قصة الدودة الإلكترونية المخربة للمشروع النووي الإيراني
كاتب الموضوع
رسالة
المشرف العام Admin
عدد المساهمات : 284 تاريخ التسجيل : 28/03/2010
موضوع: قصة الدودة الإلكترونية المخربة للمشروع النووي الإيراني الثلاثاء أبريل 02, 2013 11:26 am
قضى راوول شووينبيرغ، كبير الباحثين في «مختبرات كاسبيرسكي» المتخصصة في أمن الكومبيوتر التي مقرها موسكو، جل أيامه في مقر الشركة في ووبيرن في ولاية مساتشوسيتس في أميركا، متصديا لأكثر الأسلحة الرقمية الغادرة فتكا، القادرة على شل إمدادات المياه، ومحطات الطاقة، والمصارف، وحتى البنية التحتية التي كانت تبدو في الماضي منيعة ضد الهجمات.
وقد اكتشفت هذه التهديدات في يونيو (حزيران) عام 2010 مع اكتشاف «ستكسنيت» stuxnet، وهي دودة كومبيوترية بعيار 500 كيلوبايت طاولت برمجيات 14 موقعا صناعيا في إيران، وأصابتها بالعدوى، بما فيها معامل تخصيب اليورانيوم. وبينما يقوم الفيروس الإلكتروني عادة بالاعتماد على الضحية، أي أجهزة الكومبيوتر، لكي يثبت نفسه وينتقل، فإن الدودة تنتشر بذاتها، وغالبا على نطاق شبكة الكومبيوتر برمتها.
* دودة مدمرة
* وكانت هذه الدودة قطعة من الرموز المؤذية والخبيثة بشكل لم يسبق له مثيل، وكانت تشن الهجمات على ثلاث مراحل أو أطوار. ففي المرحلة الأولى استهدفت الآلات العاملة على نظام «مايكروسوفت ويندوز» وشبكاتها، بحيث كانت تقوم تكرارا بإعادة نسخ ذاتها. ثم توجهت إلى برنامج «سيمينز ستيب7» الذي أساسه «ويندوز» أيضا، والذي يستخدم نظم التحكم الصناعية البرمجية التي تشغل المعدات، كأجهزة الطرد المركزي. أخيرا قامت بالمساس بالمتحكمات المنطقية المبرمجة. وبذلك استطاع مؤلفو برنامج هذه الدودة وكتابها التجسس على المنظومات الصناعية، وحتى التسبب في جعل أجهزة الطرد المركزي سريعة الدوران والتدويم أن تمزق ذاتها، من دون معرفة المسؤولين المشرفين على التشغيل في المرفق «غير أن إيران لم تؤكد التقارير التي أفادت أن دودة (ستكسنيت) دمرت بعض أجهزتها للطرد المركزي».
وبمقدور الدودة هذه الانتشار بخفة بين أجهزة الكومبيوتر التي تشغل «ويندوز»، حتى ولو كانت غير موصولة بالإنترنت. فإذا قام أحد العمال بوضع شريحة «يو إس بي» داخل آلة لإصابتها بعدوى الدودة، فإن بمقدور الأخيرة الانتشار داخلها، ومن ثم إلى الآلة التالية التي يمكنها قراءة ما هو موجود داخل شريحة «يو إس بي». ولكون أنه بمقدور أحدهم إصابة مثل هذه الآلات بهذه الوسيلة، من دون إثارة أي شكوك، وبالتالي إتاحة المجال أمام الدودة الانتشار في شبكة محلية، فقد خشي الخبراء أنه من المحتمل أن يكون البرنامج الخبيث قد انتشر بشراسة في أرجاء العالم كله.
وفي أكتوبر (تشرين الأول) من عام 2012 الماضي حذر وزير الدفاع الأميركي السابق ليون بانيتا من أن الولايات المتحدة معرضة إلى «بيرل هاربور جديد في الفضاء المعلوماتي»، (نسبة إلى هجوم اليابان المفاجئ على الولايات المتحدة في الحرب العالمية الثانية) الذي من شأنه تحويل القطارات عن سكتها، وتسميم مصادر المياه، وشل شبكات الطاقة. وفي اليوم التالي أكدت شركة «شيفرون» هذه الاحتمالات، وأصبحت الشركة الأميركية الأولى التي تقر أن «ستكسنيت» قد انتشرت عبر آلاتها.
