סטוקסנט

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש
Siemens S7-300 - מערכת הבקרה של הצנטריפוגות שעמדה במוקד המתקפה

סטוקסנט (Stuxnet) היא תולעת מחשב שנועדה לפגוע במערכות בקרה תעשייתיות מסוג SCADA מתוצרת חברת "סימנס". לתולעת יכולת לתכנת מחדש בקר לוגי מיתכנת (PLC). זו התולעת הראשונה שנתגלתה עם Rootkit ל-PLC, וכנראה תולעת ראשונה שנועדה לפגוע במערכות בקרה תעשייתיות, ודרכן במתקנים תעשייתיים המבוקרים על ידי מערכות אלה.

חברות אבטחת מידע שעסקו בניתוח התולעת גילו שהפצתה עשתה שימוש בארבע פרצות אבטחה לא ידועות (התקפת Zero Day) של מערכת ההפעלה "חלונות", לשם תקיפת תוכנת SCADA מתוצרת חברת "סימנס". סטוקסנט נחשבת לנוזקה מורכבת יחסית, הכתובה בשפות תכנות אחדות, ובהן C ו-C++‎. לתולעת חתימה דיגיטלית שנגנבה משני מפיצים של חתימה דיגיטלית, צעד שאיפשר לתולעת שלא להתגלות במשך תקופה ארוכה.

על פי מומחה האבטחה ראלף לאנגנר, שבחן את הנוזקה, מדובר בנוזקה משוכללת ביותר, שמכילה כ-15,000 שורות קוד, שתוקפת את הבקרים של הצנטריפוגות ומשנה בהם את ההוראות. לאנגנר דימה את קוד התקיפה לשני "ראשי טיל דיגיטליים" שיועדו לפגוע ברוטרים ובשסתומים של הצנטריפוגות, יחד עם מערכת הסוואה שנועדה להסתיר את כל הפעילות הזו. "ראש הטיל הקטן" יועד לפגיעה ברוטרים של צנטריפוגות מסדרה אחת, באמצעות שינוי מהירות הסיבוב שלהם, דבר שעלול להביא לסדיקה של הצנטריפוגות ואף להתפוצצותן, הדבר תוכנן להעשות באיטיות ובחשאיות כך שיהיה קשה לנטר אותו. "ראש הטיל הגדול" כוון לשינוי תפקודי השסתומים של צנטריפוגות משש סדרות אחרות, כך שישנה התקפה על הצנטריפוגות משני כיוונים שונים. בנוסף קיימת בנוזקה מערכת להסוואת החבלה תוך הדמיה של רישום פעילות פיקטיבית תקינה בעוד שתפקודה של המערכת לקוי, דבר זה נועד לעקוף את מנגנוני הבטיחות האוטומטיים של הצנטריפוגות, ולשטות במפעילים ובחוקרי החבלה. לדבריו, עוד ניכר מנוזקה זו כי מי שכתב אותה הכיר את המבנה של הצנטריפוגות והבקרים שלהם בכל היבט, והיא נועדה למטרה אחת ויחידה, להשבית את הצנטריפוגות של נתנז.

ההערכה היא שהתולעת פעילה מאז 2007‏[1], ושגרסאות מתקדמות שלה הופצו מאוחר יותר. כניסתה של התולעת לרשת מחשבים נעשתה באמצעות אמצעי לאחסון נתונים, ובפרט דיסק און קי, המוכנס למחשב המחובר לרשת. התולעת הדביקה מחשבים באיראן ובמדינות נוספות, ובהן ארצות הברית, הודו, צרפת ובלארוס.

נתוני הדבקה
מדינה מחשבים נגועים
אירן 58.85%
אינדונזיה 18.22%
הודו 8.31%
אזרבייג'ן 2.57%
ארצות הברית 1.56%
פקיסטן 1.28%
מדינות אחרות 9.2%

התולעת התגלתה לראשונה ביוני 2010 על ידי חברת אבטחת מידע מבלארוס, ובמהלך החודש שלאחר מכן ננקטו צעדים לבלימתה מצד החברות שפרצות אבטחה שלהן שימשו את התולעת - סימנס[2], מיקרוסופט[3] ווריסיין[4]. חברת סימנס הפיצה ללקוחותיה ערכה לגילוי ולהסרה של התולעת, והמליצה לסגור את פרצות האבטחה שאיפשרו את חדירת התולעת. חברות האנטי-וירוס הפיצו אף הן כלים למניעת כניסתה של התולעת‏[5].

בספטמבר 2010 זכתה התולעת לפרסום עולמי כאשר באמצעי התקשורת פורסמה השערה, שהתולעת נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של איראן. בין המדינות ששמן נקשר ליצירת התולעת: ישראל, ארצות הברית ומדינות אירופיות. ביולי 2013 אישר אדוארד סנודן, מנהל מערכות מידע לשעבר בארגון הביון האמריקאי NSA, כי ה-NSA וישראל כתבו ביחד את סטוקסנט‏[6].

בנובמבר 2010 הודה נשיא איראן מחמוד אחמדינז'אד שהתולעת פגעה בתוכנית הגרעין של ארצו.‏[7]

נטען שסטוקסנט גרמה נזק כבד לתוכנית הגרעין האיראנית, באמצעות הרס הצנטריפוגות ששימשו תוכנית זו.‏[8] ב-26 בינואר 2011 טען שגריר רוסיה לנאט"ו, דמיטרי רוגוזין, שמתקפת התולעת עלולה הייתה לגרום לאסון הדומה לאסון צ'רנוביל, ודרש מנאט"ו לחקור את הנושא.‏[9]

בדצמבר 2011 טען ג'ון בומגרנר, מומחה לאבטחת מידע, שסטוקסנט הדביקה את המערכות האירניות רק בזכות דלת אחורית שיצרה לה למעשה קונפיקר, תולעת מחשב שתקפה באוקטובר 2008 מחשבים רבים ברחבי העולם‏[10].

נטען כי סטוקסנט השתמשה במידע שאספה הנוזקה להבה[11]

במאי 2013 נטען במחקר בריטי שסטוקסנט לא עיכב את תוכנית הגרעין האיראנית, ואף תרם לאיתור בעיות תפעוליות בה‏[12].

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

ויקישיתוף מדיה וקבצים בנושא סטוקסנט בוויקישיתוף

הסברי וידאו על התולעת:

כתבות:

הערות שוליים[עריכת קוד מקור | עריכה]