חתיכות לפני פצצות: איך סטוקסנט נכה את חלומות הגרעין של איראן

עתיד הלוחמה אולי רק התחיל, אבל במקום להיות מבשר על ידי פיצוץ, הוא התחיל ללא צליל או נפגע אחד.

זה הראשון מסוגו, ויכול להיות איתות לדרכים שבהן כל המלחמות מתנהלות מעתה ואילך. זהו נשק סייבר כל כך מדויק שהוא יכול להשמיד מטרה בצורה יעילה יותר מחומר נפץ רגיל, ואז פשוט למחוק את עצמו, ולהשאיר את הקורבנות להאשים את עצמם. זה נשק שהוא כל כך נורא שהוא יכול להעלות על הדעת יותר מאשר רק לפגוע בחפצים פיזיים, הוא יכול להרוג רעיונות. זוהי תולעת Stuxnet, שכונתה על ידי רבים כנשק האמיתי הראשון בעולם ללוחמת סייבר, והמטרה הראשונה שלה הייתה איראן.

שחר של לוחמת סייבר

Stuxnet היא כמעט כמו משהו מרומן של טום קלנסי. במקום לשלוח טילים להשמדת מפעל גרעיני שמאיים על כל האזור והעולם, ומפוקח על ידי נשיא שטען שהוא היה רוצה לראות גזע שלם של אנשים "נמחק מהמפה", אפשר להכניס וירוס מחשב פשוט שיעשה את העבודה הרבה יותר ביעילות. לתקוף מבנה בטילים יכול להוביל למלחמה, וחוץ מזה, ניתן לבנות מחדש מבנים. אבל להדביק מערכת כל כך מלאה שהאנשים המשתמשים בה יתחילו לפקפק באמונתם ביכולות שלהם יהיו השפעות הרסניות הרבה יותר ארוכות טווח.

ברגע נדיר של פתיחות מאיראן, האומה עשתה זאת מְאוּשָׁר שהתוכנה הזדונית של Stuxnet (השם נובע ממילות מפתח קבורות בקוד) שהתגלתה במקור ביולי, פגעה בשאיפות הגרעיניות של המדינה. למרות שאיראן ממעיטה באירוע, חלקם דיווחים מצביעים על כך שהתולעת הייתה כל כך יעילה, שהיא אולי החזירה את תוכנית הגרעין האיראנית בכמה שנים.

במקום פשוט להדביק מערכת ולהרוס את כל מה שהיא נוגעת בה, Stuxnet היא הרבה יותר מתוחכמת מזה, וגם הרבה יותר יעילה.

התולעת חכמה ומסתגלת. כאשר הוא נכנס למערכת חדשה, הוא נשאר רדום ולומד את מערכת האבטחה של המחשב. ברגע שהוא יכול לפעול מבלי להעיר אזעקה, הוא מחפש מטרות מאוד ספציפיות ומתחיל לתקוף מערכות מסוימות. במקום פשוט להרוס את המטרות שלו, הוא עושה משהו הרבה יותר יעיל - הוא מטעה אותם.

בתוכנית העשרה גרעינית, צנטריפוגה היא כלי בסיסי הדרוש לזיקוק האורניום. כל צנטריפוגה שנבנתה עוקבת אחר אותה מכניקה בסיסית, אבל היצרנית הגרמנית סימנס מציעה את מה שרבים מחשיבים כטוב ביותר בתעשייה. Stuxnet חיפשה את בקרי סימנס ולקחה פיקוד על הדרך שבה הצנטריפוגה מסתובבת. אבל במקום פשוט להכריח את המכונות להסתובב עד שהן השמידו את עצמן - מה שהתולעת הייתה יותר ממסוגלת לעשות - Stuxnet ביצעה שינויים עדינים וערמומיים הרבה יותר במכונות.

