صرح خبراء تكنولوجيون لـ “بي بي سي” بأن واحدة من أخطر ديدان فيروسات الحواسيب، والأكثر تطوراً، والتي تم الكشف عنها مؤخراً، قد تستهدف على الارجح البنية التحتية ذات “القيمة الاستراتجية العليا” في ايران.
وقال الباحثون إن التعقيد الذي يتصف به الفيروس ستكسنيت، يشير بأن دولة تقف ورائه.
ويعتقد بأن هذه أول مرة يتم فيها تطوير دودة فيروسية تستطيع استهداف البنية التحتية حقيقية، مثل محطات الطاقة، ومحطات المياه، والوحدات الصناعية.
وقد تم الكشف عن الفيروس لأول مرة في حزيران/ يونيوالماضي، وتمت دراسته بشكل مكثف منذ ذلك الحين. وقال خبير الشركة الأمنية “سيمانتك” ليام أومروتشو، والذي رصد الدودة الفيروسية منذ اكتشافها: “حقيقة أن نرى هذا العدد الكبير من الضربات الفيروسية في إيران أكثر من أي مكان آخر في العالم يجعلنا نفترض أن الفيروس يستهدف ايران، وان في إيران ما هو ذي قيمة عالية جداً جداً، بغض النظر عمن يقف خلف الفيروس”.
وتكهن البعض أنه كان من الممكن إن يستهدف الفيروس تعطيل محطة بوشهر الايرانية للطاقة النووية أو محطة تخصيب اليورانيوم في ناتانز.
ومع ذلك، فإن أومروتشو وآخرين، مثل الخبير الأمني بروس شنير، قالوا بأنه لا توجد في الوقت الراهن أدلة كافية لاستخلاص استنتاجات حول المستهدف، ومن يقف وراء الفيروس.
وقد شهدت الهند وإندونيسيا أيضا معدلات إصابة مرتفعة نسبياً أيضاً، وفقا لسيمانتيك.
‘مجموعة نادرة’
تم الكشف أول مرة عن ستكسنت Stuxnet في حزيران/يونيو عبر شركة أمن مقرها في روسيا البيضاء، ولكن قد يكون الفيروس ناشطاً منذ عام 2009.
وخلافا لمعظم الفيروسات، فإن ستكسنيت تستهدف الأنظمة التي عادة غير متصلة بشبكة الانترنت لأسباب أمنية.
وبدلا من ذلك فإنها تصيب أجهزة الـ “ويندوز” عبر مفاتيح الـ USB والتي تستخدم عادة لنقل الملفات من أجهزة الكومبيوتر.
وما أن يصيب جهاز على الشبكة الداخلية لأي مؤسسة فإن الفيروس يسعى إلى تثبيت مكانه في برنامج للتحكم الصناعي تم تطويره من قبل سيمنز. فالفيروس يفتش تلقائياً في النظم الصناعية التي طورتها شركة زيمنس.
وما أن يدخل الفيروس لمرة واحدة، فإنه يطور رمزا قادر على إعادة برمجة ما يعرف بـ “منطق التحكم” في الآلات الصناعية، وبالتالي تصدر لها تعليمات جديدة.
ويقول أومروتشو بأن برنامج “منطق التحكم” عادة يقوم بتشغيل وإيقاف المحركات، ويراقب درجة الحرارة، ويشغل أجهزة التبريد إذا أرتفع المؤشر عن درجة حرارة معينة. وهي لم تتعرض لهجوم فيروسي من قبل، وفقاً لأومروتشو.
اذا لم يجد الفيروس مكان التثبيت المناسب، فإن الفيروس لا يزال حميداً نسبيا. ومع ذلك، فإن ستكسنيت أثار الدهشة نظام الشفرة المعقد المستخدم فيه، وفي جمعه عدداً من التقنيات المختلفة.
ويقول أومروتشو بأن “هناك الكثير من التقنيات الجديدة غير معروفة لدينا، والتي لم يسبق لها من مثيل، والتي تشمل حيل إخفاء الفيروس لنفسه في أنظمة التحكم، والـ USB، إضافة إلى تطويره لستة طرق مختلفة تسمح له بالانتشار.
