סטקסנט
סטקסנט (Stuxnet) היא תולעת מחשב שפגעה בשנת 2011 בתוכנית הגרעין האיראנית[1], באמצעות פגיעה במערכות בקרה תעשייתיות מסוג SCADA מתוצרת חברת "סימנס" ששולטות בצנטריפוגות במתקן ההעשרה בנתנז[2][3]. מומחים מאמינים שישראל וארצות הברית יצרו את התולעת בשיתוף.
לתולעת יכולת לתכנת מחדש בקר לוגי מיתכנת (PLC). זו התולעת הראשונה שנתגלתה עם Rootkit ל-PLC, וכנראה תולעת ראשונה שנועדה לפגוע במערכות בקרה תעשייתיות, ודרכן במתקנים תעשייתיים המבוקרים על ידי מערכות אלה.
חברות אבטחת מידע שעסקו בניתוח התולעת גילו שהפצתה עשתה שימוש בארבע פרצות אבטחה לא ידועות (התקפת Zero Day) של מערכת ההפעלה "חלונות", לשם תקיפת תוכנת SCADA מתוצרת חברת "סימנס". סטקסנט נחשבת לנוזקה מורכבת יחסית, הכתובה בשפות תכנות אחדות, ובהן C ו-C++. לתולעת חתימה דיגיטלית שנגנבה משני מפיצים של חתימה דיגיטלית, צעד שאיפשר לתולעת שלא להתגלות במשך תקופה ארוכה.
על פי מומחה האבטחה ראלף לאנגנר, שבחן את הנוזקה, מדובר בנוזקה משוכללת ביותר, שמכילה כ-150,000 שורות קוד, שתוקפת את הבקרים של צנטריפוגות במתקנים גרעיניים ומשנה בהם את ההוראות בצורה שתגרום לנזק פיזי בצנטריפוגות. לאנגנר דימה את קוד התקיפה לשני "ראשי טיל דיגיטליים" שיועדו לפגוע ברוטרים ובשסתומים של הצנטריפוגות, יחד עם מערכת הסוואה שנועדה להסתיר את כל הפעילות הזו. "ראש הטיל הקטן" יועד לפגיעה ברוטרים של צנטריפוגות מסדרה אחת, באמצעות שינוי מהירות הסיבוב שלהם, דבר שעלול להביא לסדיקה של הצנטריפוגות ואף להתפוצצותן, הדבר תוכנן להעשות באיטיות ובחשאיות כך שיהיה קשה לנטר אותו. "ראש הטיל הגדול" כוון לשינוי תפקודי השסתומים של צנטריפוגות משש סדרות אחרות, כך שישנה התקפה על הצנטריפוגות משני כיוונים שונים. בנוסף קיימת בנוזקה מערכת להסוואת החבלה תוך הדמיה של רישום פעילות פיקטיבית תקינה בעוד שתפקודה של המערכת לקוי, דבר זה נועד לעקוף את מנגנוני הבטיחות האוטומטיים של הצנטריפוגות, ולשטות במפעילים ובחוקרי החבלה. לדבריו, עוד ניכר מנוזקה זו כי מי שכתב אותה הכיר את המבנה של הצנטריפוגות והבקרים שלהם בכל היבט, והיא נועדה למטרה אחת ויחידה, להשבית את הצנטריפוגות של נתנז.
ההערכה היא שהתולעת פעילה מאז 2007,[4] ושגרסאות מתקדמות שלה הופצו מאוחר יותר. כניסתה של התולעת לרשת מחשבים נעשתה באמצעות אמצעי לאחסון נתונים, ובפרט דיסק און קי, המוכנס למחשב המחובר לרשת. התולעת הדביקה מחשבים באיראן ובמדינות נוספות, ובהן ארצות הברית, הודו, צרפת ובלארוס.
