ضرب إيران وبعض الدول
حقائق عن فيروس «ستكسنت»
قالت شركات غربية في مجال أمن الانترنت إن أحد فيروسات الكمبيوتر التي تهاجم برمجيات صناعية واسعة الاستخدام يستهدف ايران بشكل أساسي على ما يبدو، وان تعقيد الفيروس يشير إلى احتمال أن تكون احدى الدول متورطة في إنشائه.
وقالت شركة كاسبرسكي لابس الأوروبية المتخصصة في الأمن الرقمي في بيان «ستكسنت هو نموذج فعال ومخيف من أسلحة الانترنت التي ستؤدي إلى سباق جديد للتسلح في العالم».
فما فيروس «ستكسنت» الذي قيل أنه ضرب إيران وعددا من الدول الأخرى؟ وكيف يعمل؟
1- الفيروس عبارة عن برنامج كمبيوتر خبيث يهاجم أنظمة التحكم الصناعية المستخدمة على نطاق واسع التي تنتجها شركة سيمنس إيه.جي الألمانية. ويقول خبراء إن الفيروس يمكن أن يستخدم في التجسس أو التخريب.
2- يمكن أن ينتقل الفيروس من خلال محركات الذاكرة عن طريق أجهزة الناقل التسلسلي العام USB (يو.إس.بي) مستغلا أحد جوانب الضعف في نظام تشغيل ويندوز الذي تنتجه شركة مايكروسوفت والتي تم علاجها الآن. وما إن يدخل الفيروس لمرة واحدة، فإنه يطور رمزاً قادراً على إعادة برمجة ما يعرف بـ «منطق التحكم» في الآلات الصناعية، وبالتالي تَصدُر لها تعليمات جديدة.
3- برنامج «منطق التحكم» عادة يقوم بتشغيل وإيقاف المحركات، ويراقب درجة الحرارة، ويشغل أجهزة التبريد إذا ارتفع المؤشر عن درجة حرارة معينة.
4- يهاجم الفيروس البرمجيات التي تقوم بتشغيل أنظمة التحكم الإشرافية وأنظمة الحصول على البيانات. وتستخدم هذه الأنظمة في مراقبة الوحدات التي تعمل آليا، من منشآت الصناعات الغذائية والكيماوية إلى مولدات الكهرباء.
5- المهاجمون ربما اختاروا نقل البرنامج الخبيث من خلال محرك خارجي لأن الكثير من أنظمة التحكم الإشرافية وأنظمة الحصول على البيانات ليست متصلة بالانترنت لكنها مزودة بفتحات للناقل التسلسلي العام «يو.إس.بي».
6- بمجرد أن يصيب الفيروس شبكة ينشئ بسرعة اتصالات مع خادم بعيد يمكن أن يستخدم لسرقة البيانات المملوكة للشركة أو للتحكم في نظام التحكم الإشرافي ونظام الحصول على البيانات، حسب راندي أبرامز التي تعمل باحثة لدى «إي.إس.إي.تي»، وهي شركة أمن مملوكة ملكية خاصة أجرت دراسة على الفيروس «ستكسنت».
7- الفيروس يحمل بصمات تكنولوجية لنظام تحكم يسعى الى العثور عليه، وانه مستعد للعمل تلقائيا في حال عثر على هدفه، حسب رالف لانغنر الباحث في أمن الكمبيوتر.
8- انتقل الفيروس عبر بطاقات الذاكرة وتمكن من الانتقال من نظام الى نظام من دون الحاجة الى الانترنت، كما قال رويل شوفينبرغ الباحث البارز في مكافحة الفيروسات في مختبرات «كاسبيرسكي لاب اميركا».
9-يعتبر هذا الفيروس «دودة» لانه ينتقل من جهاز الى جهاز ويتكاثر اثناء انتقاله.
