أول سلاح رقمي بالعالم.. هكذا هوجمت منشأة “نطنز” الايرانية المعزولة من الإنترنت

0
248

كتبت “العربية”: نعيش اليوم في عالمٍ يُمكن فيه لبضعة أجزاء من الأوامر البرمجية أن تُدمر الآلات، وتُعطل البنية التحتية الأساسية المادية الحيوية، وتفتعل حرباً أو توقفها. ويعود جميع هذا إلى برنامج ستوكسنت (StuxNet)، وهو أكثر البرامج الخبيثة تطوراً في العالم الذي أضاف بعداً رابعاً للحرب، ألا وهو بُعد الحروب السيبرانية، وذلك وفق ما نشره موقع “ميديوم” في مقال للكاتب شايان أنوار.

يتحدث المقال عن “الديناميات” النووية لإيران والغرب. وقد قضى عشرات الخبراء في مجال أمن الحاسوب من جميع أنحاء العالم عدة أشهر في تفكيك ما قد يصبح في نهاية المطاف أحد أكثر الفيروسات تطوراً من بين جميع الفيروسات التي تم اكتشافها على الإطلاق – وهو برنامج فريد من نوعه، لدرجة أنه قد يُدون في سجلات التاريخ باعتباره أول سلاح رقمي في العالم، وأول إشارة تحذير تُعلن عن عصر الحروب الرقمية.

كيف بدأ كل ذلك؟

تعود اهتمامات إيران بالتكنولوجيا النووية إلى الخمسينات الميلادية عندما تلقى شاه إيران مساعدات تقنية من البرنامج الأميركي لتسخير الذرة من أجل السلام، إذ زودت الولايات المتحدة مركز طهران للأبحاث النووية (Tehran Nuclear Research Center) بمفاعل أبحاث صغير تبلغ قدرته 5 ميغاوات يعمل باليورانيوم عالي التخصيب في عام 1967.

غير أن هذه المساعدات انتهت بقيام الثورة الإيرانية في عام 1979 التي أطاحت بالشاه. وعلى إثر ذلك، بدأت الولايات المتحدة بحرمان طهران من التقنية النووية، كما أنها بدأت كذلك بإقناع الدول الأخرى بعدم تزويد إيران بأي مساعدات نووية.

من الذي ساعد إيران بالتكنولوجيا النووية؟

في الرابع من شهر شباط من عام 2004، اعترف العالم الباكستاني عبد القدير خان – الذي اشتهر آنذاك بدوره في تطوير ترسانة باكستان النووية – على شاشات التلفاز المباشر بأنه قدم تكنولوجيا الأسلحة النووية إلى إيران بطريقة غير قانونية.

ووفقاً لخبراء انتشار الأسلحة النووية، فإن الدكتور خان بدأ في منتصف الثمانينات بطلب ضعف عدد القطع التي يحتاجها البرنامج النووي الباكستاني، وبعد ذلك قام ببيع القطع الفائضة إلى دولٍ أخرى، أبرزها إيران.

لماذا طُور برنامج StuxNet؟

وفقاً لما كشفته جماعة إيرانية منفية في عام 2002، فقد كان يشتبه في امتلاك إيران منشآت نووية. وبعد عمليات التفتيش التي أجرتها الوكالة الدولية للطاقة الذرية وإفصاحات لاحقة أخرى، استمرت إيران في المضي قدماً في التطورات النووية رغم المعارضة الدولية.

وبين عامي 2003-2005، وافقت إيران على شروط الولايات المتحدة وحدّت من برنامجها النووي، خوفاً من غزو أميركي. ولكن في ظل خوض الولايات المتحدة صراعاً بالعراق وأفغانستان، لم يكن بمقدور واشنطن إرسال قوات عسكرية برية إلى إيران لغزوها، وهو ما دفع إيران إلى استئناف برنامجها النووي سراً.

وأرادت الولايات المتحدة تعطيل هذا التطور من دون نشر جنود على الأراضي الإيرانية، وهذا هو ما فعله برنامج ستوكسنت (StuxNet) تماماً.

وقد أجمع الكثيرون اليوم على أن وكالات الاستخبارات الأميركية والإسرائيلية هي من طورت برنامج ستوكسنت. وسُميت العملية السرية لتطوير الفيروس المتنقل باسم “عملية الألعاب الأولمبية” (Operation Olympic Games)، وقد شرعت العملية في أعمالها تحت إدارة الرئيس جورج دبليو بوش واستمرت كذلك تحت إدارة الرئيس باراك أوباما.

