كه هدف اين ويروس آسيب رساندن سختافزاري به سيستم است از جمله مادربورد يا هاردديسك. در ابتدا وجود اين ويروس به علت فعاليتهاي تخريبي كه براي آن بيان شد (مانند سوزاندن مادر بورد يا پاك كردن غيرقابل بازگشت هاردديسك در محيط ويندوز) توسط بسياري از كارشناسان مورد تاييد قرار نگرفت اما تحقيقات فني تازهيي كه توسط شركت ايمن رايانه، نماينده رسمي و انحصاري شركت امنيتي Panda Security در ايران انجام شده، نشان ميدهد كه نفوذ ويروس «وايپر» يا دست كم نفوذ ويروس ديگري با عملكردهاي كاملا شبيه به «وايپر» به برخي مراكز سازماني كشور امكانپذير بوده است.
بر اساس گزارشهاي تاييد شده، تنها بخشهايي از اين وزارتخانه هدف آلودگي بيشتري قرار گرفتهاند كه از «يك نوع خاص از برنامههاي ضدويروس» (كاسپراسكاي) استفاده ميكردهاند... به همين دليل شائبه وجود حفرههاي امنيتي اصلاح نشده در ضدويروس كاسپراسكاي كه اخيرا (در اواخر اسفند ماه 1390) در رسانههاي معتبر جهان منتشر شده بود، قوت بيشتري يافته است. از طرف ديگر، نشريه معتبر Virus Bulletin در شماره اكتبر 2011 (آبان 1390) خود و به نقل از شركت سگورماتيكا كه نمايندگي رسمي شركت كاسپراسكاي در كشور كوبا را در اختيار دارد، از پراكندگي نسبتا وسيع يك ويروس عجيب و غريب تنها در كشور «كوبا» خبر داد. جالب اينكه هيچ كدام از ضدويروسها به جز ضدويروس كاسپراسكاي حملات «موفقيتآميز» اين ويروس را تاييد يا منتشر نكرده اند! روند گزارش دهي نيز به نحوي است كه گويا فقط كامپيوترهاي مجهز به همين ضدويروس به صورت هدفدار مورد حمله واقع شدهاند. ويروس كه در آن زمان، W32/VRBAT نامگذاري شد، تنها در عرض چند روز، هزاران هارد ديسك را فقط در محدوده كشور كوبا از كار انداخت و سپس به طور ناگهاني كاملا محو شد!آيا خرابكارهاي اينترنتي در يك كشور كوچك امريكاي لاتين با شرايطي تقريبا بسته و غيرآزاد، تنها به آزمايش عملكرد يك ويروس رايانهيي خطرناك پرداختهاند؟
آيا ويروس VRBAT تنها براي ضربه زدن به يك يا چند برند خاص ضدويروس طراحي، توليد و منتشر شده است؟
در كنار هم چيدن گزارههاي بالا در كنار هم، حمله صورت گرفته در كشور كوبا را ميشود نوعي تمرين و آزمايش (رزمايش) براي حمله يا حملات بعدي به اهداف مهم و استراتژيك كشورهاي ديگر جهان از جمله ايران در نظر گرفت. تمام بررسيهاي فني صورت گرفته روي كد منبع ويروس W32/VRBAT، شباهت فوقالعاده ميان عملكرد آن با عملكرد ويروس موسوم به «وايپر» را نشان ميدهد و يك فرضيه قدرتمند ديگر را نيز مطرح ميكند كه W32/VRBAT پدر ويروس «وايپر» است.
دوكو
در آبان ماه 1390 خبر از حمله ويروسي به تاسيسات صنعتي ايران بروز كرد كه تمام مشخصات آن مانند استاكس نت و كد آنها كاملا شبيه به هم بودند به گونهيي كه در برخي خبرگزاريها از آن به عنوان فرزند كوچك استاكسنت نام ميبرند. اين كرم را ميتوان قويتر از استاكسنت و پيشرفتهتر از آن ناميد. زيرا بهشدت پيچيده و نوع ماموريت آن نامعلوم است. اين ويروس از طريق فايل وورد آفيس، از محصولات شركت مايكروسافت قابل انتقال است. به گزارش سيمان تك تاكنون اين بدافزار به سازمانهايي در كشورهاي جهان راه يافته كه دو سازمان كه آلوده شدهاند در ايران هستند. همچنين كشورهاي هند، سودان، ويتنام، فرانسه، سويس و... از ديگر كشورهايي هستند كه برخي از سازمانهاي اين كشورها به اين بدافزار آلوده شدهاند. در شكل زير پراكندگي اين ويروس را ميتوان مشاهده كرد كه ايران بيشترين حجم نفوذ از اين ويروس را دارا است.
