«ستكسنيت».. قصة الدودة الإلكترونية المخربة للمشروع النووي الإيراني

«ستكسنيت».. قصة الدودة الإلكترونية المخربة للمشروع النووي الإيراني
أشهر عملية قرصنة دولية لتعطيل أجهزة تخصيب اليورانيوم
لندن: «الشرق الأوسط»
قضى راوول شووينبيرغ، كبير الباحثين في «مختبرات كاسبيرسكي» المتخصصة في أمن الكومبيوتر التي مقرها موسكو، جل أيامه في مقر الشركة في ووبيرن في ولاية مساتشوسيتس في أميركا، متصديا لأكثر الأسلحة الرقمية الغادرة فتكا، القادرة على شل إمدادات المياه، ومحطات الطاقة، والمصارف، وحتى البنية التحتية التي كانت تبدو في الماضي منيعة ضد الهجمات.

وقد اكتشفت هذه التهديدات في يونيو (حزيران) عام 2010 مع اكتشاف «ستكسنيت» stuxnet، وهي دودة كومبيوترية بعيار 500 كيلوبايت طاولت برمجيات 14 موقعا صناعيا في إيران، وأصابتها بالعدوى، بما فيها معامل تخصيب اليورانيوم. وبينما يقوم الفيروس الإلكتروني عادة بالاعتماد على الضحية، أي أجهزة الكومبيوتر، لكي يثبت نفسه وينتقل، فإن الدودة تنتشر بذاتها، وغالبا على نطاق شبكة الكومبيوتر برمتها.

* دودة مدمرة

* وكانت هذه الدودة قطعة من الرموز المؤذية والخبيثة بشكل لم يسبق له مثيل، وكانت تشن الهجمات على ثلاث مراحل أو أطوار. ففي المرحلة الأولى استهدفت الآلات العاملة على نظام «مايكروسوفت ويندوز» وشبكاتها، بحيث كانت تقوم تكرارا بإعادة نسخ ذاتها. ثم توجهت إلى برنامج «سيمينز ستيب7» الذي أساسه «ويندوز» أيضا، والذي يستخدم نظم التحكم الصناعية البرمجية التي تشغل المعدات، كأجهزة الطرد المركزي. أخيرا قامت بالمساس بالمتحكمات المنطقية المبرمجة. وبذلك استطاع مؤلفو برنامج هذه الدودة وكتابها التجسس على المنظومات الصناعية، وحتى التسبب في جعل أجهزة الطرد المركزي سريعة الدوران والتدويم أن تمزق ذاتها، من دون معرفة المسؤولين المشرفين على التشغيل في المرفق «غير أن إيران لم تؤكد التقارير التي أفادت أن دودة (ستكسنيت) دمرت بعض أجهزتها للطرد المركزي».

وبمقدور الدودة هذه الانتشار بخفة بين أجهزة الكومبيوتر التي تشغل «ويندوز»، حتى ولو كانت غير موصولة بالإنترنت. فإذا قام أحد العمال بوضع شريحة «يو إس بي» داخل آلة لإصابتها بعدوى الدودة، فإن بمقدور الأخيرة الانتشار داخلها، ومن ثم إلى الآلة التالية التي يمكنها قراءة ما هو موجود داخل شريحة «يو إس بي». ولكون أنه بمقدور أحدهم إصابة مثل هذه الآلات بهذه الوسيلة، من دون إثارة أي شكوك، وبالتالي إتاحة المجال أمام الدودة الانتشار في شبكة محلية، فقد خشي الخبراء أنه من المحتمل أن يكون البرنامج الخبيث قد انتشر بشراسة في أرجاء العالم كله.

وفي أكتوبر (تشرين الأول) من عام 2012 الماضي حذر وزير الدفاع الأميركي السابق ليون بانيتا من أن الولايات المتحدة معرضة إلى «بيرل هاربور جديد في الفضاء المعلوماتي»، (نسبة إلى هجوم اليابان المفاجئ على الولايات المتحدة في الحرب العالمية الثانية) الذي من شأنه تحويل القطارات عن سكتها، وتسميم مصادر المياه، وشل شبكات الطاقة. وفي اليوم التالي أكدت شركة «شيفرون» هذه الاحتمالات، وأصبحت الشركة الأميركية الأولى التي تقر أن «ستكسنيت» قد انتشرت عبر آلاتها.