وبالإضافة إلى ذلك، فإنه يستغل نقاط ضعف عدة غير معروفة، ولم يتم إصلاحها في ويندوز، وتعرف باسم استغلال “اليوم-صفر”، ووفقاُ لميكو هيبونين، رئيس قسم الأبحاث في شركة إف-سكيور ، فإنه من النادر أن نرى هجوماً واحدة عبر استغلال “اليوم صفر”، ولكن ستكسنيت لا تستخدم واحدة ولا أثنتين منها بل أربعة”.
‘دولة قومية’
يرى أومروتشو أن من أنشأ هذه الدودة الفيروسية صرف جهداً “كبيراً” في إعدادها، “وهو مشروع كبير جدا، مخطط له وممول بشكل جيد للغاية”، فهو يتمتع بكمبة من الرموز القادرة أن تسهل إصابة الأجهزة”.
ووفقاً لرالف لانجر، خبير الكمبيوتر الصناعية في تحليل له نشر على شبكة الإنترنت، فإن “التحليلات التي بحوزتنا الآن تدل على ستكسنيت هو هجوم تخريبي موجه، ويعتمد على معلومات من داخل المستهدف”. وأضاف “هذا ليس عمل “قرصان كومبيوتر” يجلس في الطابق السفلي من منزل والديه. بالنسبة لي، يبدو أن الموارد اللازمة لهذه المرحلة من الهجوم تشير الى دولة قومية تقف وراء الفيروس”.
وقد حشد لانجر، الذي رفض إجراء مقابلة مع بي بي سي، في مقالته عدداً من المؤشرات ليوحي بأن ستكسنيت جهز لاستهداف محطة بوشهر النووية.
وعلى وجه الخصوص، فقد أبرز لانجر صورة قيل أنها ألتقطت داخل محطة بوشهر، عبر استخدام نظم المراقبة المستهدفة، على الرغم من أنها “لم تكن مثبته بشكل صحيح”. أومروتشو بدوره قال بأنه لا يمكن الخلاص إلى استنتاجات قاطعة بهذا الخصوص.
ومع ذلك، فقد قال أنه يأمل إلى التوصل إلى استناجات قاطعة قبل أن يعرض تحليله في في مؤتمر يعقد في فانكوفر-كندا الاسبوع المقبل.
‘نجاح محدود’
ويقول متحدث باسم شركة زيمنس، مطور الأنظمة المستهدفة، بأنه لن يعلق على “تكهنات حول الهدف من هذا الفيروس”. وقال: “إن المحطة النووية الايرانية بنيت بمساعدة مقاول الروسي ولم تشارك فيه سيمنز.
وأضاف: “سيمنز لم تشارك لا في في إعادة بناء مفاعل بوشهر ولا في بناء أي محطة نووية في ايران، ولا تسلم أي برنامج أو نظام التحكم…سيمنز غادرت لإيران منذ نحو 30 عاما.”
وقالت سيمنز أنها تعلم عن 15 اصابة فقط، أثرت في نظم السيطرة في عدد من المصانع، ومعظمها في ألمانيا. ذات الأجهزة ظهرت في تحليل سيمانتيك الجغرافي لانتشار الفيروس.
وقال الناطق باسم شركة سيمنز بأنه “تمت إزالة الفيروس في جميع الحالات المعروفة لدينا”. وأضاف أنه، ووفقاً لمعايير الأمن العالمي، فإنه لا يمكن استخدام برامج مايكروسوفت “لتشغيل العمليات حساسة في المفاعلات”.
هذه ليست المرة الأولى التي يتم فيها العثور على الدودة الفيروسية التي تؤثر في بنية منشآت حيوية. ويقول أومروتشو: وعلى الرغم من أن معظم الحوادث السابقة، وقعت بطريق الخطأ وذلك عندما يظهر فيروس يهدف إلى اصابة نظام آخر، وبالصدفة يصيب النظام الفعلي.
في العام 2009 اعترفت الحكومة الامريكية بأنه تم العثور على برامج يمكنها أن تغلق مزودات الطاقة. ويقول هيبونين إنه يعرف بهذا الهجوم الذي تسبب به USB، ضد الأنظمة الدفاعية لدول حلف شمال الاطلسي (الناتو) “ولكننا لا نعرف إذا ما كان سينجح الهجوم أم لا”.