آلية عمل الفيروس
فور دخول فيروس «ستكسنت» جهاز الكمبيوتر الذي يعمل ببرامج «ويندوز» يقوم بالبحث عن أي من انظمة سيمنس المبرمجة على الجهاز والتي تدير منشآت مثل التبريد او تتحكم بسرعة التوربينات. واذا وجد النظام فان الفيروس يسيطر على الكمبيوتر ويخفي اي تغييرات عن العاملين الذي يشغلونه او يديرونه.
وعندما ينظر مشغل النظام الى المحطة، يبدو كل شيء على ما يرام، بينما تكون الالة تقوم بالتحميل الزائد. والهدف النهائي هو التخريب الرقمي، حيث يعمل بسرعة ويتوقع أن ينفجر شيئا ما قريبا، وسيكون شيئا كبيرا.
والهجوم في حالة حصوله، ممكن فقط في فترة زمنية محددة جدا، ولن يكون بالامكان شن هجوم مرات عدة، انه سلاح الفرصة الواحدة.
من أنشأ الفيروس؟
1- لم تحدد شركتا سيمنس ومايكروسوفت وخبراء الانترنت الذين درسوا الفيروس بعد من الذي قام بتصميمه.
2- الهجوم بفيروس «ستكسنت» ترعاه دولة، باعتقاد ميكا هيبونن كبير مسؤولي البحوث في «إف. سيكيور» الفنلندية، الشركة المتخصصة في أمن البرمجيات، الذي يرى إن «ستكسنت» فيروس شديد التعقيد «ومن الواضح أن من قام بتطويره مجموعة تتمتع بدعم تقني ومالي جدي».
3- يقول رالف لانجنر وهو خبير انترنت ألماني إن منفذي الهجوم خبراء على درجة عالية من التأهيل ربما كانوا دولة. وقال «هذا ليس قرصانا ما يجلس في قبو منزل أبويه». وقال على موقعه الإلكتروني إن التحقيقات «ستحدد» المهاجمين في نهاية المطاف. وأضاف «المهاجمون يعرفون ذلك. الاستنتاج الذي توصلت إليه هو أنهم لا يبالون. إنهم لا يخافون الزج بهم في السجن».
إمكانية شن الهجوم الإلكتروني على المنشآت النووية الإيرانية
اعتبر أرنه شونبوم وهو خبير للأمان الإلكتروني «فيرتشافتس فوخه»، مجلة ألمانية اقتصادية، أن هجوما فيروسيا على أجهزة الحاسوب الموجودة بالمنشآت النووية الإيرانية سيناريو ممكن التحقيق. وقال تعليقا على التقارير الصحافية في هذا الشأن: «إن مجال الإنترنت سيتحول بالتدريج إلى ساحة حرب حقيقية إلى جوار المجالات الأربعة المعروفة الأرض والجو والبحر والفضاء الخارجي». وأضاف شونبوم المعروف بتأليفه لكتابات عدة في مجال الحاسوب أن ألمانيا كبلد صناعية معرض للهجمات بفيروسات الكمبيوتر التي يمكن شنها على المؤسسات الصناعية فيها. وأوضح ان هناك حاجة كبيرة في البلاد لتحسين حماية البنية التحتية في مجالات الاتصالات وإمدادات الماء والكهرباء، حتى تكون هذه المنشآت محصنة ضد هجمات إلكترونية محتملة على الأجهزة الموجودة بها.
معطيات أولية
1- كانت «فيروسبلوكادا» من روسيا البيضاء أول شركة تتعرف على الفيروس في منتصف يونيو الماضي. وقال غينادي ريشنيكوف المدير التجاري إن الشركة لديها موزع في إيران وان عملاء الموزع لديهم أجهزة كمبيوتر مصابة بفيروس تبين أنه «ستكسنت». وقال ريشنيكوف إن «فيروسبلوكادا» ليست لديها صلة بالمحطة النووية الإيرانية في بوشهر.
2- قال مايكل كرامب المتحدث باسم شركة سيمنس إن الشركة حددت 15 من عملائها اكتشفوا الفيروس «ستكسنت» في شبكاتهم وأن كلا منهم «تمكن من اكتشاف الفيروس وحذفه من دون أي تأثير على عملياتهم».