| מדינה | מחשבים נגועים |
|---|---|
| איראן | 58.85% |
| אינדונזיה | 18.22% |
| הודו | 8.31% |
| אזרבייג'ן | 2.57% |
| ארצות הברית | 1.56% |
| פקיסטן | 1.28% |
| מדינות אחרות | 9.2% |
חשיפה
התולעת התגלתה לראשונה ביוני 2010 על ידי חברת אבטחת מידע מבלארוס, ובמהלך החודש שלאחר מכן ננקטו צעדים לבלימתה מצד החברות שפרצות אבטחה שלהן שימשו את התולעת - סימנס,[5] מיקרוסופט[6] ווריסיין[7]. חברת סימנס הפיצה ללקוחותיה ערכה לגילוי ולהסרה של התולעת, והמליצה לסגור את פרצות האבטחה שאיפשרו את חדירת התולעת. חברות האנטי-וירוס הפיצו אף הן כלים למניעת כניסתה של התולעת.[8]
בספטמבר 2010 זכתה התולעת לפרסום עולמי כאשר באמצעי התקשורת פורסמה השערה שהתולעת נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של איראן. בין המדינות ששמן נקשר ליצירת התולעת: ישראל, ארצות הברית ומדינות אירופיות. ביולי 2013 אישר אדוארד סנודן, מנהל מערכות מידע לשעבר בארגון הביון האמריקאי NSA, כי ה-NSA וישראל כתבו ביחד את סטקסנט.[9]
בנובמבר 2010 הודה נשיא איראן מחמוד אחמדינז'אד שהתולעת פגעה בתוכנית הגרעין של ארצו.[10]
נטען שסטקסנט גרמה נזק כבד לתוכנית הגרעין האיראנית, באמצעות הרס הצנטריפוגות ששימשו תוכנית זו.[11] ב-26 בינואר 2011 טען שגריר רוסיה לנאט"ו, דמיטרי רוגוזין, שמתקפת התולעת עלולה הייתה לגרום לאסון הדומה לאסון צ'רנוביל, ודרש מנאט"ו לחקור את הנושא.[12]
בדצמבר 2011 טען ג'ון בומגרנר, מומחה לאבטחת מידע, שסטקסנט הדביקה את המערכות האיראניות רק בזכות דלת אחורית שיצרה לה למעשה קונפיקר, תולעת מחשב שתקפה באוקטובר 2008 מחשבים רבים ברחבי העולם.[13]
נטען כי סטקסנט השתמשה במידע שאספה הנוזקה להבה.[14]
במאי 2013 נטען במחקר בריטי שסטקסנט לא עיכב את תוכנית הגרעין האיראנית, ואף תרם לאיתור בעיות תפעוליות בה.[15]
ב-2016 הוצג סרט תיעודי בשם Zero Days, אשר טען כי בידיו עדויות חסויות של אנשי NSA שמעידים כי גילוי המערכת נבע מפזיזות ישראלית, בפרט ביחידה 8200, והאשים אותה בהכנסת שינויים במערכת סטקסנט שגרמו להפצה נרחבת מהרצוי של הווירוס ובשל כך לחשיפת המבצע, ולהפעלת הוירוס בלי אישור אמריקאי ולכן מטילה על ישראל את האחריות על דליפת הטכנולוגיה הרגישה הכרוכה בו לידיים איראניות ורוסיות[16].