כאשר דגימת אורניום הוכנסה לצנטריפוגה נגועה ב-Stuxnet לצורך עידון, הנגיף היה מצווה על המכונה להסתובב מהר יותר ממה שהיא תוכננה לה, ואז לפתע נעצר. התוצאות היו אלפי מכונות שהתבלו שנים לפני המועד, וחשוב מכך, דגימות הרוסות. אבל הטריק האמיתי של הנגיף היה שבזמן שהוא מחבל במכונות, הוא יזייף את הקריאות ויגרום לה להיראות כאילו הכל פועל במסגרת הפרמטרים הצפויים.

לאחר חודשים של זה, הצנטריפוגות החלו להישחק ולהישבר, אך כשהקריאות עדיין נראה כי הוא במסגרת הנורמות, המדענים הקשורים לפרויקט החלו לנחש עצמם. סוכני ביטחון איראנים החלו לחקור את הכשלים, והצוות במתקני הגרעין חי תחת ענן של פחד וחשד. זה נמשך למעלה משנה. אם הנגיף היה מצליח להימנע לחלוטין מגילוי, הוא בסופו של דבר היה מוחק את עצמו לחלוטין ומשאיר את האיראנים תוהים מה הם עושים לא בסדר.

במשך 17 חודשים הצליח הנגיף לפלס את דרכו בשקט לתוך המערכות האיראניות, להרוס לאט דגימות חיוניות ולפגוע בציוד הדרוש. אולי יותר מהנזק למכונות ולדגימות היה הכאוס אליו נזרקה התוכנית.

האיראנים מודים בחוסר רצון בחלק מהנזק

נשיא איראן, מחמוד אחמדינג'אד נִתבָּע ש-Stuxnet "הצליחה ליצור בעיות עבור מספר מצומצם של הצנטריפוגות שלנו", וזה שינוי הקביעה המוקדמת של איראן כי התולעת הדביקה 30,000 מחשבים, אך לא השפיעה על הגרעין מתקנים. כמה דיווחים לְהַצִיעַ במתקן נתנז, המאכלס את תוכניות ההעשרה האיראניות, 5,084 מתוך 8,856 צנטריפוגות הנמצאות בשימוש בגרעין האיראני. המתקנים הוצאו לא מקוון, אולי בגלל נזק, והמפעל נאלץ להיסגר לפחות פעמיים בגלל ההשפעות של נגיף.

Stuxnet כיוונה גם לטורבינת הקיטור מתוצרת רוסיה שמפעילה את מתקן בושהר, אך נראה כי הנגיף התגלה לפני שניתן היה לגרום נזק אמיתי. אם הנגיף לא היה מתגלה, בסופו של דבר הוא היה מפעיל את הסל"ד של הטורבינות גבוה מדי וגורם לנזק בלתי הפיך לתחנת הכוח כולה. גם מערכות טמפרטורה וקירור זוהו כמטרות, אך התוצאות של התולעת במערכות אלו אינן ברורות.

גילוי התולעת

ביוני השנה, מומחי האנטי-וירוס בבלארוס, VirusBlokAda, מצאו תוכנת תוכנה זדונית שלא הייתה ידועה בעבר במחשב של לקוח איראני. לאחר מחקר, חברת האנטי-וירוס גילתה שהוא תוכנן במיוחד לכוון את סימנס SCADA (בקרת פיקוח ורכישת נתונים) מערכות ניהול, שהן מכשירים המשמשים בקנה מידה גדול ייצור. הרמז הראשון שמשהו שונה בתולעת הזו היה שברגע שהועלתה הכוננות, כל חברה שניסתה להעביר את ההתראה הותקפה לאחר מכן ונאלצה להיסגר למשך 24 לפחות שעה (ות. השיטות והסיבות לתקיפות הן עדיין בגדר תעלומה.

לאחר גילוי הנגיף, חברות כמו סימנטק וקספרסקי, שתיים מחברות האנטי-וירוס הגדולות בעולם, וכן כמה סוכנויות ביון, החלו לחקור את Stuxnet, ומצאו תוצאות שהבהירו במהירות שלא מדובר בתוכנה זדונית רגילה.

