בכיר בסימנטק בסנאט: "סטוקסנט – קריאת השכמה לעולם; תקיפת מערכות קריטיות הפכה למציאות"

"הנוזקה סטוקסנט (Stuxnet) היא קריאת השכמה לעולם, בשל מורכבותה והיכולת שלה לפגוע בתשתיות קריטיות ברחבי העולם" – כך אמר דין טרנר, בכיר בסימנטק (Symantec).

טרנר, מנהל צוות התגובה של רשת המידע העולמית של החברה, העיד בסוף השבוע בוועדה של הסנאט האמריקני להגנה על תשתיות לאומיות. לדבריו, "הנוזקה היא אבן דרך עולמית בעולם האבטחה המקוון ובעולם בכלל".

בעדותו פירט טרנר את ייחודיותה של סטוקסנט: לדבריו, היא הראשונה שנועדה לרגל אחרי ולתכנת מחדש מערכות IT של תשתיות לאומיות קריטיות, תוך שימוש בארבע פרצות שטרם תוקנו (zero-day);  היא בעלת יכולת הזרקה של קוד זדוני למערכות שו"ב (ר"ת שליטה ובקרה), תוך שהיא מסתירה אותו מהמפעילים; והיא כוללת בקר לוגי ניתן לתכנות, הכולל בתוכו נוזקה מסוג rootkit, לצורך כתיבה מחדש של חלקים במערכת השו"ב והסתרת השינויים הללו.

"סטוקסנט היא איום מורכב וגדול", אמר. "למעשה, באופן מדהים ויוצא מהכלל, זהו אחד האיומים הכי משמעותיים שניתחנו אי פעם במעבדות המחקר בחברה. התולעת ממחישה את מידת הפגיעות של מערכות לאומיות קריטיות ושל מערכות שו"ב בתעשייה, כמו גם את העובדה שאלה עלולות להיות מותקפות באופן נרחב". הוא הוסיף, כי "זוהי קריאה השכמה לכל מי שממונה על מערכות השו"ב הקריטיות בעולם. אפשרות התקיפה הפכה ממדע בדיוני לסבירות מציאותית. המשמעות והתוצאות הרות האסון שלה הן מעבר לכל מה שחווינו בעבר".

הנוזקה פגעה בעיקר באיראן

שון מק'גורק, מנהל המרכז הלאומי לאבטחה קיברנטית ותקשורת בארצות הברית (NCCIC), אמר בעדותו בפני הוועדה, כי "הנוזקה הזו משנה את כללי המשחק בתחום". לדבריו, "היא משנה באופן דרמטי את האופן שבו עלינו להתייחס לתחום אבטחת המידע, ליעדים העלולים להיות מותקפים ולמענה הנדרש".

"בזמן שאיננו יודעים מה היה היעד ומה הייתה מטרת התקיפה", אמר הבכיר, "חשוב להדגיש שהשילוב בין התקיפה של מערכות חלונות (Widows) וסימנס (Siemens), עלול להיות מנוצל כדי לשלוט במערכות שו"ב של מערכות לאומיות לתשתיות קריטיות במגוון מגזרי שוק – מתעשיית כלי הרכב ועד לייצור מזון לתינוקות".

"הסכנה היא בהישענות של האוכלוסיה על תעשיות אלה בחיי היום יום – מפתיחת מתג האור דרך שתיית מים מהברז ועד הייצור לסוגיו", הוסיף. "למרות השוני ביניהן, לכל התעשיות הללו יש דבר אחד משותף שעליו הן נשענות: מערכת ניטור, אבטחה ובקרה על התהליך שלהן".

הבכיר סיים בהתריעו, כי "התקפה מקוונת מוצלחת על מערכת השו"ב תביא לנזק פיסי, אובדן חיי אדם ולשיבוש חיי האוכלוסייה האזרחית באופן שהיא לא תוכל לקבל שירותים חיוניים בסיסיים".

הנוזקה סטוקסנט התגלתה בראשונה ביולי השנה על ידי חברת אבטחה מבלרוס, ומאז היא נמצאה גם באיראן, ארצות הברית, הודו, פקיסטן ואינדונזיה. על פי סימנטק, כ-60% מהמחשבים שנדבקו בנוזקה מצויים באיראן.

בספטמבר אישרו השלטונות בטהרן, כי הנוזקה חדרה למחשבי סוכנות הגרעין שלה. מומחי ביטחון ואבטחת מידע בעולם העריכו אז, כי החדירו אותה האקרים מקצועיים, וכי הם שלוחיה של מדינה שמטרתה למנוע את התקדמות תוכנית הגרעין האיראנית. הנוזקה נועדה לפגוע במערכות ה-IT של מפעלים רבים באיראן, לרבות אלה של הכור האטומי שלה בבושהר.

סטוקסנט פועלת תוך גילוי פרצות אבטחה שטרם הוטלאו במערכות ההפעלה חלונות של מיקרוסופט (Microsoft). לאחר מכן היא מנסה להגיע לרכיב בשם Simatic WinCC, המיוצר על ידי סימנס, שתפקידו לבצע שליטה ובקרה מרחוק על מפעלים. סימנס הייתה מעורבת בעיצוב ובבניית הכור האטומי בבושהר. לפי פרסומים זרים, ה-CIA, המוסד וארגוני ביון מערביים נוספים פעלו לחבל בפעילות כור זה. לאחר מכן פורסם, כי היא נועדה לשבש ולגרום נזק לעבודת המנועים המפעילים את הסרכזות (צנטריפוגות) של האתר להעשרת אורניום בנתאנז. ארצות הברית בחנה את הנוזקה ומסרה שאינה יודעת את מקורה וזהות מפיציה.

הנוזקה פותחה כך שתוכל לזהות את רשת התקשורת האחראית לשו"ב מרחוק במפעלים, ואז להרוס אותה. היא פותחה לתקוף את SCADA (ר"ת Supervisory Control And Data Acquisition). מדובר במערכות שו"ב וניהול ייעודיות, המאפיינות גופי תשתיות לאומיות קריטיות, כגון: חשמל, מים, גז, דלק ותקשורת. המידע במערכות הללו נשלח מהבקרים השונים שפזורים בשטח, אל מרכז השליטה וממנו עד למערכות הביצוע.

מומחים קבעו, כי סטוקסנט היא מהנוזקות המתוחכמות שעולם אבטחת המידע ידע אי פעם, וכי היא חריגה וייחודית. לדבריהם, בניגוד לרוב הנוזקות – שמטרתן שליפת נתונים לטובת הוצאת כספים או גניבת נתוני מידע ומכירתם, הרי שסטוקסנט תוכננה ופותחה כך שתחבל במערכות ה-IT אליהן היא מצליחה לחדור, לרבות במערכות תשתיות לשליטה ולבקרה במפעלים שונים, דוגמת כורים אטומיים.