חוקרי סימנטק חשפו: התולעת סטוקסנט פעלה כבר ב-2005 – מוקדם יותר מאשר חשבו

התולעת סטוקסנט (Stuxnet), שתקפה מחשבים של תוכנית הגרעין האיראנית ושיתקה פעולתן של צנטריפוגות, מבוגרת יותר משחשבו עד כה: חוקרי סימנטק (Symantec) חשפו גרסה של הנוזקה שפעלה כבר ב-2005, מוקדם יותר מאשר נהגו לחשוב בעבר. החשיפה נעשתה אמש (ג') בכנס אבטחת המידע RSA, שמתקיים השבוע בסן פרנסיסקו.

עוד גילו החוקרים, כי הגרסה המוקדמת של התולעת שהוחדרה למתקן הצנטריפוגות להעשרת אורניום במתקני הגרעין בנתאנז גרמה לסתימה של שסתומים, בעוד הגרסה המאוחרת פעלה לשינוי המהירות של הצנטריפוגות ולהתחממותן עד כדי הרס שלהן.

הגרסה המוקדמת ביותר של סטוקסנט, שכונתה 1.001, הופיעה כבר ב-2009, אך כעת התגלתה גרסה נוספת של התולעת, שהייתה קיימת עוד קודם לכן. הממצאים מעלים, כי פיתוח ותכנון הנשק הקיברנטי החל לכל המאוחר ב-2005.

צוות התגובה של סימנטק ניתח באחרונה דגימה של הנוזקה שמקדימה את גרסת 1.001. ניתוח הקוד המדובר מראה, כי מדובר בגרסה 0.5, ולפי שעה נתגלה שהיא פעלה בין השנים 2007-2009. עם זאת, כנראה שהיא, או גרסאות אחרות של אותו הקוד, פעלו כבר מ-2005. התאריך המדויק לתחילת הפצת התוכנה אינו ברור, אך ידוע שהמועד המדויק בו הגרסה המוקדמת הזו הפסיקה לפגוע במחשבים היה 4 ביולי 2009 – 12 יום אחרי יצירת גרסה 1 של הנוזקה.

על פי החוקרים, הגרסה שזה עתה נתגלתה, Stuxnet 0.5, היא הישנה ביותר שנמצאה אי פעם. התוכנה נבנתה על הפלטפורמה עליה נבנתה גם התולעת Flame. התוכנה מתפשטת באמצעות הדבקה של פרויקטים בשלב 7 (Step 7), כולל בכונני USB ניידים. לדברי החוקרים, היא הפסיקה להתפשט ב-4 ביולי 2009 והיא לא כוללת ניצולים של מיקרוסופט (Microsoft). עוד נמצא, כי יש לה מטען מלא עבור בקרי 417 של סימנס, אלמנט שלא היה שלם בגרסאות Stuxnet 1.x ומעלה.

"כמו בגרסאות 1.x, גם ה-Stuxnet 0.5 היא נוזקה מסובכת ומתוחכמת מאוד הדורשת את אותה רמת כישורים ומאמצים לייצורה", נכתב בדו"ח של חוקרי סימנטק. "על אף שהגרסה לא פעילה מאז 2009, צוותי סימנטק זיהו במהלך השנה האחרונה מספר קטן של תוכנות רדומות בתוך פרויקטים בשלב 7, רובן באיראן".

הנוזקה שהרסה 1,000 או יותר צנטריפוגות
מומחי אבטחת מידע בעולם הגדירו את סטוקסנט כאחת התוכנות הזדוניות המתוחכמות ביותר שאי פעם נכתבו. היא נועדה לפגוע במערכות בקרה תעשייתיות מסוג SCADA של חברת סימנס (Siemens) ודרכן במתקנים תעשייתיים המבוקרים על ידי מערכות אלה. הנוזקה, בעלת יכולת לתכנת מחדש בקר לוגי מיתכנת (PLC), משוכללת ביותר. היא מכילה כ-15 אלף שורות קוד, תוקפת את הבקרים של הצנטריפוגות ומשנה בהם את ההוראות. כך, התחממו ונהרסו ככל הנראה 1,000 או יותר צנטריפוגות. עוד קיימת בסטוקסנט מערכת להסוואת החבלה תוך הדמיה של רישום פעילות פיקטיבית תקינה בעוד שתפקודה של המערכת לקוי. דבר זה נועד על מנת לעקוף את מנגנוני הבטיחות האוטומטיים של הצנטריפוגות ולשטות במפעילים ובחוקרי החבלה.

התולעת התגלתה בפעם הראשונה ביוני 2010. בספטמבר אותה שנה היא זכתה לפרסום עולמי כאשר דווח שהיא נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של איראן. בין המדינות ששמן נקשר ליצירת התולעת: ישראל, ארצות הברית ומדינות אירופיות. חודשיים לאחר מכן הודה נשיא איראן, מחמוד אחמדינג'אד, שהתולעת פגעה בתוכנית הגרעין של ארצו.

פענוח סטוקסנט הוכיח שתוכנות זדוניות המתקיימות בהצלחה בעולם הסייבר יכולות להיות בעלות השפעה משמעותית על תשתיות לאומיות חיוניות.

איך זה עובד?
הפרסומים אודות הדרך בה השפיעה התולעת על בקרי השליטה הלוגיים (PLC) ששימשו להעשרת אורניום בכור האיראני שבנתאנז חשפו שתי אסטרטגיות פעולה. מתוך כך דווח, כי האסטרטגיה שכוונה לבקר השליטה 417 הייתה מושבתת. כעת מזהה ענקית האבטחה שבגרסת Stuxnet 0.5 המוקדמת יש קוד תקיפה מלא עבור בקרי 417.

קוד התקיפה על בקרי 417 משנה את מצב השסתומים המשמשים להזנת גז מסוג UF6 (ר"ת Uranium Hexafluoride) לתוך צנטריפוגות העשרת האורניום. ההתקפה סוגרת את השסתומים ובכך מביאה להפרעה בזרימה ואולי אף להרס של הצנטריפוגות ושל מערכות נלוות. בנוסף, הקוד מצלם תמונות של מצב הפעילות הרגילה של המערכת ומשדר את תמונת המצב הרגילה של השסתומים במהלך ההתקפה, כך שמפעילי המערכת לא מודעים לכך שהיא לא עובדת כראוי. התוכנה גם מונעת שינוי במצב השסתומים במקרה בו המפעילים מנסים לשנות את מצב פעולתם במהלך מחזור ההתקפה.

מאחר שגרסת 0.5 של סטוקסנט היא המוקדמת יותר, מסתמן שתקיפת בקרי 417 היא האסטרטגיה המוקדמת יותר של מנסחי הקוד, שנזנחה מאוחר יותר, בגרסאות 1.x של התולעת, לטובת אסטרטגיה של שינוי מהירות הצנטריפוגות.