برنامج ستوكسنت: عملية الألعاب الأولمبية

يُعد برنامج ستوكسنت فيروساً حاسوبياً متنقلاً متطوراً للغاية يستغل العديد من الثغرات الأمنية غير المعروفة في نظام تشغيل ويندوز لإصابة الحواسيب والانتشار. ولم ينحصر الغرض منه على إصابة أجهزة الحاسوب الشخصية فحسب، بل أيضاً التسبب في تأثيرات مادية على أرض الواقع. على وجه التحديد، يستهدف برنامج “أجهزة الطرد المركزي” المستخدمة في إنتاج اليورانيوم المخصب الذي يشغل الأسلحة النووية والمفاعلات.

وكُشِفَ أمر برنامج ستوكسنت للمرة الأولى في عام 2010، غير أنه يُرجح أن عملية تطويره بدأت في عام 2005. كما أن البرنامج كان عبارة عن فيروس متنقل متعدد الأجزاء ينقل من خلال وحدات التخزين المتنقلة (USB) وينتشر عبر الحواسيب التي تعمل بنظام تشغيل ويندوز. ويبحث الفيروس في الحاسوب المصاب عن مؤشرات لبرنامج (Siemens Step 7)، وهو البرنامج الذي تستخدمه أجهزة الحاسوب الصناعية التي تلعب دور أجهزة التحكم المنطقي القابلة للبرمجة (PLCs) بغية أتمتة ومتابعة المعدات الكهروميكانيكية. وبعد عثوره على حاسوب يلعب دور جهاز تحكم منطقي قابل للبرمجة، يقوم هجوم البرمجيات الخبيثة بتعديل أوامر البرمجة الخاصة به وإرسال تعليمات ينجم عنها أضرار للمعدات الكهروميكانيكية التي يتحكم بها الحاسوب. كما لن يظهر أي مؤشر أو دليل للشخص الذي يتابع عمل المعدات بأن هناك مشكلة حتى تبدأ المعدات بتدمير نفسها بنفسها.

ورغم قدرته الفريدة على الانتشار ومعدل الإصابة على نطاق واسع، إلا أن برنامج ستوكسنت يُلحق ضرراً ضئيلاً أو معدوماً لأجهزة الحاسوب غير المستخدمة في تخصيب اليورانيوم. وفي حالة إيران، غيّر الفيروس المتنقل برمجة أجهزة التحكم المنطقي القابلة للبرمجة، ما أسفر عن دوران أجهزة الطرد المركزي بسرعة كبيرة جداً ولفترة طويلة، مفسدةً أو مدمرةً المعدات الحساسة في العملية.

كيف تم اكتشاف برنامج ستوكسنت؟

لم يكن من المفترض بتاتًا أن ينتشر برنامج ستوكسنت خارج المنشأة النووية الإيرانية في نطنز. إذ كانت المنشأة معزولة تماماً ولم تكن متصلة بالإنترنت. وهذا يعني أنها قد أُصيبت عن طريق وحدات التخزين المتنقلة (USB) والتي نُقلت إلى داخل المنشأة من خلال عملاء المخابرات أو عن طريق إجبار أشخاص سُذج، ولكنَّ ذلك يعني أيضاً أنه كان من السهل احتواء الإصابة. ومع ذلك، فقد انتهى الأمر بالبرنامج الخبيث على أجهزة الحاسوب المتصلة بالإنترنت وبدأ في الانتشار بسبب طبيعته المتطورة والعدوانية للغاية، إلا أنه – كما ذُكِرَ – ألحق أضراراً بسيطة بأجهزة الحاسوب الخارجية التي أُصيبت به. واعتقد الكثيرون في الولايات المتحدة أن الانتشار كان نتيجة لتعديلاتٍ في الكود قام بها الإسرائيليون.

وكانت وكالة الأمن القومي الأميركية دائماً خفية وبعيدة عن الأنظار. ولكن بما أنهم كانوا يعملون مع وحدة 8200 الإسرائيلية، استمر الإسرائيليون في ممارسة الضغط عليهم، وكان هناك ضغط مستمر، إذ أراد الإسرائيليون التصرف بعدوانية. وقد حصلوا على الكود وعدّلوه ومن ثم أطلقوه دون علم الولايات المتحدة.