עד סוף ספטמבר גילתה סימנטק שכמעט 60 אחוז מכל המכונות הנגועות בעולם נמצאות באיראן. ברגע שזה התגלה, התברר יותר ויותר שהנגיף לא תוכנן פשוט לגרום לבעיות, כמו חלקים רבים של תוכנות זדוניות, אבל הייתה לזה מטרה מאוד ספציפית וא יַעַד. רמת התחכום הייתה גם הרבה מעל כל מה שנראה קודם לכן, מה שגרם לרלף לנגנר, מומחה אבטחת המחשבים שגילה לראשונה את הנגיף, לְהַכרִיז שזה היה "כמו הגעת מטוס F-35 לשדה קרב של מלחמת העולם הראשונה".

איך זה עבד

Stuxnet מכוונת במיוחד למערכות ההפעלה Windows 7, שהיא, לא במקרה, אותה מערכת הפעלה המשמשת בתחנת הכוח הגרעינית האיראנית. התולעת משתמשת בארבע התקפות של יום אפס ומכוונת ספציפית לתוכנת WinCC/PCS 7 SCADA של סימנס. איום של יום אפס הוא פגיעות שאינה ידועה או בלתי ידועה על ידי היצרן. אלו הן בדרך כלל פגיעויות קריטיות למערכת, וברגע שהן מתגלות, תוקן מיד. במקרה זה, שני האלמנטים של יום אפס התגלו והיו קרובים לפרסום תיקונים, אך שניים אחרים מעולם לא התגלו על ידי איש. לאחר שהתולעת הייתה במערכת, היא החלה לנצל מערכות אחרות ברשת המקומית אליה היא מכוונת.

כשסטוקסנט פילסה את דרכה במערכות האיראניות, היא אותגרה על ידי אבטחת המערכת להציג תעודה לגיטימית. לאחר מכן, התוכנה הזדונית הציגה שתי אישורים אותנטיים, האחת מיצרנית המעגלים JMicron, והשנייה מיצרנית חומרת המחשב Realtek. שתי החברות ממוקמות בטייוואן במרחק רחובות אחד מהשני, ואושר ששתי התעודות נגנבו. התעודות האותנטיות הללו הן אחת הסיבות לכך שהתולעת הצליחה להישאר ללא זיהוי כל כך הרבה זמן.

לתוכנה הזדונית הייתה גם יכולת לתקשר באמצעות שיתוף עמית לעמית כאשר קיים חיבור לאינטרנט, מה שאפשר לה לשדרג לפי הצורך ולדווח על התקדמותה. השרתים שעמם תקשרה Stuxnet היו ממוקמים בדנמרק ובמלזיה, ושניהם נסגרו לאחר אישור שהתולעת נכנסה למתקן בנתנז.

כאשר Stuxnet החלה להתפשט ברחבי המערכות האיראניות, היא החלה לכוון רק ל"ממירי התדרים" האחראים על צנטריפוגות. באמצעות כוננים בתדר משתנה כסמנים, התולעת חיפשה במיוחד כוננים משני ספקים: Vacon, שבסיסה בפינלנד, ו-Fararo Paya, שבסיסה באיראן. לאחר מכן הוא מנטר את התדרים שצוינו, ותוקף רק אם מערכת פועלת בין 807Hz ל-1210Hz, דבר נדיר למדי תדירות שמסבירה כיצד התולעת יכלה לכוון באופן כה ספציפי למפעלים גרעיניים איראניים למרות התפשטות ברחבי העולם. לאחר מכן, Stuxnet מתחילה לשנות את תדר המוצא, מה שמשפיע על המנועים המחוברים. למרות שלפחות 15 מערכות אחרות של סימנס דיווחו על זיהום, אף אחת לא ספגה נזק מהתולעת.

כדי להגיע תחילה למתקן הגרעיני, היה צורך להכניס את התולעת למערכת, אולי בכונן USB. איראן משתמשת במערכת אבטחה "פער אוויר", כלומר למתקן אין חיבור לאינטרנט. זה עשוי להסביר מדוע התולעת התפשטה עד כה, שכן הדרך היחידה שלה להדביק את המערכת היא למקד לאזור רחב ולפעול כ טרויאני בזמן שהמתין שעובד גרעיני איראני יקבל תיק נגוע הרחק מהמתקן ויכניס אותו פיזית לתוך צמח. בשל כך, כמעט בלתי אפשרי לדעת היכן ומתי החלה ההדבקה בדיוק, שכן ייתכן שהיא הובאה על ידי מספר עובדים תמימים.

אבל מאיפה זה הגיע ומי פיתח אותו?

החשדות היכן מקורה של התולעת משתוללים, והחשוד היחיד הסביר ביותר הוא ישראל. לאחר מחקר יסודי של הנגיף, מעבדות קספרסקי הכריז שרמת התקיפה והתחכום שבה היא בוצעה יכלו להתבצע רק "בתמיכת מדינת לאום", מה שפוסל האקרים פרטיים קבוצות, או אפילו קבוצות גדולות יותר שהשתמשו בפריצה כאמצעי להשגת מטרה, כמו המאפיה הרוסית, שעל פי החשד יצרה תולעת טרויאנית האחראית על לגנוב מיליון דולר מבנק בריטי.

ישראל מודה בפה מלא שהיא רואה בלוחמת סייבר עמוד תווך של דוקטרינת ההגנה שלה, והקבוצה המכונה יחידה 8200, כוח ההגנה הישראלי הנחשב למקבילה הגסה של ה-NSA של ארצות הברית, יהיה הקבוצה הסבירה ביותר אחראי.

יחידה 8200 היא החטיבה הגדולה ביותר בצבא ההגנה לישראל, ולמרות זאת רוב פעולותיה אינן ידועות - אפילו זהותו של המח"ט הממונה על היחידה מסווגת. בין שלל מעלליו, אחד להגיש תלונה טוען כי במהלך תקיפה אווירית ישראלית על מתקן גרעיני סורי חשוד בשנת 2007, הפעילה יחידה 8200 מתג חיסול סייבר סודי שהשבית חלקים גדולים מהרדאר הסורי.

כדי להעניק אמון נוסף בתיאוריה זו, בשנת 2009, דחקה ישראל את התאריך שבו היא מצפה מאיראן שיהיה נשק גרעיני ראשוני ל-2014. ייתכן שזו תוצאה של שמיעה על בעיות, או שזה יכול לרמוז שישראל ידעה משהו שאף אחד אחר לא עשה.

גם ארה"ב היא חשודה עיקרי, ובמאי השנה טענה איראן שכן נֶעצָר 30 אנשים שלטענתה היו מעורבים בסיוע לארה"ב לנהל "מלחמת סייבר" נגד איראן. איראן גם טענה שממשל בוש מימן תוכנית של 400 מיליון דולר כדי לערער את היציבות באיראן באמצעות התקפות סייבר. איראן טענה שממשל אובמה המשיך באותה תוכנית, ואף האיץ חלק מהפרויקטים. המבקרים הצהירו כי הטענות של איראן הן פשוט תירוץ להדוף "בלתי רצויים", והמעצרים הם אחת מני רבות של נקודות מחלוקת בין איראן לארה"ב.

אך ככל שהנגיף ממשיך להיחקר והופיעו תשובות נוספות בנוגע לתפקודו, עולות יותר תעלומות לגבי מקורותיו.

לפי מיקרוסופט, הווירוס היה לוקח לפחות 10,000 שעות של קידוד, ולוקח צוות של חמישה אנשים או יותר, לפחות שישה חודשים של עבודה מסורה. רבים משערים כעת שזה ידרוש מאמצים משולבים של קהילות מודיעין של כמה מדינות שכולן פועלות יחד כדי ליצור את התולעת. בעוד שלישראלים יש את הנחישות והטכנאים, יש הטוענים כי תידרש רמת הטכנולוגיה של ארצות הברית כדי לקוד את התוכנה הזדונית. לדעת את האופי המדויק של מכונות סימנס במידה שסטוקסנט עשתה, עשוי להציע גרמנית מעורבות, וייתכן שהרוסים היו מעורבים בפירוט המפרט של המנגנון הרוסי בשימוש. התולעת הותאמה לפעול בתדרים שכללו רכיבים פיניים, מה שמרמז שפינלנד ואולי גם נאט"ו מעורבים. אבל יש עוד תעלומות.

