כל מה שרציתם לדעת על התולעת האיראנית

לפני כשבועיים נתגלתה תולעת מיוחדת ומורכבת במיוחד המתוכננת לפגוע במחשבי שליטה ובקרה במתקני תעשייה שונים. גורמים שונים בתחום אבטחת המידע מעריכים כי מאחורי התולעת עומדת מדינה בעלת יכולות מלחמת-סייבר מתקדמות וכי קיים סיכוי סביר שהתולעת תוכננה על-מנת לתקוף את מתקני הגרעין האיראניים.

לפני קצת פחות משבועיים החלו התפרסמו ברשת מספר ידיעות לגבי תולעת חדשה בשם Stuxnet. התולעת המדוברת מיועדת, לפי הדיווחים, לפגוע בפעילויות של מרכזי שליטה ובקרה שונים המפוזרים ברחבי העולם. מספר מומחי אבטחה אשר עוקבים אחרי התפתחות המקרה מאז חודש יוני האחרון, מצאו כי אחוז גדול מהמערכות שנדבקו נמצאות באיראן, פאקיסטן, הודו ואינדונזיה. כמו כן, לאחר שביצעו ניתוח של הקוד, מציינים המומחים כי מדובר בתולעת מתוחכמת ומורכבת מאוד, אשר מאחוריה עומד, כפי הנראה, כוח מדיני כלשהו ולא האקר קטן או קבוצה עצמאית. אחת ההשארות שהועלו כתוצאה מכך היא שהאחריות לתולעת היא על קבוצה הממונת על-ידי ממשלה כלשהי, אולי ארצות הברית ואולי ישראל, והיעד המקורי שלה הוא תקיפת מערכות מתקני הגרעין השונים באיראן.

התולעת הראשונה המכוונת למתקני שליטה ובקרה

מאז שנתגלתה התולעת בחודש יוני האחרון, עובדים מספר מומחי אבטחת מידע מחברות כגון סימנטק וקספרסקי על ניתוח הקוד שמאחורי התולעת ועל הבנת אופי הפעילות שלה. בניגוד לתולעים ולנוזקות שהכרנו עד היום, Stuxnet אמכוונת למערכות SCADA (Supervisory Control and Data Acquisition) בלבד. מערכות אלו משמשות בדרך כלל כמערכות שליטה ובקרה במרכזי תעשייה, מפעלים ואפילו בכורים גרעיניים ובדרך כלל אינן מחוברות לרשת האינטרנט מסיבות של אבטחת מידע. לפיכך, התולעת החדשה מדביקה מכונות המבוססות על מערכת ההפעלה Windows בגרסאותיה השונות באמצעות אמצעי אחסון נתיקים (Disk-On-Key) הנגועים בתולעת. לאחר שמחשב מסוים הודבק בתולעת, התולעת תתחיל להתפשט ברשת הפנימית של הארגון ולחפש התקנות של תוכנות שליטה ובקרה תעשיתיות מתוצרת Siemens. כאשר התולעת מוצאת מחשבים המריצים את התוכנה, היא יודעת לתכנת מחדש תהליכים פנימיים (Programmable logic control) בתוכנה ולתת לה פקודות חדשות. אותן פקודות מדובורת יכולות לכלול הדלקה וכיבוי של מכונות ומנועים שונים במפעל, ניטור טמפרטורה ושליטה על אמצעי הקירור.

אחד הדברים היותר מעניינים בתולעת המדוברת, הוא מה שהיא עושה במידה והיא לא מגלה את התוכנות הספציפיות מותקנות על המחשב. התשובה לכך היא פשוט כלום. צורת ההתנהגות של התולעת רק מגבירה את החשד שזהו אכן מעשה מכוון ומוגדר מראש את נועד להדביק ולפגוע ביעדים ספציפיים. ברוס שנייר, אחד ממומחי האבטחה שעובדים על ניתוח יכולות התולעת מספר כי עד היום מומחי אבטחה כמעט ולא נתקלו בסוגים כאלה של איומים. שנייר ציין כי התולעת Stuxnet הפתיעה חוקרים רבים ולא רק בגלל הייעוד שלה, אלא גם בגלל המורכבות שלה. לפי הדיווחים, התולעת השתמשה במספר טכניקות לא מוכרות שמומחי אבטחת המידע השונים לא נתקלו בהן עד היום. בין הפקודות השונות שנמצאו בקוד התולעת היו כאלו אשר איפשרו לה להסתתר בתוך תהליכים פנימיים של מערכת השו”ב הנגועה וכאלו שאיפשרו לה להפיץ את עצמה בשש דרכים שונות. בנוסף לכך, התולעת ביצעה שימוש בלא פחות מ-4 חורי אבטחה שונים במערכת ההפעלה, שלא היו מוכרים למיקרוסופט עד היום (Zero-Day Exploits).

מיקו היפונן, מנהל המחקר בחברת אבטחת המידע F-Secure, אמר בראיון ל-BBC כי זה מאוד נדיר לראות תולעת שמשתמשת ב-Zero-Day Exploit שאינו מוכר ובטח בכמה כאלה יחדיו באותה התולעת. “האקרים רגילים מעריכים מאוד פרצות Zero-Day והם לא “יבזבזו” כל כך הרבה חורים על-ידי שזירתם יחד באותה התולעת” הוסיף היפונן.