وفي كانون الثاني 2010، عندما بدأ المسؤولون في الوكالة الدولية للطاقة الذرية، وهي هيئة تابعة للأمم المتحدة مُكلفة بمراقبة برنامج إيران النووي، بملاحظة حدوث شيء غير اعتيادي في محطة تخصيب اليورانيوم الواقعة خارج نطنز في وسط إيران. وفي داخل قاعة أجهز الطرد المركزي الكبيرة بالمنشأة والتي دُفنت مثل مخبأ على عمق أكثر من خمسين قدماً تحت سطح الصحراء، كانت الآلاف من أجهزة الطرد المركزي اللامعة بسبب صنعها من الألمنيوم تدور بسرعة تفوق سرعة الصوت لتخصيب غاز سداسي فلوريد اليورانيوم كما كان هو الحال منذ ما يقرب من عامين. ولكن في الآونة الأخيرة، كان العمال في المحطة يقومون بإزالة دفعات من أجهزة الطرد المركزي واستبدالها بأجهزة جديدة، وكانوا يفعلون ذلك بمعدل مذهل.

كيف يتم استغلال نقاط الضعف؟

تسمح هذه الثغرات للفيروس بالانتشار بذكاء من حاسوب إلى آخر عبر (USB) مُصاب. وكانت الثغرة الأمنية في ملف (LNK) لبرنامج ويندوز إكسبلورر (Windows Explorer)، وهو مكون أساسي في مايكروسوفت ويندوز. وعندما يتم إدخال (USB) مُصاب في جهاز الحاسوب، يقوم برنامج إكسبلورر تلقائياً بفحص محتويات الوحدة، حينها يُفعل كود الاستغلال ويضع ملفاً كبيراً ومشفّراً جزئياً على الحاسوب خلسةً، مثل إسقاط طائرة نقل عسكرية لجنود مُموهين في المنطقة المستهدفة.

لقد كان استغلالاً مبتكراً بدا واضحاً عند استعادة الأحداث الماضية، لأنه هاجم مثل هذا الملف الموجود في كل جهاز. كما كانت أيضاً طريقة – سيذهل الباحثون قريباً بمعرفة ذلك – قد تم استخدامها من قبل.

ولقد اتصل فريق البحث التابع لـ أولاسن بشركة ميكروسوفت للإبلاغ عن الثغرة الأمنية. وبينما كان عملاق البرامج يُعِد تصحيحاً في 12 يوليو، أعلنت شركة فايروس بلوكادا [VirusBlokAda] عن اكتشافها في مقال أُرسِل إلى منتدى أمن المعلومات. وبعد ثلاثة أيام، نشر برايان كريببس، وهو مدون في منتدى أمن المعلومات، القصة. حيث سعت شركات مكافحة الفيروسات في جميع أنحاء العالم للحصول على عينات من البرمجيات الخبيثة – التي أطلق عليها مايكروسوفت اسم Stuxnet وذلك بجمع اختصار أسماء الملفين التاليين (stub. وMrxNet.sys) الموجودين في الكود.

يذكر أن أحد ملفات برنامج تشغيل الفيروس استخدم شهادة موقعة صالحة سُرقت من شركة ريل-تك [RealTek Semiconductor]، وهي شركة لتصنيع الأجهزة في تايوان، وذلك لخداع الأنظمة وإيهامها بأن البرنامج الخبيث هو برنامج موثوق به من RealTek.

ولقد ألغت سلطات الإنترنت الشهادة بسرعة. ولكن تم العثور على مشغل ستوكسنت آخر يستخدم شهادة ثانية سُرقت من شركة “جيه ميكرون تكنولوجي ” [JMicron Technology]، وهي شركة لتصنيع الدوائر الكهربائية في تايوان والتي يقع مقرها الرئيسي – من قبيل الصدفة أم بشكل متعمد – في نفس مجمع الأعمال الذي تتواجد فيه RealTek. هل اقتحم المهاجمون الشركات فعلياً لسرقة الشهادات؟ أم هل قاموا باختراقها عن بُعد لسرقة مفاتيح توقيع الشهادات الرقمية للشركة؟ لا أحد يعلم.

وفي التحقيقات الإضافية، وجدوا أن “الدودة البرمجية” خلفت وراءها سجلاً بجميع الشبكات التي مرت بها والأجهزة التي أصابتها. لقد وجدوا “كنزًا”، ولكن المواقع الجغرافية للأجهزة المصابة كانت مثيرة للقلق.

لقد انتشرت في جميع أنحاء العالم، ولكن من المثير للاهتمام أنه عندما تم تتبعها إلى نقطة البداية، وجدوا أن أول الأجهزة المصابة موجودة في إيران حول المحطة النووية!

وحتى عام 2012، لم تعترف الولايات المتحدة بتورطها. ولكن بفضل إدوارد سنودن، المخبر الذي كان يعمل في وكالة الأمن القومي الذي أكد أن فيروس ستوكسنت المستخدم لمهاجمة المنشآت النووية الإيرانية قد تم إعداده كجزءٍ من عملية مشتركة بين الإسرائيليين ومديرية الشؤون الخارجية في وكالة الأمن القومي.