התולעת לא זוהתה בגלל פעולותיה במתקני הגרעין האיראניים, אלא כתוצאה מההדבקה הנרחבת של Stuxnet. ליבת העיבוד המרכזית של מפעל העיבוד הגרעיני האיראני ממוקמת עמוק מתחת לאדמה, ומנותקת לחלוטין מהאינטרנט. כדי שהתולעת תדביק את המערכת, היא חייבת להיות מוכנסת למחשב או לכונן הבזק של חבר צוות. כל מה שנדרש זה עובד בודד שייקח איתו את העבודה הביתה, ואז יחזור ויכניס משהו כמו תמים כמו כונן הבזק לתוך המחשב, וסטוקסנט תתחיל בצעדה השקטה למכונות הספציפיות זה רצה.

אבל אז נשאלת השאלה: מדוע האנשים האחראים לנגיף פיתחו נשק סייבר מתוחכם להפליא, ואז שחררו אותו בשיטה כל כך מרושלת? אם המטרה הייתה להישאר לא מזוהה, שחרור של וירוס שיש לו את היכולת להשתכפל במהירות שהוא הראה הוא מרושל. זה היה עניין של מתי, לא אם, הנגיף יתגלה.

הסיבה הסבירה ביותר היא שלמפתחים פשוט לא היה אכפת. לשתול את התוכנה בזהירות רבה יותר היה לוקח הרבה יותר זמן, והעברת התולעת למערכות הספציפיות עשויה להימשך הרבה יותר זמן. אם מדינה מחפשת תוצאות מיידיות כדי לעצור את מה שהיא עשויה לראות כהתקפה מתקרבת, אז המהירות עשויה לגבור על הזהירות. המפעל הגרעיני האיראני הוא המערכת הנגועה היחידה שדיווחה על נזק אמיתי מ-Stuxnet, כך שהסיכון למערכות אחרות נראה מינימלי.

אז מה הדבר הבא?

סימנס פרסמה כלי זיהוי והסרה עבור Stuxnet, אבל איראן עדיין נאבקים כדי להסיר לחלוטין את התוכנה הזדונית. עוד ב-23 בנובמבר היה המתקן האיראני של נתנז כָּפוּי להיסגר, וצפויים עיכובים נוספים. בסופו של דבר, תוכנית הגרעין צריכה לחזור לפעול.

בסיפור נפרד, אך אולי קשור, מוקדם יותר השבוע נהרגו שני מדענים איראנים בהתקפות פצצה נפרדות אך זהות בטהראן, איראן. במסיבת עיתונאים למחרת, הנשיא אחמדינג'אד סיפר כתבים כי "ללא ספק, יד המשטר הציוני וממשלות המערב מעורבת ברצח".

מוקדם יותר היום, פקידים איראנים נִתבָּע ביצע מספר מעצרים בהפצצות, ולמרות שזהות החשודים לא פורסמה, שר המודיעין של איראן אמר " לשלוש סוכנויות ריגול של המוסד, CIA ו-MI6 היה תפקיד ב(התקפות) ועם מעצרם של האנשים הללו, נמצא רמזים חדשים לעצור אחרים אלמנטים,"

השילוב של ההפצצות והנזק שנגרם על ידי נגיף Stuxnet אמור לשקול כבדות על השיחות הקרובות בין איראן לקונפדרציה בת שש מדינות של סין, רוסיה, צרפת, בריטניה, גרמניה וארה"ב ב-6 בדצמבר ו-7. השיחות נועדו להמשיך את הדיאלוג לגבי שאיפותיה הגרעיניות האפשריות של איראן.