* قرصنة دولية

* وعلى الرغم من عدم التعرف على مؤلفي «ستكسنيت» وكتابها، إلا أن حجم الدودة وتعقيدها جعل الخبراء يعتقدون أنها من تنظيم ورعاية جهة دولية فقط، وأنه على الرغم من عدم ادعاء أحدهم بملكيتها، إلا أن التسريبات التي وصلت إلى الصحافة ووسائل الإعلام من المسؤولين في الولايات المتحدة وإسرائيل، تشير بقوة إلى أن هذين البلدين قاما بهذا العمل. ومنذ اكتشاف «ستكسنيت»، وشووينبيرغ وغيره من مهندسي أمن الكومبيوترات هم في كفاح دائم ضد الفيروسات المسلحة، مثل «ديوكيو»، و«فلايم»، و«غاوس»، التي تشكل كلها هجمات متتالية لا تهدأ.

وفي يونيو من عام 2010 تلقت مؤسسة بيلاروسية للتحري عن البرامج الضارة طلبا من عميل لها، لتحديد أسباب قيام آلاتها بإعادة تشغيل ذاتها مرارا كثيرة. وكان البرنامج الضار هذا ممهورا بشهادة رقمية لإظهاره بمظهر أنه قادم من شركة موثوق بها. وقد لفت هذا العمل اهتمام جمعية تعنى بمقاومة الفيروسات، لكن برامجها الأوتوماتيكية للتحري والاستقصاء لم تتمكن من معالجة هذا التهديد. وكان هذا الظهور الأول لـ«ستكسنيت» أمام الملأ.

وكان هذا التهديد الذي أطل برأسه عن طريق التواقيع المزورة من الخطورة بحيث إن خبراء الأمن الكومبيوتري شرعوا بهدوء وصمت بالتشارك بمعلوماتهم واستكشافاتهم عبر البريد الإلكتروني، والمنتديات الخاصة على الشبكة.

وقام الباحثون في «كاسبيرسكي» والمؤسسات الأمنية الأخرى بإعادة تركيب هندسة الرموز ملتقطين معلومات ودلائل أثناء هذا السياق، مثل عدد إصابات العدوى، والجزء منها الذي أصاب إيران، والمراجع والإشارات المؤدية إلى برامج «سيمينز» الصناعية، المستخدمة في محطات الطاقة.

ويعتقد شووينبيرغ أن تحضير الدودة هذه يتطلب عملا من عشرة أشخاص على الأقل، لفترة ما بين سنتين وثلاث سنوات. لكن السؤال من هو المسؤول؟ يجيب شووينبيرغ على ذلك بالقول: «مما لا شك فيه عند تلك المرحلة، أنه كان عملا برعاية إحدى الدول». فهذه الظاهرة استحوذت على اهتمام غالبية خبراء أمن الكومبيوترات بصورة مفاجئة. ويقول أو ميورشو من شركة «سيمانتيك» لأمن المعلومات: «كلنا هنا مهندسون، وقد نظرنا إلى الرموز، وكان التهديد الحقيقي الأول الذي اختبرناه في التداعيات السياسية للعالم الحقيقي، وهو أمر كان من الصعب التعامل معه».

* أنواع فيروسات جديدة

* وفي مايو (أيار) 2012 تلقت «مختبرات كاسبيرسكي» طلبا من «اتحاد الاتصالات الدولية»، وهي الوكالة التابعة للأمم المتحدة التي تدير تقنيات الاتصالات والمعلومات، لدراسة قطعة من برنامج خبيث قام افتراضيا بتدمير ملفات كومبيوترات شركة لإنتاج النفط في إيران. وكان شووينبيرغ وزملاؤه في هذا الوقت يبحثون عن بدائل متغيرة لفيروس «ستكسنيت». وكانوا قد علموا في سبتمبر (أيلول) عام 2011 أن الباحثين الهنغاريين قد كشفوا عن «دوكو» Duqu الذي صمم لكي يسرق المعلومات التي تدور حول نظم التحكم الصناعية.