ראו גם
קישורים חיצוניים
הסברי וידאו על התולעת:
- ראלף לאנגנר: פיצוח סטאקסנט, נשק קיברנטי של המאה ה-21, אתר TED
Stuxnet: How It Infects PLCs, הדגמה חיה על פעולת התולעת מחברת סימנטק, סרטון באתר יוטיוב (באנגלית)
כתבות:
- יוסי הטוני, המלחמה על האטום: איראן אישרה שנוזקה חדרה למחשבי סוכנות הגרעין שלה, באתר "אנשים ומחשבים", 26 בספטמבר 2010
- יניב פלדמן, כל מה שרציתם לדעת על התולעת האיראנית, באתר nrg, 26 בספטמבר 2010
- יוסי מלמן, הערכה: התולעת פגעה בתוכנית הגרעין האיראנית בשני "ראשי חץ" דיגיטליים, באתר הארץ, 20 בנובמבר 2010
- דיווח: איראן שיקמה את הכור הגרעיני אחרי תקיפת התולעת, באתר גלובס, 16 בפברואר 2011
- יוסי הטוני, הקורבנות הראשונים של סטוקסנט: חמישה מפעלים אירניים שעוסקים במיכון תעשייתי, באתר "אנשים ומחשבים", 18 בנובמבר 2014
רן לוי, Stuxnet - וירוס המחשב שהכה באיראן, באתר "עושים היסטוריה", דצמבר 2015 (שידור של הפודקאסט וטקסט מלא שלו)
- Aleksandr Matrosov, Eugene Rodionov, David Harley, and Juraj Malcho, Stuxnet Under the Microscope, ESET
- Stuxnet is a directed attack -- 'hack of the century', Langner Communications, September 13, 2010
- Nicolas Falliere, Exploring Stuxnet’s PLC Infection Process, Symantec, 21 September 2010
- Yaakov Katz, 'Stuxnet virus set back Iran’s nuclear program by 2 years', Jerusalem Post, December 15, 2010
- William J. Broad, Israel Tests on Worm Called Crucial in Iran Nuclear Delay, NYT, January 15, 2011
- Con Coughlin, Stuxnet virus attack: Russia warns of ‘Iranian Chernobyl', The Telegraph, January 16, 2011
- Michael Joseph Gross, A Declaration of Cyber-War, Vanity Fair, April 2011
הערות שוליים
- ^ "נשיא איראן, מחמוד אחמדינז'אד הודה: תולעת Stuxnet פגעה בתוכנית הגרעין". הארץ. 2010-11-29. נבדק ב-2017-03-17.
- ^ Melman, Yossi (2010-09-28). "'Computer Virus in Iran Actually Targeted Larger Nuclear Facility'". Haaretz (באנגלית). נבדק ב-2017-03-15.
- ^ "Confirmed: US and Israel created Stuxnet, lost control of it". Ars Technica (באנגלית אמריקאית). נבדק ב-2017-03-15.
- ^
עודד ירון, חוקרי אבטחה: סטוקסנט פעילה לפחות מאז 2007, באתר הארץ, 26 בפברואר 2013
- ^ Siemens Support about Stuxnet
- ^ Microsoft Security Bulletin MS10-046 - Critical - Vulnerability in Windows Shell Could Allow Remote Code Execution, Microsoft, August 02, 2010
- ^ Dennis Fisher, VeriSign Revokes Certificate Used to Sign Stuxnet Malware, Threatpost, July 17, 2010
- ^ JM Hipolito, USB Worm Exploits Windows Shortcut Vulnerability, Trend Micro, July 18, 2010.
- ^ Snowden Der Spiegel Interview
- ^ מחמוד אחמדינג'אד הודה: תולעת Stuxnet פגעה בתוכנית הגרעין, באתר הארץ, 29.11.2010
- ^ יוסי מלמן, ישראל כבר תקפה, באתר הארץ, 17.1.2011
- ^ רוסיה לנאט"ו: תולעת Stuxnet עלולה לגרום לאסון צ'רנוביל חדש, באתר הארץ, 26.1.2011
- ^ רויטרס, האם תולעת קונפיקר קשורה למתקפה על הגרעין האיראני?, באתר הארץ, 3 בדצמבר 2011
- ^ עודד ירון, מומחי אבטחה: התגלה וירוס חדש שפגע באיראן, לבנון וברשות הפלסטינית, באתר הארץ, 28 במאי 2012
- ^ 'סטוקסנט לא פגע בגרעין האיראני, אלא חיזק אותו', באתר ynet, 16 במאי 2013
- ^ יוסי מלמן, Exclusive: Israel’s rash behavior blew operation to sabotage Iran’s computers, US officials say, Jerusalem Post, 16 בפברואר 2016
