האם התולעת ההרסנית סטוקסנט שבה לפעול באירן?

נוזקה רבת עוצמה, יותר מזו שהיhתה לסטוקסנט, שתקפה את אירן בתחילת העשור, תקפה רשתות מחשבים ותקשורת אירניות, כך על פי דיווחים שונים.

אירן הודתה בימים האחרונים כי היא עומדת שוב מול מתקפה דומה, מווירוס אלים, מתקדם ומתוחכם יותר מבעבר המנסה לפגוע בתשתיות וברשתות אסטרטגיות.

הגנרל גולאם רזא ג'לאלי, ראש ארגון ההגנה האזרחי של אירן אמר כי "באחרונה גילינו דור חדש של סטוקסנט שכלל מספר חלקים… והוא ניסה להיכנס למערכות שלנו".

לא ידוע אילו רשתות הותקפו

אירן לא ציינה אילו רשתות הותקפו או עד כמה היתה ההתקפה מוצלחת. כמו כן, לא צויין מי שיגר את התולעת. מידת אמינותו של ג'לאלי לא ברורה, שכן בקיץ האחרון הוא אמר כי "האקלים המשתנה באירן הוא חשוד" – והאשים את ישראל בכך שהיא מתמרנת את האקלים ומונעת ירידת גשמים ברפובליקה האסלאמית. ג'לאלי האשים את ישראל בכך שהיא גונבת עננים מאירן.

בשבוע שעבר אמר ג'לאלי כי הטלפון הנייד של חסן רוחאני, נשיא אירן, "היה באחרונה תחת מעקב", אולם לא פירט את זהות העוקבים או את פרטי המידע שאולי דלפו. ג'לאלי הוסיף כי הטלפון של רוחאני הוחלף ליותר מאובטח.

דבריו של ג'לאלי באו יממה לאחר דברי עלי חמינאי, המנהיג העליון של אירן, שקרא "להגביר המאמצים למאבק בחדירה של האויב, שיש לו שיטות חדירה מורכבות. על ההגנה האזרחית שלנו להתעמת אל מול פני החדירה, ולעשות זאת בנקיטת פעולה מדעית, מדויקת ועדכנית".

מהשימושים המוקדמים של שימוש בנוזקה על ידי מדינה התוקפת מדינה

סטוקסנט עלתה בראשונה לכותרות ב-2010 כשהנוזקה פגעה בתכנית הגרעין המתהווה של אירן. היה זה אחד השימושים המוקדמים ביותר של שימוש בנוזקה על ידי מדינה התוקפת מדינה. סטוקסנט הייתה הראשונה שתוכננה במיוחד כדי לתקוף מערכות בקרה תעשייתית, ICS.

על פי פרסומים זרים, סטוקסנט פותחה במשותף, בהשקעה רבת היקף וארוכת טווח, על ידי סוכנויות המודיעין האמריקנית והישראלית. התולעת התגלתה בראשונה ביוני 2010. בספטמבר אותה שנה היא זכתה לפרסום עולמי, כאשר דווח שהיא נוצרה והופצה על ידי גוף ממשלתי כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של אירן.

חודשיים לאחר מכן הודה נשיא אירן דאז, מחמוד אחמדינג'אד, שהתולעת פגעה בתוכנית הגרעין של ארצו. ככל הידוע, הנוזקה הביאה להשמדתן של יותר מ-1,000 צנטריפוגות במפעל האטום שנמצא בסמוך לעיר נתאנז באירן. בסופו של דבר, היא התפשטה ופגעה במאות אלפי מערכות ברחבי העולם, מה שהביא לגילויה.

על פי קספרסקי, חמשת הארגונים שהותקפו ראשונים פועלים בתחום מערכות הבקרה לתעשייה באירן – הם מפתחים מערכות כאלה או מספקים חומרים וחלקים עבורן. הארגון החמישי שהותקף הוא המסקרן ביותר, מכיוון שלצד מוצרים אחרים לאוטומציה של תעשיה, הוא מייצר צנטריפוגות להעשרת אורניום – סוג הציוד שהחוקרים מאמינים שסטוקסנט נועדה לתקוף.

בפברואר 2013 פורסם כי לפי סימנטק, התולעת פעלה כבר ב-2005 – מוקדם יותר מאשר חשבו. עוד גילו אז החוקרים כי הגרסה המוקדמת של התולעת שהוחדרה למתקן הצנטריפוגות בנתאנז גרמה לסתימה של שסתומים, בעוד הגרסה המאוחרת פעלה לשינוי המהירות של הצנטריפוגות ולהתחממותן עד כדי הרס שלהן.

"סטוקסנט – אחת התוכנות המתוחכמות ביותר"

מומחי אבטחת מידע בעולם הגדירו את סטוקסנט כאחת הנוזקות המתוחכמות ביותר שנכתבו אי פעם. היא נועדה לפגוע במערכות בקרה תעשייתיות מסוג SCADA של סימנס ודרכן במתקנים תעשייתיים המבוקרים על ידי מערכות אלה.

הנוזקה, בעלת יכולת לתכנת מחדש בקר לוגי מיתכנת (PLC), משוכללת ביותר. היא מכילה כ-15 אלף שורות קוד, תוקפת את הבקרים של הצנטריפוגות ומשנה בהם את ההוראות. כך, התחממו ונהרסו, כאמור וככל הנראה, 1,000 או יותר מהן. עוד קיימת בסטוקסנט מערכת להסוואת החבלה תוך הדמיה של רישום פעילות פיקטיבית תקינה בעוד שתפקודה של המערכת לקוי. זה נועד לעקוף את מנגנוני הבטיחות האוטומטיים של הצנטריפוגות ולשטות במפעילים ובחוקרי החבלה.

בעקבות המתקפה, אירן חיזקה את יכולות הסייבר שלה ב-2011.