وخلال ملاحقة طلب الأمم المتحدة، تعرفت النظم الأوتوماتيكية لـ«كاسبيرسكي» على نسخة أخرى مغايرة لـ«ستكسنيت». وفي البداية استنتج شووينبيرغ وفريقه أن النظام ارتكب خطأ، نظرا إلى أن البرنامج الخبيث الذي اكتشف حديثا لم يظهر تشابهات واضحة مع «ستكسنيت». لكن لدى الغوص أكثر في أعماق الرمز، عثروا على آثار من ملف آخر يدعى «فلايم» flame الذي كان واضحا في العمليات المتكررة لهذه الدودة. وفي البداية جرى اعتبار «فلايم» و«ستكسنيت» فيروسين مستقلين عن بعضهما البعض، لكن أدرك الباحثون الآن أن «فلايم» هو في الواقع بداية أولية، أو نذيرا لـ«ستكسنيت» الذي استطاع بشكل ما أن يمضي في سبيله، من دون أن يكتشفه أحد، وكان «فلايم» بحجم 20 ميغابايت، أو 40 ضعف حجم «ستكسنيت».

وعلى الرغم من أن مهمة «ستكسنيت» كانت تدمير الأشياء، كان الغرض من «فلايم» التجسس فقط على الأشخاص. فهو ينتشر عن طريق شرائح «يو إس بي»، وبمقدوره إصابة الطابعات التي تتشارك بها الشبكة ذاتها. وحال قيام «فلايم» بالتأثير على الآلة والمساس بها يستطيع بشكل مخفي البحث عن كلمات مفتاح خاصة بملفات «بي دي إف» عالية السرية، وبالتالي نقل موجز من الوثيقة من دون أن يكتشفه أحد.

واللافت جدا هو أن باستطاعة «فلايم» تبادل البيانات مع أي جهاز يدعم «بلوتوث». وفي الواقع يمكن للمهاجمين سرقة المعلومات، أو تركيب برمجيات ضارة أخرى ليس ضمن نطاق «بلوتوث» العادي البالغ 30 مترا فحسب، بل أبعد من ذلك أيضا. وخطط «بندقية بلوتوث»، التي هي عبارة عن هوائي موجه موصول إلى كومبيوتر يدعم «بلوتوث»، والتي تتوفر سلفا على الشبكة، بإمكانها القيام بهذا العمل من مسافة كيلومترين تقريبا. لكن الأكثر إثارة للقلق حول «فلايم»، هو كيفية دخوله الآلات بالدرجة الأولى، ربما قد يكون ذلك عبر تحديث لنظام تشغيل «ويندوز 7». فإذا كانت الحكومة الأميركية وراء هذه الدودة، فإن مثل هذا التحايل على تشفير «مايكروسوفت»، من شأنه توتير الأجواء بين الشركة وأكبر عملائها، ألا وهي المؤسسات الحكومية الأميركية.

وأثناء قيام شووينبيرغ وفريقه بعكس هندسة «فلايم»، قاموا أيضا بصقل وتهذيب «خوارزمياتهم التشابهية»، وخصوصا بشكل أساسي رمز الكشف والتحري، للبحث عن النسخ ذات الأشكال المختلفة المشيدة على المنصة ذاتها. وفي يوليو (تموز) عثروا على «غاوس»، والغرض منه كان أيضا مراقبة الفضاء المعلوماتي ورصده.

وبمقدور «غاوس» الذي انتشر في مصارف الشرق الأوسط، الذي ينقل عن طريق شريحة «يو إي بي» من جهاز كومبيوتر إلى آخر، سرقة ملفات برمتها، وجمع كلمات السر والمرور، وتجميع وثائق التفويض وأوراق الاعتماد لأشخاص غير معروفين في المصارف اللبنانية، «بحيث تقوم وحدة (يو إس بي) بجمع المعلومات من النظام وتخزينها في هذه الوحدة ذاتها»، ولدى إدخال الشريحة أي آلة موبوءة بعدوى «غاوس»، يقوم الأخير بجمع المعلومات والبيانات من الشريحة لإرسالها إلى الخادم المخصص للقيادة والتحكم.

لقد تم الكشف في عام 2010 عن «ستكسنيت»، التي هي أول دودة عرفت بمهاجمة نظم «سكادا» SCADA، وهي «نظم الإشراف والتحكم والتقاط البيانات». وفي عام 2011 الذي أعقب ذلك، اكتشفت دودة «دوكو»، التي هي خلافا إلى «ستكسنيت» قريبتها، قد صممت لجمع المعلومات، بدلا من التدخل في العمليات الصناعية. وفي عام 2012 الذي تلا، تم اكتشاف «فلايم»، الذي تبين أنه يستخدم التجسس على الشبكة في إيران وغيرها من أقطار الشرق الأوسط.