הקורבנות הראשונים של סטוקסנט: חמישה מפעלים אירניים שעוסקים במיכון תעשייתי
חוקרים מקספרסקי ענו על שאלה שהטרידה מומחים רבים: התולעת פעלה בתחילה נגד מפעלים אירניים שפיתחו מערכות בקרה לתעשייה ● הם הגיעו למסקנה לאחר שחקרו יותר מ-2,000 קבצים שהכילו את התולעת
חוקרי קספרסקי (Kaspersky) גילו מהו היעד המקורי של התולעת סטוקסנט (Stuxnt), שפגעה במתקני הייצור של הגרעין האירני: חמישה מפעלים במדינה האסלאמית שמעורבים במיכון תעשייתי.
החוקרים של ענקית אבטחת המידע ענו על שאלה שמטרידה מומחים רבים בעולם, שמאז התגלתה התולעת ב-2010 מנסים לחקור באילו יעדים היא פגעה. הם עשו זאת לאחר ניתוח של יותר מ-2,000 קבצי סטוקסנט שנאספו במהלך שנתיים.
התולעת התגלתה בפעם הראשונה ביוני 2010. בספטמבר אותה שנה היא זכתה לפרסום עולמי כאשר דווח שהיא נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של אירן. בין המדינות ששמן נקשר ליצירת התולעת: ישראל, ארצות הברית ומדינות אירופיות. חודשיים לאחר מכן הודה נשיא אירן דאז, מחמוד אחמדינג'אד, שהתולעת פגעה בתוכנית הגרעין של ארצו. ככל הידוע, הנוזקה הביאה להשמדתן של יותר מ-1,000 צנטריפוגות במפעל האטום שנמצא בסמוך לעיר נתאנז באירן. בסופו של דבר, היא התפשטה ופגעה במאות אלפי מערכות ברחבי העולם, מה שהביא לגילויה.
בתחילה, לחוקרי אבטחה שונים בעולם לא היה ספק שמדובר בתקיפה ממוקדת מטבעה. הקוד של סטוקסנט נראה מקצועי וייחודי, והייתה עדות לכך שנעשה בתקיפות שימוש בפרצות מסוג "יום אפס" יקרות ביותר. למרות זאת, לא היה ידוע איזה סוג של ארגון הותקף ראשון וכיצד התוכנה הזדונית הצליחה לחדור לצנטריפוגות להעשרת אורניום במתקנים הסודיים ביותר של אירן.
מהניתוח החדש עולה כי כל חמשת הארגונים שהותקפו ראשונים פועלים בתחום מערכות הבקרה לתעשייה (ICS) באירן – הם מפתחים מערכות כאלה או מספקים חומרים וחלקים עבורן. הארגון החמישי שהותקף הוא המסקרן ביותר, מכיוון שלצד מוצרים אחרים לאוטומציה של תעשיה, הוא מייצר צנטריפוגות להעשרת אורניום. זהו בדיוק סוג הציוד שהחוקרים מאמינים שסטוקסנט נועדה לתקוף.
על פי אנשי קספרסקי, התוקפים ציפו שהארגונים המותקפים יבצעו החלפות מידע עם הלקוחות שלהם – כגון מתקנים להעשרת אורניום – ואז ניתן יהיה להכניס למתקנים האלה את הקוד הזדוני. התוצאה מצביעה על כך שהתוכנית הצליחה.
"ניתוח הפעילות המקצועית של הארגונים הראשונים שנפלו קורבן לסטוקסנט מספק לנו הבנה טובה יותר לגבי הדרך בה הפעילות כולה תוכננה", אמר אלכסנדר גוסטב, מומחה אבטחה בכיר במעבדת קספרסקי. "בסופו של יום, זו דוגמה לערוץ מתקפה שפועל דרך שרשרת אספקה: הקוד הזדוני מועבר אל ארגון המטרה באופן עקיף, דרך רשת של שותפים איתם המטרה עובדת".
תגלית מעניינת נוספת שהעלו חוקרי קספרסקי היא שסטוקסנט הופצה לא רק באמצעות התקני USB שהוכנסו למחשבים אישיים. זו הייתה התיאוריה הראשונית, והיא מאפשרת להסביר כיצד הקוד הזדוני הצליח להתגנב אל מתחם שאין בו קישוריות ישירה לאינטרנט. נתונים שנאספו בניתוח המתקפה הראשונה מראים כי הדוגמית הראשונה של התולעת, Stuxnet.a, הופעלה רק שעות בודדות לפני שהופיעה במחשבי הארגון הראשון שהותקף. לוח זמנים צפוף זה מקשה לדמיין כי התוקף הפעיל את הדוגמית, העלה אותה על התקן USB ושלח אותה לארגון המטרה בתוך שעות בודדות. סביר להניח שבמקרה זה, האנשים שמאחורי סטוקסנט השתמשו בטכניקות אחרות.
סטוקסנט – הספר
ניתן לקרוא את המידע הטכני העדכני ביותר לגבי מאפיינים של מתקפות סטוקסנט שהיו בלתי מוכרים בעבר ניתן לקרוא בבלוג Securelist ובספר חדש, "Countdown to Zero Day”, שכתב העיתונאי קים זטר. הספר כולל מידע שלא נחשף בעבר אודות סטוקסנט. חלק ממידע זה מבוסס על ראיונות עם חברי צוות המחקר והניתוח של מעבדת קספרסקי.
בפברואר 2013 פורסם כי על פי מה שמצאו חוקרי סימנטק (Symantec), התולעת האמריקנית-ישראלית (על פי הנטען) פעלה כבר ב-2005 – מוקדם יותר מאשר חשבו. עוד גילו אז החוקרים כי הגרסה המוקדמת של התולעת שהוחדרה למתקן הצנטריפוגות בנתאנז גרמה לסתימה של שסתומים, בעוד הגרסה המאוחרת פעלה לשינוי המהירות של הצנטריפוגות ולהתחממותן עד כדי הרס שלהן.
"סטוקסנט – אחת התוכנות המתוחכמות ביותר"
מומחי אבטחת מידע בעולם הגדירו את סטוקסנט כאחת התוכנות הזדוניות המתוחכמות ביותר שנכתבו אי פעם. היא נועדה לפגוע במערכות בקרה תעשייתיות מסוג SCADA של סימנס (Siemens) ודרכן במתקנים תעשייתיים המבוקרים על ידי מערכות אלה. הנוזקה, בעלת יכולת לתכנת מחדש בקר לוגי מיתכנת (PLC), משוכללת ביותר. היא מכילה כ-15 אלף שורות קוד, תוקפת את הבקרים של הצנטריפוגות ומשנה בהם את ההוראות. כך, התחממו ונהרסו, כאמור וככל הנראה, 1,000 או יותר מהן. עוד קיימת בסטוקסנט מערכת להסוואת החבלה תוך הדמיה של רישום פעילות פיקטיבית תקינה בעוד שתפקודה של המערכת לקוי. דבר זה נועד על מנת לעקוף את מנגנוני הבטיחות האוטומטיים של הצנטריפוגות ולשטות במפעילים ובחוקרי החבלה.
פענוח סטוקסנט הוכיח שתוכנות זדוניות המתקיימות בהצלחה בעולם הסייבר יכולות להיות בעלות השפעה משמעותית על תשתיות לאומיות חיוניות.
תגובות
(0)