Telecom News - נחשף הקורבן הראשון של תולעת Stuxnet

נחשף הקורבן הראשון של תולעת Stuxnet

דף הבית >> חדשות אבטחה ועולם הסייבר >> נחשף הקורבן הראשון של תולעת Stuxnet

נחשף הקורבן הראשון של תולעת Stuxnet  

מאת: מערכת Telecom News, 17.11.14, 19:05תולעת

לאחר ניתוח של יותר מ-2,000 קבצי סטוקסנט, שנאספו במהלך תקופה של שנתיים, ניתן היה לזהות את הקורבן הראשון של התולעת.
 
יותר מ-4 חלפו מאז הגילוי של אחת התוכנות הזדוניות המסוכנות והמתוחכמות ביותר – תולעת Stuxnet, שנחשבת לנשק הסייבר הראשון, אך עדיין נותר מסתורין רב סביב סיפורה. אחת השאלות המרכזיות, שעוררו את עיקר תשומת הלב, היתה: מה היו היעדים המדויקים של פעילות סטוקסנט? כעת, לאחר ניתוח של יותר מ- 2,000 קבצי סטוקסנט, שנאספו במהלך תקופה של שנתיים, חוקרי מעבדת קספרסקי יכולים לזהות את הקורבן הראשון של התולעת.

בתחילה, לא היה ספק לחוקרי אבטחה, שמדובר בתקיפה ממוקדת מטבעה. הקוד של תולעת סטוקסנט נראה מקצועי וייחודי והייתה עדות לכך, שנעשה שימוש בפרצות יום אפס יקרות ביותר. למרות זאת, לא היה ידוע איזה סוג של ארגון הותקף ראשון וכיצד התוכנה הזדונית הצליחה לחדור אל צנטריפוגות להעשרת אורניום במתקנים סודיים ביותר.

ניתוח חדש שופך מעט אור על שאלות אלו. כל 5 הארגונים, שהותקפו ראשונים פועלים בתחום מערכות הבקרה לתעשיה (ICS) באירן - מפתחים ICS או מספקים חומרים וחלקים. הארגון החמישי שהותקף הוא המסקרן ביותר, מכיוון שלצד מוצרים אחרים לאוטומציה של תעשיה הוא מייצר צנטריפות להעשרת אורניום. זהו בדיוק סוג הציוד, שמאמינים, שסטוקסנט נועד לתקוף.

נראה, שהתוקפים ציפו, שהארגונים המותקפים יבצעו החלפות מידע עם הלקוחות שלהם, כגון מתקנים להעשרת אורניום, והדבר יאפשר להכניס את הקוד הזדוני לתוך מתקנים אלה. התוצאה מצביעה על כך, שהתוכנית אכן הצליחה.

אלכסנדר גוסטב, מומחה אבטחה בכיר במעבדת קספרסקי: "ניתוח הפעילות המקצועית של הארגונים הראשונים, שנפלו קורבן לסטוקסנט, מספק לנו הבנה טובה יותר לגבי הדרך בה הפעילות כולה תוכננה. בסופו של יום, זו דוגמא לערוץ התקפה הפועל דרך שרשרת אספקה - הקוד הזדוני מועבר אל ארגון המטרה באופן עקיף דרך רשת של שותפים איתם המטרה עובדת".

מומחי מעבדת קספרסקי עלו על תגלית מעניינת נוספת: תולעת הסטוקסנט הופצה לא רק באמצעות התקני USB, שהוכנסו למחשבים אישיים. זו הייתה התיאוריה הראשונית והיא מאפשרת להסביר כיצד הקוד הזדוני הצליח להתגנב אל מתחם, שאין בו קישוריות ישירה לאינטרנט.

נתונים, שנאספו בניתוח ההתקפה הראשונה, מראים, שהדוגמית הראשונה של התולעת (Stuxnet.a) הופעלה רק שעות בודדות לפני שהופיעה במחשבי הארגון הראשון שהותקף. לוח זמנים צפוף זה מקשה לדמיין, שהתוקף הפעיל את הדוגמית, העלה אותה על התקן USB ושלח אותה לארגון המטרה בתוך שעות בודדות. סביר להניח, שבמקרה זה האנשים, שמאחורי סטוקסנט, השתמשו בטכניקות אחרות.

קרספרסקי
 



 
 
Bookmark and Share