והתוצאות…

ענקית הטכנולוגיה Siemens, המפתחת את מערכות השליטה והבקרה המהוות את המטרה של התולעת, יצאה בהצהרה לפיה לא ידוע לה כי המערכות שלה הן מטרה לתקיפה כזאת או אחרת אך ידוע לה כי מספר מחשבים המפעילים את המערכות שלה בגרמניה אכן נדבקו בתולעת. לדברי החברה, כל אותם מחשבים שנידבקו, נוקו באופן מלא ולא נרשמו נזקים מיוחדים.

מאידך, מומחים שונים מדווחים על עשרות אלפי מחשבים ברחבי איראן שנדבקו בתולעת המדוברת ולפי מספר דיווחי מודיעין, גם חלק מהמחשבים הפועלים במתקני הגרעין האיראניים הושפעו ממנה. אתר החדשות הישראל תיק דבקה, פרסם אתמול ידיעה לפיה מוחמד אלייאי, מזכ”ל המועצה לטכנולוגיה והאחראי על הפעלת מרכזי השרתים של מערכות המחשבים באיראן, ציין כי לפחות 30,000 מחשבים איראניים הפועלים במערכות תעשייתיות איראניות מרכזיות נפגעו על ידי Stuxnet וכי למרות המאמצים של מומחי האבטחה האיראניים, הם עוד לא הצליחו להשתלט עליה. כמו כן, ציין אלייאי כי בנוסף לנזק שמבצעת התולעת היא גם מיועדת להעביר מידע על מרכזי תעשייה שונים באיראן אל גורמים הנמצאים מחוץ למדינה, אך נתון זה לא אושר על-ידי אף אחת מחברות האבטחה שבחנו את התולעת עד כה.

חשוב לציין כי כל הנתונים שהוצגו כאן מתבססים על ניתוח חלקי בלבד של הקוד בתולעת. אף על פי כן, ישנן לא מעט נתונים המצביעים על כך שמאחורי התולעת כן עומד כוח מדיני כלשהו ולמרות שאנחנו לא חסידים גדולים של תיאוריות קונספירציה, אם השמועות על יחידת הסייבר-קומנדו שמוקמת בימים אלה בצה”ל נכונות, אולי מדובר כאן באיזשהו ניסוי כלים מענין במיוחד.

Avatar

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

8 תגובות על "כל מה שרציתם לדעת על התולעת האיראנית"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שמואל
Guest

“אתר החדשות הישראל תיק דבקה, פרסם אתמול ידיעה”

סירו
Guest

בחיית, לטובת כבוד האתר הזה, תוריד את ההתייחסות לתיק דבקה. מדובר באתר שטותי שמי שמריץ אותו ממציא את החומרים ממוחו הקודח.

ים מסיקה
Guest

חשוב לי להביע התנגדות להסרת ההתייחסות לאתר החדשות והניתוח “תיק דבקה”. האתר הוא אתר חדשות וניתוח עם אמינות בדיוק כמו שיש לכל כלי תקשורת אחר, ואי הסכמה אידיאולוגית עם הנטייה הפוליטית של הכותב היא לא סיבה להפעיל לחצים למחיקת הקישור הנחוץ.
בכל כתבה שבאה להסביר משהו או לשטוח עובדות, כמו זו של יניב, יש להביא מקורות. תיק דבקה הצליח להביא סיקורים חדשותיים לפני כולם בהרבה מאוד מקרים, ולגיטימי שתהיה התייחסות לכתבה שפורסמה שם.
ליניב – תודה, כתבה מעניינת.

סירו
Guest
ההתנגדות להתסמכות על “תיק דבקה” רחוקה ביותר מלהיות קשורה לנטייה פוליטית. זהו פשוט לא אתר חדשות אמיתי. מדובר באתר שמעתיק דיווחי חדשות אמיתיים ומצרף אליהם מידע בדיוני, קצת כמו עיתונות פופולארית בערבית. בשום פנים ואופן אי אפשר להשוות את אמינות תיק דבקה לשום מערכת חדשות רצינית בארץ, ואם תשים לב – אין עיתונאי אחד בארץ שמסתמך על תיק דבקה. מספיק להסתכל קצת אחורה, ולעמת טיפה את ה”תגליות המרעישות” משנים שעברו אל מול דברים שקרו במציאות. ברוב המקרים זה לא מסתדר, אבל שמעתי שלאחרונה כתבות נערכות באופן רטרואקטיבי. אני לא מדבר על סמך “שמועה” אלא על בסיס נסיון קונקרטי. ערכתי אישית… Read more »
אודי רייטר
Guest

הסבר מעמיק מאוד ,
הגיע הזמן שהמדינה שלנו תתחיל להקים קומנדו בתחום אבטחת המידע .
כך זה נראה לפי הכתבה
נראה שלא פשוט להתמודד עם הפצצה של הוירוס הנ”ל.

www.phrack.org
Guest

מגן דוד, געש, כל הכבוד.

MAN
Guest

עצה שלי, עדיף לעשות את הוירוס בצורה כזאת שלא ידעו שהוא נוצר על ידי מדינה…
חבל סתם לחסוף דברים אחר כך הם יתחילו לפעול נגד

DD
Guest

התולעת שעשתה לנו את היום.
. מלחמת התולעים …בקרוב

wpDiscuz

תגיות לכתבה: