Stuxnet 0.5 - החוליה החסרה בתקיפה באיראן.
מאת: חיים חביב
27.02.13, 21:40
סימנטק חושפת גילויים חדשים על אחת התוכנות הזדוניות המתוחכמות ביותר שנכתבו אי פעם.
ביולי 2010 חשפה סימנטק את Stuxnet - תוכנה זדוניות מהמתוחכמות שנוצרו מעולם. חודשים רבים ארך פיענוח התוכנה הזדונית והתוצאה הסופית העלתה משמעותית את רף איומי סייבר.
פענוח ה- Stuxnet הוכיח כי תוכנות זדוניות המתקיימות בהצלחה בעולם הסייבר עלולות להיות בעלות השפעה מכרעת על תפקודן של תשתיות לאומיות חיוניות.
הגרסה המוקדמת ביותר של Stuxnet, שכונתה 1.001, הופיעה כבר ב- 2009, אך עתה הסתבר כי היא הייתה קיימת עוד קודם לכן. צוות התגובה של סימנטק ניתח לאחרונה דגימה של תוכנת ה-Stuxnet שמקדימה את גרסת 1.001. ניתוח הקוד מצביע כי מדובר בגרסה 0.5, שפעלה בשנים 2007-2009, וכנראה שהיא (או גרסאות אחרות של אותו הקוד) פעלו כבר משנת 2005.
הנושאים המרכזיים שנחשפו בניתוח ה-Stuxnet 0.5:
· זו הגרסה המוקדמת ביותר של Stuxnet שאותרה אי פעם.
· התוכנה נבנתה על הפלטפורמה עליה נבנתה גם תולעת ה-Flamer.
· התוכנה מתפשטת באמצעות הדבקה של פרויקטים בשלב 7 (Step 7), כולל גם בכונני USB נישאים.
· הפסיקה להתפשט ב-4 ביולי 2009.
· אינה כוללת ניצול תוכנות Microsoft.
· יש לה מטען מלא עבור בקרי 417 שלSiemens , אלמנט שלא היה שלם בגרסאות Stuxnet 1.x ומעלה.
כמו בגרסאות 1.x, גם ה-Stuxnet 0.5 היא נוזקה מסובכת ומתוחכמת מאוד הדורשת רמת כישורים ומאמצים לייצורה. למרות שהתוכנה אינה פעילה מאז 2009, צוותי סימנטק זיהו בשנה האחרונה מספר קטן של תוכנות רדומות בתוך פרויקטים בשלב 7, רובן באירן.
איך זה עובד?
כאשר סימנטק פרסמה לראשונה כיצד תולעת ה-Stuxnet השפיעה על בקרי השליטה הלוגיים (PLC) אשר שימשו להעשרת אורניום בכור האיראני בנתנז, תועדו שתי אסטרטגיות פעולה. מתוך כך, דווח כי האסטרטגיה שכוונה לבקר השליטה 417 הייתה מושבתת. כעת, מזהה סימנטק כי בגרסת Stuxnet 0.5 המוקדמת יש קוד תקיפה מלא עבור בקרי 417.
הניתוח המקיף מעלה כי קוד התקיפה על בקרי 417 משנה את מצב השסתומים המשמשים להזנת גז UF6 (Uranium Hexafluoride) לתוך צנטריפוגות העשרת האורנים. ההתקפה סוגרת למעשה את השסתומים, ומחוללת הפרעה בזרימה ואולי אף הרס הצנטריפוגות ומערכות נלוות. בנוסף, הקוד גם מצלם תמונות של מצב הפעילות הרגילה של המערכת, ומשדר את תמונת המצב הרגילה של הסתומים במהלך ההתקפה, כך שמפעילי המערכת אינם מודעים לפעילות הלא תקינה. התוכנה גם מונעת שינוי במצב השסתומים במקרה בו המפעילים מנסים לשנות את מצב פעולתם במהלך מחזור ההתקפה.
מאחר שגרסת 0.5 של Stuxnet היא המוקדמת יותר, מסתמן כי תקיפת בקרי 417 היא האסטרטגיה המוקדמת יותר של מנסחי הקוד, אשר נזנחה מאוחר יותר (בגרסאות 1.x של התולעת) למען אסטרטגיה של שינוי מהירות הצנטריפוגות.
מלחמת גרסאות
ה-Stuxnet מחזיק מספר גרסה בתוך הקוד שלו. על פי ניתוחי הקוד עולה, כי הגרסה המדוברת היא גרסה 0.5. בהתאם לפרטי הרישום של דומיין האתר, יתכן ו-Stuxnet 0.5 היה פעיל כבר משנת 2005. התאריך המדויק לתחילת הפצת התוכנה אינו ברור, אך ידוע כי המועד המדויק בו הגרסה המוקדמת הפסיקה לפגוע במחשבים הייתה ב-4 ביולי 2009 – 12 יום אחרי יצירת גרסה 1 של הנוזקה. עוד לפני כן, ב-11 בינואר 2009, הפסיקה הגרסה המוקדמת ליצור קשר עם שרת השליטה ופיקוד שלה (C&C Server).
ההבדלים המשמעותיים בין Stuxnet 0.5 וגרסאות מאוחרות יותר היו:
1. הגרסאות המאוחרות יותר היו בעלות מאפיינים חזקים יותר של יכולת הפצה ושימוש בנקודות תורפה. גרסת 0.5 של התולעת זוהתה כמופצת על ידי קבצי פרויקט משלב 7 של Siemens, ולא היו לה אפשרויות ניצול נקודות תורפה במערכות של מיקרוסופט.
2. החלפת פלטפורמת הקוד של ה-Flamer בזו של Tilded. גילוי גרסת Stuxnet 0.5 מראה כי למפתחיה היתה גישה לפלטפורמת קוד המקור השלמה של Flamer. בגרסאות Stuxnet 1 ואילך של הנוזקה, ניתן לראות מעבר הולך וגובר לשימוש בפלטפורמות קוד מקור של Tilded, כאשר המפתחים יישמו הלכה למעשה מרכיבים מפלטפורמת Flamer בהשתמשם בפלטפורמת Tilded, בגרסאות המאוחרות יותר. ההבדלים בין הפלטפורמות השונות מרמז כי מפתחים שונים היו מעורבים בפרויקט.
3. אימוץ אסטרטגית תקיפה שונה – מסתימה של שסתומים בגרסה המוקדמת לשינוי מהירות הצנטריפוגות בגרסאות המאוחרות יותר. כאמור, גרסת Stuxnet 0.5 פעלה על בקר השליטה הלוגי 417 של Siemens, בעוד גרסאות Stuxnet 1 ומעלה כיוונו לבקר השליטה 315.
לקריאה מלאה של הפרשה ניתן להיכנס לכתובת כאן.
|
המלצה לגולשים באתר TelecomNews:
חומר חדשותי נוסף לדף הבית נמצא בתפריטים המשניים. אתר חדשות זה בנוי כמו עיתון, בו כתבות רבות נמצאות בדפיו הפנימיים. באתר יש כבר מאות רבות של פריטי מידע וכתבות. בדף הבית מצויות, כמו בכל עיתון, רק הכתבות הראשיות. לכן, מומלץ להקליק על התפריטים בסרגל העליון ולמצוא את תחומי העניין. שפע מידע בלעדי ומעניין מצוי בתפריטי המשנה.
|
| | |  |
|
|
