איראן: "עצרנו את מחדירי הנוזקה שפגעה במערכות ה-IT שלנו"

איראן הודיעה, כי עצרה אזרחים שקשורים להחדרה של נוזקה שגרמה לשיבוש במערכות ה-IT שלה, לרבות זה שבכור האטומי שבבושהר.

על פי JTA, סוכנות הידיעות היהודית העולמית, חיידר מוסלהי, שר הביון האיראני, לא מסר בהודעתו בכמה עצורים מדובר. מטהרן נמסר, כי התקיפה על ידי הנוזקה מצויה כעת תחת שליטה ופיקוח של אנשי IT אירניים, הנאבקים למזער את נזקיה.

פקידים איראניים מסרו כי התקיפה והחדרת הנוזקה היא פרי עבודה משותפת של ישראל וגורמי ביון מערביים.

הדיווח על המעצר מגיע ימים אחדים אחרי שאיראן אישרה דיווחים שלפיהם נוזקה חדרה למחשבי סוכנות הגרעין שלה, וכי הפורצים קשורים לישראל ולמדינות נוספות במערב. מומחי אבטחה של סימנטק (Symantec) העריכו בסוף השבוע אף הם, כי לנוזקה עשוי להיות קשר לישראל – והם אף סיפקו לכך הוכחה.

מזה מספר שבועות נאבקים אנשי הסוכנות לאנרגיה אטומית של איראן בסטוקסנט (Stuxnet), נוזקה שהוחדרה למערכות ה-IT שלה ומנסה להשתלט עליהן. מומחי ביטחון ואבטחת מידע בעולם העריכו, כי הנוזקה הוחדרה על ידי האקרים מקצועיים, והם שלוחיה של מדינה, שמטרתה למנוע את התקדמות תכנית הגרעין האירנית.

הנוזקה נועדה לפגוע במערכות ה-IT של מפעלים רבים באיראן, לרבות אלה של הכור האטומי שלה בבושהר.

בסוף השבוע האחרון הסתיים בוונקובר שבקנדה כנס אבטחת מידע. במסגרת הכנס הציגו שלושה מומחים מ-"צוות התגובה לאירועי אבטחה" של סימנטק ניתוח של שורות הקוד של הנוזקה, שכללו התייחסות של כותביה. כך, טענו שלושת המומחים, ניקולס פאלייר, ליאם מורצ'ו ואריק צ'אן, כי בתוך שורות הקוד הוטמנו הספרות 19790509. אלה מסמלות את התאריך 9 במאי 1979, שבו הוצא להורג בידי כיתת יורים חביב אלגאניאן, בכיר בקהילה היהודית בטהרן. הוא נידון למוות בשל "שחיתות", "יצירת קשר עם ישראל והציונות", "חברות עם אויבי האל" ו-"אימפריאליזם כלכלי".

הוצאתו להורג של איש העסקים והתורם הנדיב הייתה אחת הראשונות באיראן תחת שלטון חומייני, שהחל זמן קצר קודם לכן, והראשונה של יהודי. בעקבות ההוצאה להורג שרר הלם בקהילה היהודית המקומית, וחלה הגברה בעליית יהודי איראן לישראל. קובץ המספרים, טענו שלושת המומחים, אינו מקרי והוא בבחינת סוג של "חתימה" של מפתחי על עבודתם, ומהווה מעין איום כלפי המותקפים.

על פי הניו-יורק טיימס (New York Times), מומחי אבטחה אחרים מצאו אזכורים לכך שמפתחי הנוזקה כינו אותה Myrtus – המילה הלועזית להדס, אחד מארבעת המינים וצמח חשוב בתרבויות רבות במזרח התיכון. בנוסף, הם הזכירו שהדסה הוא שמה של אסתר המלכה, שהצילה את היהודים ממזימת ההשמדה שלהם בממלכת פרס. מומחים נוספים מצאו, כי חלקים נוספים מהקוד כונו בשם גויאבה – אף הוא ממשפחת ההדסיים.

