כל מה שרציתם לדעת על התולעת האיראנית
לפני כשבועיים נתגלתה תולעת מיוחדת ומורכבת במיוחד שמטרתה לפגוע במחשבי שליטה ובקרה במתקני תעשייה. גורמים שונים בתחום אבטחת המידע מעריכים כי מאחורי התולעת המיוחדת עומדת מדינה עם יכולת של מלחמת-סייבר מתקדמות, וכי קיים סיכוי סביר שהיא תוכננה כדי לתקוף את מתקני הגרעין האיראניים
מספר מומחי אבטחה אשר עוקבים אחרי התפתחות המקרה מאז חודש יוני האחרון, מצאו כי אחוז גדול מהמערכות שנדבקו נמצאות באיראן, פקיסטן, הודו ואינדונזיה. כמו כן, לאחר שביצעו ניתוח של הקוד, מציינים המומחים כי מדובר בתולעת מתוחכמת ומורכבת מאוד, אשר מאחוריה עומד, כפי הנראה, כוח מדיני כלשהו ולא האקר קטן או קבוצה עצמאית.
אחת ההשערות שהועלו היא שקבוצה הממומנת על ידי ממשלה כלשהי, אולי ארצות הברית ואולי ישראל, היא זו שאחראית לתולעת, וכי היעד המקורי שלה הוא תקיפת מערכות מתקני הגרעין השונים באיראן.
מאז שנתגלתה התולעת לפני כשלושה חודשים, עובדים מספר מומחי אבטחת מידע מחברות כמו סימנטק וקספרסקי על ניתוח הקוד שמאחורי התולעת ועל הבנת אופי הפעילות שלה.
בניגוד לתולעים שהכרנו עד היום, Stuxnet מכוונת למערכות SCADA) Supervisory Control and Data Acquisition) בלבד. מערכות אלו משמשות בדרך כלל כמערכות שליטה ובקרה במרכזי תעשייה, מפעלים ואפילו בכורים גרעיניים, ובדרך כלל אינן מחוברות לרשת האינטרנט מסיבות של אבטחת מידע. לפיכך, התולעת החדשה מדביקה מכונות המבוססות על מערכת ההפעלה Windows בגרסאותיה השונות באמצעות אמצעי אחסון נרתיקים (Disk-On-Key) הנגועים בתולעת.
לאחר שמחשב מסוים הודבק בתולעת, היא תתחיל להתפשט ברשת הפנימית של הארגון ולחפש התקנות של תוכנות שליטה ובקרה תעשיתיות מתוצרת סימנס. כאשר התולעת מוצאת מחשבים המריצים את התוכנה, היא יודעת לתכנת מחדש תהליכים פנימיים (Programmable logic control) בתוכנה, ולתת לה פקודות חדשות. אותן פקודות מדוברות יכולות לכלול הדלקה וכיבוי של מכונות ומנועים שונים במפעל, ניטור טמפרטורה ושליטה על אמצעי הקירור.
אחד הדברים היותר מעניינים בתולעת המדוברת, הוא מה שהיא עושה במידה והיא לא מגלה את התוכנות הספציפיות מותקנות על המחשב.
ברוס שנייר, אחד ממומחי האבטחה שעובדים על ניתוח יכולות התולעת מספר, כי עד היום מומחי אבטחה כמעט ולא נתקלו בסוגים כאלה של איומים. שנייר ציין כי התולעת Stuxnet הפתיעה חוקרים רבים ולא רק בגלל הייעוד שלה, אלא גם בגלל המורכבות שלה.
לפי הדיווחים, התולעת השתמשה במספר טכניקות לא מוכרות שמומחי אבטחת המידע השונים לא נתקלו בהן עד היום. בין הפקודות השונות שנמצאו בקוד התולעת היו כאלו שאפשרו לה להסתתר בתוך תהליכים פנימיים של מערכת השו"ב הנגועה, וכאלו שאפשרו לה להפיץ את עצמה בשש דרכים שונות. בנוסף לכך, התולעת ביצעה שימוש בלא פחות מ-4 חורי אבטחה שונים במערכת ההפעלה, שלא היו מוכרים למיקרוסופט עד היום (Zero-Day Exploits).
מיקו היפונן, מנהל המחקר בחברת אבטחת המידע F-Secure, אמר בראיון ל-BBC כי זה מאוד נדיר לראות תולעת שמשתמשת ב-Zero-Day Exploit שאינו מוכר ובטח בכמה כאלה יחדיו באותה התולעת. "האקרים רגילים מעריכים מאוד פרצות Zero-Day והם לא 'יבזבזו' כל כך הרבה חורים על ידי שזירתם יחד באותה התולעת" הוסיף היפונן.
ענקית הטכנולוגיה סימנס, המפתחת את מערכות השליטה והבקרה המהוות את המטרה של התולעת, יצאה בהצהרה לפיה לא ידוע לה כי המערכות שלה הן מטרה לתקיפה כזאת או אחרת, אך הוסיפה כי מספר מחשבים המפעילים את המערכות שלה בגרמניה אכן נדבקו בתולעת. לדברי החברה, כל אותם מחשבים שנדבקו נוקו באופן מלא ולא נרשמו נזקים מיוחדים.
מאידך, מומחים שונים מדווחים על עשרות אלפי מחשבים ברחבי איראן שנדבקו בתולעת המדוברת ולפי מספר דיווחי מודיעין, גם חלק מהמחשבים הפועלים במתקני הגרעין האיראניים הושפעו ממנה.
אתר החדשות הישראל תיק דבקה, פרסם אתמול ידיעה לפיה מוחמד אלייאי, מזכ"ל המועצה לטכנולוגיה והאחראי על הפעלת מרכזי השרתים של מערכות המחשבים באיראן, ציין כי לפחות 30 אלף מחשבים במדינה הפועלים במערכות תעשייתיות מרכזיות נפגעו על ידי Stuxnet, וכי למרות המאמצים של מומחי האבטחה האיראניים, הם עדיין לא הצליחו להשתלט עליה.
כמו כן ציין אלייאי, כי בנוסף לנזק שמבצעת התולעת היא גם מיועדת להעביר מידע על מרכזי תעשייה שונים באיראן אל גורמים הנמצאים מחוץ למדינה, אך נתון זה לא אושר על ידי אף אחת מחברות האבטחה שבחנו את התולעת עד כה.
חשוב לציין כי כל הנתונים שהוצגו כאן מתבססים על ניתוח חלקי בלבד של הקוד בתולעת. אף על פי כן, ישנם לא מעט נתונים המצביעים על כך שמאחורי התולעת כן עומד כוח מדיני, ולמרות שאנחנו לא חסידים גדולים של תיאוריות קונספירציה, אם השמועות על יחידת הסייבר-קומנדו שמוקמת בימים אלה בצה"ל נכונות, אולי מדובר כאן באיזשהו ניסוי כלים מעניין במיוחד.
הכתבה פורסמה לראשונה באתרnewsgeek
נא להמתין לטעינת התגובות
אקו"ם