سيمانتك ميگويد بر خلاف موضوع استاكس نت، نكته كليدي كه در اين پرونده جديد ناپديد شده اين است كه كسي نميداند سازندگان ويروس دقيقا به دنبال چه هستند. ويروس استاكسنت كه پيچيدهترين ويروس تاريخ جهان است، هدف مشخصي داشت و آن نفوذ به سيستم كنترل صنعتي نيروگاهها و تاسيسات اتمي ايران بود، اما ويروس دوكو مانند استاكس نت هدفمند طرحريزي نشده و قصد و هدف آن مشخص نيست. با اين همه ميزان كدهاي مشترك اين ويروس با استاكس نت به اندازهيي است كه محققان شركت سيمنتك ميگويند اين ويروس بايد توسط همان گروهي نوشته شده باشد كه استاكس نت را نوشته است يا گروهي كه «دوكو» را طراحي كرده به كدهاي استاكس نت دسترسي داشته است. به گفته كارشناسان، دوكو كرمي نيست كه براي تفريح و سرگرمي عدهيي ساخته شده باشد، بلكه از پيشرفتهترين كدهاي موجود بهرهگيري ميكند و به نظر ميرسد كه دوكو براي بسترسازي براي حملهيي مخربتر به وجود آمده است، اين ويروس با ورود به سيستمهاي صنعتي حفرههايي ايجاد ميكند كه راهاي نفوذ به سيستمهاي صنعتي را آسودهتر خواهد كرد و اين ويروس خود را پس از 36 روز از بين ميبرد. به گفته كارشناسان سيمان تك اين ويروس از سال 2010 مشغول فعاليت بوده و در كشورهاي مختلف در حال چرخش و جمعآوري اطلاعات بوده است. همانطور كه گفته شد، دوكو براي زمينهسازي يك حمله بزرگتر بوده است و نشان از برنامهيي هدفمند از كشوري قدرتمند است. حدود يك سال پس از اين ويروس، كرمي ديگر كشف ميشود به نام فليم كه نشان از ادامه اين برنامه دارد.
فليم فليم از نظر لغوي به معني زبانه آتش است. اين ويروس در 8 خرداد 91 براي نخستين بار توسط شركت امنيتي كاسپراسكاي واقع در كشور روسيه كشف شد. هدف اين ويروس جمعآوري اطلاعات و ارسال آن به سرورهاي كنترلكننده آن بود. براي اين ويروس درستور كار بسيار پيچيدهيي تعريف شده است از جمله، ثبت ترافيك شبكه، ضبط مكالمات صوتي، ثبت ركورد صفحه كليد، نفوذ به پست الكترونيك و برداشتن عكس از صفحات اينترنتي. اين ويروس زماني پيدا شد كه كاسپراسكاي در حال بررسي و رهگيري ويروس وايپر بود كه به اين ويروس برخورد كرده است. طبق بررسيهاي انجام شده توسط كارشناسان شركت كاسپراسكاي نشان ميدهد كه سيستم مبتلا به ويروس فليم به چندين سرور متصل است و اطلاعات آن را برميدارد. طبق يافتههاي به دست آمده تاكنون فليم حدود 5/5 گيگابايت به سرورهاي خود اطلاعات ارسال كرده است.بنابر آخرين گزارش شركت كاسپراسكاي بيشترين آلودگي در ايران با 189 مورد واسراييل در رتبه بعدي قرار دارد.
فليم با حدود 20 مگابايت حجم به نسبت، بدافزار بزرگي است. اين ويروس از 20 مجموعه نرمافزار مختلف تشكيل شده و آنطور كه شركت كاسپراسكاي ميگويد قابليتهاي آن و تعداد نرمافزارها قابل افزايش هستند.