* قرصنة دولية
* وعلى الرغم من عدم التعرف على مؤلفي «ستكسنيت» وكتابها، إلا أن حجم الدودة وتعقيدها جعل الخبراء يعتقدون أنها من تنظيم ورعاية جهة دولية فقط، وأنه على الرغم من عدم ادعاء أحدهم بملكيتها، إلا أن التسريبات التي وصلت إلى الصحافة ووسائل الإعلام من المسؤولين في الولايات المتحدة وإسرائيل، تشير بقوة إلى أن هذين البلدين قاما بهذا العمل. ومنذ اكتشاف «ستكسنيت»، وشووينبيرغ وغيره من مهندسي أمن الكومبيوترات هم في كفاح دائم ضد الفيروسات المسلحة، مثل «ديوكيو»، و«فلايم»، و«غاوس»، التي تشكل كلها هجمات متتالية لا تهدأ.
وفي يونيو من عام 2010 تلقت مؤسسة بيلاروسية للتحري عن البرامج الضارة طلبا من عميل لها، لتحديد أسباب قيام آلاتها بإعادة تشغيل ذاتها مرارا كثيرة. وكان البرنامج الضار هذا ممهورا بشهادة رقمية لإظهاره بمظهر أنه قادم من شركة موثوق بها. وقد لفت هذا العمل اهتمام جمعية تعنى بمقاومة الفيروسات، لكن برامجها الأوتوماتيكية للتحري والاستقصاء لم تتمكن من معالجة هذا التهديد. وكان هذا الظهور الأول لـ«ستكسنيت» أمام الملأ.
وكان هذا التهديد الذي أطل برأسه عن طريق التواقيع المزورة من الخطورة بحيث إن خبراء الأمن الكومبيوتري شرعوا بهدوء وصمت بالتشارك بمعلوماتهم واستكشافاتهم عبر البريد الإلكتروني، والمنتديات الخاصة على الشبكة.
وقام الباحثون في «كاسبيرسكي» والمؤسسات الأمنية الأخرى بإعادة تركيب هندسة الرموز ملتقطين معلومات ودلائل أثناء هذا السياق، مثل عدد إصابات العدوى، والجزء منها الذي أصاب إيران، والمراجع والإشارات المؤدية إلى برامج «سيمينز» الصناعية، المستخدمة في محطات الطاقة.
ويعتقد شووينبيرغ أن تحضير الدودة هذه يتطلب عملا من عشرة أشخاص على الأقل، لفترة ما بين سنتين وثلاث سنوات. لكن السؤال من هو المسؤول؟ يجيب شووينبيرغ على ذلك بالقول: «مما لا شك فيه عند تلك المرحلة، أنه كان عملا برعاية إحدى الدول». فهذه الظاهرة استحوذت على اهتمام غالبية خبراء أمن الكومبيوترات بصورة مفاجئة. ويقول أو ميورشو من شركة «سيمانتيك» لأمن المعلومات: «كلنا هنا مهندسون، وقد نظرنا إلى الرموز، وكان التهديد الحقيقي الأول الذي اختبرناه في التداعيات السياسية للعالم الحقيقي، وهو أمر كان من الصعب التعامل معه».
* أنواع فيروسات جديدة
* وفي مايو (أيار) 2012 تلقت «مختبرات كاسبيرسكي» طلبا من «اتحاد الاتصالات الدولية»، وهي الوكالة التابعة للأمم المتحدة التي تدير تقنيات الاتصالات والمعلومات، لدراسة قطعة من برنامج خبيث قام افتراضيا بتدمير ملفات كومبيوترات شركة لإنتاج النفط في إيران. وكان شووينبيرغ وزملاؤه في هذا الوقت يبحثون عن بدائل متغيرة لفيروس «ستكسنيت». وكانوا قد علموا في سبتمبر (أيلول) عام 2011 أن الباحثين الهنغاريين قد كشفوا عن «دوكو» Duqu الذي صمم لكي يسرق المعلومات التي تدور حول نظم التحكم الصناعية.
وخلال ملاحقة طلب الأمم المتحدة، تعرفت النظم الأوتوماتيكية لـ«كاسبيرسكي» على نسخة أخرى مغايرة لـ«ستكسنيت». وفي البداية استنتج شووينبيرغ وفريقه أن النظام ارتكب خطأ، نظرا إلى أن البرنامج الخبيث الذي اكتشف حديثا لم يظهر تشابهات واضحة مع «ستكسنيت». لكن لدى الغوص أكثر في أعماق الرمز، عثروا على آثار من ملف آخر يدعى «فلايم» flame الذي كان واضحا في العمليات المتكررة لهذه الدودة. وفي البداية جرى اعتبار «فلايم» و«ستكسنيت» فيروسين مستقلين عن بعضهما البعض، لكن أدرك الباحثون الآن أن «فلايم» هو في الواقع بداية أولية، أو نذيرا لـ«ستكسنيت» الذي استطاع بشكل ما أن يمضي في سبيله، من دون أن يكتشفه أحد، وكان «فلايم» بحجم 20 ميغابايت، أو 40 ضعف حجم «ستكسنيت».
قصة الدودة الإلكترونية المخربة للمشروع النووي الإيراني