בתחילת השנה דווח באמצעי תקשורת בישראל ובחו"ל, כי במטה הכללי של צה"ל נערכים דיונים להקמת מטה פיקוד קיברנטי, שיפעל בראשות מפקד יחידה 8200 ובשיתוף עם אנשי לוט"ם שבאגף התיקשוב. חיילי הפיקוד – מומחי מחשבים, חדירות, תקיפות ואבטחת מידע – מיועדים, על פי הדיווחים, לתקוף מטרות IT ושו"ב של מדינות עוינות לישראל.

על פי דיווחים זרים, ה-CIA, המוסד וארגוני ביון מערביים נוספים פעלו לחבל בפעילות הכור הגרעיני בבושהר. בתוך כך, הפעלת הכור הגרעיני בבושהר נדחתה לאוקטובר, חודשים לאחר מועד ההפעלה המתוכנן. הכור יתחיל לייצר חשמל בפועל רק בינואר 2011. איראן הכחישה שהדחייה קשורה לנוזקה שהתגלתה.

60% מהמחשבים שנדבקו בנוזקה – באיראן

לפי סימנטק, כ-60% מהמחשבים שנדבקו בנוזקה מצויים באיראן. הנוזקה נתגלתה לראשונה על ידי חברת אבטחה מבלרוס ביולי השנה, ומאז היא נמצאה גם בארצות הברית, הודו, פקיסטן ואינדונזיה.

מומחים קבעו, כי סטוקסנט היא מהנוזקות המתוחכמות שעולם אבטחת המידע ידע אי פעם, חריגה וייחודית. לדברי אותם מומחים, בניגוד לרוב הנוזקות – שמטרתן שליפת נתונים לטובת הוצאת כספים או גניבת נתוני מידע ומכירתם, סטוקסנט תוכננה ופותחה לחבל במערכות ה-IT אליהן היא מצליחה לחדור, לרבות במערכות תשתיות לשליטה ולבקרה במפעלים שונים, דוגמת כורים אטומיים.

הנוזקה פותחה כך שתוכל לזהות את רשת התקשורת האחראית לשליטה ובקרה (שו"ב) מרחוק במפעלים, ואז להרוס אותה. מטרתה היא לתקוף את SCADA (ר"ת Supervisory Control And Data Acquisition) – מערכות שו"ב וניהול ייעודיות המאפיינות גופי תשתיות לאומיות קריטיות, כגון חשמל, מים, גז, דלק, תקשורת ועוד. המידע במערכות הללו נשלח מהבקרים השונים שפזורים בשטח, אל מרכז השליטה וממנו עד למערכות הביצוע.

סטוקסנט פועלת תוך גילוי פרצות אבטחה שטרם הוטלאו במערכות ההפעלה חלונות (Windows) של מיקרוסופט (Microsoft). לאחר מכן היא מנסה להגיע לרכיב בשם Simatic WinCC, המיוצר על ידי סימנס (Siemens), ושתפקידו לבצע שליטה ובקרה מרחוק על מפעלים. סימנס הייתה מעורבת בעיצוב ובבניית הכור האטומי בבושהר.

הגרדיאן (Guardian) הבריטי ציטט לפני כשבועיים הערכות של מומחי ביטחון לאומי שלפיהן יעד הנוזקה אכן היה הכור בבושהר. הכור, שהחל לפעול באוגוסט השנה, אמרו המומחים שלא לייחוס, היווה את מטרת התקיפה של הנוזקה, והאקרים ישראלים הם שעומדים מאחוריה. מומחי אבטחת מידע ציינו כי יהיה קשה עד בלתי אפשרי לגלות את זהות התוקפים.

מומחי אבטחה של סימנטק, העוקבים אחר התפשטות סטוקסנט בעולם, ציינו שהתוקפים היו מומחים מהמעלה הראשונה בפיתוח הנוזקה, מצוידים במיטב הכלים הטכנולוגיים הנדרשים לפיתוח ולהפצתה, וכי המדובר בקבוצה של חמישה עד עשרה האקרים שהתכוננו למבצע ההחדרה במשך כחצי שנה.