كارشناسان كاسپراسكاي و همكاران آنان در شركت امريكايي «سيمنتك» در هنگام تجزيه و تحليل سرورهاي فرمانده به نرمافزاري هدايتكننده به نام News for you (اخبار براي شما) برخوردهاند. اين نرمافزار طوري طراحي شده كه شبيه نرمافزارهاي معمول براي كنترل وبسايتها عمل ميكند. بنا بر اعلام كارشناسان، «نيوز فور يو» با استفاده از بدافزار فليم سه برنامه ديگر به نامهاي SP، SPE و IP را مديريت ميكند. اين سه برنامه به احتمال بدافزارهاي ديگر مرتبط با فليم هستند. نه كاسپراسكاي و نه سيمنتك هنوز نتوانستهاند اين سه برنامه را تحت كنترل خود درآورند. شركت سيمنتك با طعمه قرار دادن چند كامپيوتر آلوده به فليم سعي در يافتن سرور مركزي آن كرد كه با دستور خود كشي اين ويروس توسط سازندگان اين ويروس مواجه شد كه حتي پس از پاك شدن اين ويروس جاي خالي را با اطلاعات مخدوش شده پر كرده است كه ويروس قابل رهگيري نباشد. عمر فليم ظاهرا بيش از آن چيزي است كه تاكنون تصور ميشد. كاسپراسكاي در ماه ژوئن اعلام كرد كه اين بدافزار تا پنج سال عمر دارد. اما حال يكي از كارشناسان اين شركت ميگويد كه اين ويروس فعاليت خود را از دسامبر 2006 آغاز كرده و از آن زمان دايم تكامل يافته است. اين روند همچنان ادامه دارد. كماكان شركتهاي سازنده آنتيويروس به دنبال منبع اين ويروسها هستند اما واشنگتنپست در گزارشي اعلام كرد كه اين ويروس توسط امريكا و با همكاري ارتش اسراييل توليد شده است؛ و شواهدي نيز كه كارشناسان ارائه دادهاند دال بر اين است كه توليد اين ويروسها با اين حجم عظيم بسيار بعيد است كه توسط هكرهاي مستقل توليد شده باشد، بلكه قطعا از پشتيباني يك كشور قدرتمند برخوردار است.
نتيجهگيري با بررسي اين چهار ويروس مهم (استاكسنت، وايپر، دوكو، فليم) كه در فضاي سايبري ايران يافت شدند ميتواند نتيجهگيري را به دو بخش متفاوت تقسيم كرد.
1- هدف: شواهد و آمار آلودگي سيستمهايي كه مورد حمله اين ويروس قرار گرفتهاند، نشان ميدهند كه هدف آنها تاسيسات اتمي و صنعتي ايران براي جلوگيري هرچه بيشتر در برنامه اتمي ايران و به تعويق انداختن آن است. اين حملهها تا حدي بود كه كارشناسان عقيده داشتند ممكن بود در حمله استاكسنت، چرنوويلي ديگر رخ دهد. پيگيري ردپاي تكتك اين بدافزارها نشاندهنده يك سلسله حملات از پيش طراحي و برنامهريزي شده است كه توسط يك فناوري و نيروي قدرتمند رهبري ميشود.
2- سازنده يا سازندگان: همانطور كه كارشناسان معتقدند ساخت اين نوع ويروسها به دليل هزينههاي بالاي آن نميتواند توسط هكرهاي معمولي يا مستقل توليد شود، بلكه نياز به يك پشتيباني مالي بزرگ در حد يك كشور قدرتمند در اين حوزه دارد. برخي بر اين باورند كه ايالات متحده امريكا براي تعويق انداختن برنامه اتمي ايران و جلوگيري از حمله احتمالي اسراييل عليه جمهوري اسلامي و خريد زمان براي به حل ديپلماتيك موضوع هستهيي ايران دست به ساخت آنها زده است و گروهي ديگر معتقد به اين هستند كه اسراييل براي آسيب رساندن به تاسيسات اتمي ايران اين بدافزارها را توليد كرده است و گروهي نيز همكاري اسراييل و ايالات متحده را منجر به توليد اين ويروسها ميدانند. نشرياتي مانند واشنگتنپست و نيويوركتايمز معتقد به همكاري اين دو كشور در كنار يكديگر براي توليد اين بدافزارها بودهاند. اما به طور كل ميتوان نتيجه گرفت كه اين ويروسها توسط يك فرماندهي مشخص و مركزي طراحي شده است و اين كشور نميتواند كشوري جز ايالات متحده باشد.
آينده قطعا اين حملات سايبري نخستين و آخرين حملاتي نيستند كه صورت ميگيرد، بلكه نشانهايي از دنياي آينده و جنگهاي آتي به دست ميدهد. امكانات جديد دنياي امروزي راه رفتن روي يك تيغه است. زيرا ديگر در آينده هيچ مرزي براي كشورها و اطلاعات آنها يا حتي در اختيار داشتن صنايع و تاسيسات خود به تنهايي ندارند. اين حملات به فضاي سايبري ايران، زنگ خطري است براي ايران، زيرا بسياري از كارشناسان هنوز نميدانند كه در نهايت استاكس نت چه ميخواهد بكند و فعاليت خود را كامل نشان نداده. دوكو هنوز مشخص نشده براي چه به وجود آمده و حتي فليم نيز به طور قطعي نميتوان گفت از بين رفته است. زيرا ويروسي كه شش سال بدون اينكه كسي متوجه شود خود را گسترش داده است معلوم نيست به سادگي از بين رفته باشد. شايد بسياري از اين ويروسها هماكنون فعال باشند و ما بياطلاع باشيم. و تمام اينها، مقدمهيي براي يك شروع است.