3- أفادت «سيمانتك»، شركة الأمن الإلكتروني، أن فيروس «ستاكسنت» ينتشر بين أنظمة وندوز المرتبطة بإدارة المنشآت الصناعية التابعة لشركة سيمنس العملاقة.
4- الفيروس مبني بشكل كبير على الموارد والتنظيم والمعرفة العميقة في مجالات متعددة بما في ذلك معلومات محددة عن منشآت في إيران، حسب كيفين هوغان مدير الاستجابة الأمنية في شركة سيمانتيك.
أين انتشر الفيروس؟
أظهرت دراسة أجرتها شركة سيمانتك الأميركية المتخصصة في التقنية لانتشار الفيروس ستكسنت، أن الدول الرئيسية التي تأثرت بالفيروس هي إيران، حيث أصيب 62867 جهاز كمبيوتر، وإندونيسيا وفيها 13336جهازا، والهند وفيها 6552 جهازا، والولايات المتحدة 2913 جهازا، واستراليا 2436 جهازا، وبريطانيا 1038 جهازا، وماليزيا 1013 جهازا، وباكستان 883 جهازا.
وقالت شركة كاسبرسكي لابس الأوروبية المتخصصة في الأمن الرقمي في بيان «ستكسنت هو نموذج فعال ومخيف من أسلحة الانترنت التي ستؤدي إلى سباق جديد للتسلح في العالم».
فما فيروس «ستكسنت» الذي قيل أنه ضرب إيران وعددا من الدول الأخرى؟ وكيف يعمل؟
1- الفيروس عبارة عن برنامج كمبيوتر خبيث يهاجم أنظمة التحكم الصناعية المستخدمة على نطاق واسع التي تنتجها شركة سيمنس إيه.جي الألمانية. ويقول خبراء إن الفيروس يمكن أن يستخدم في التجسس أو التخريب.
2- يمكن أن ينتقل الفيروس من خلال محركات الذاكرة عن طريق أجهزة الناقل التسلسلي العام USB (يو.إس.بي) مستغلا أحد جوانب الضعف في نظام تشغيل ويندوز الذي تنتجه شركة مايكروسوفت والتي تم علاجها الآن. وما إن يدخل الفيروس لمرة واحدة، فإنه يطور رمزاً قادراً على إعادة برمجة ما يعرف بـ «منطق التحكم» في الآلات الصناعية، وبالتالي تَصدُر لها تعليمات جديدة.
3- برنامج «منطق التحكم» عادة يقوم بتشغيل وإيقاف المحركات، ويراقب درجة الحرارة، ويشغل أجهزة التبريد إذا ارتفع المؤشر عن درجة حرارة معينة.
4- يهاجم الفيروس البرمجيات التي تقوم بتشغيل أنظمة التحكم الإشرافية وأنظمة الحصول على البيانات. وتستخدم هذه الأنظمة في مراقبة الوحدات التي تعمل آليا، من منشآت الصناعات الغذائية والكيماوية إلى مولدات الكهرباء.
5- المهاجمون ربما اختاروا نقل البرنامج الخبيث من خلال محرك خارجي لأن الكثير من أنظمة التحكم الإشرافية وأنظمة الحصول على البيانات ليست متصلة بالانترنت لكنها مزودة بفتحات للناقل التسلسلي العام «يو.إس.بي».
6- بمجرد أن يصيب الفيروس شبكة ينشئ بسرعة اتصالات مع خادم بعيد يمكن أن يستخدم لسرقة البيانات المملوكة للشركة أو للتحكم في نظام التحكم الإشرافي ونظام الحصول على البيانات، حسب راندي أبرامز التي تعمل باحثة لدى «إي.إس.إي.تي»، وهي شركة أمن مملوكة ملكية خاصة أجرت دراسة على الفيروس «ستكسنت».
7- الفيروس يحمل بصمات تكنولوجية لنظام تحكم يسعى الى العثور عليه، وانه مستعد للعمل تلقائيا في حال عثر على هدفه، حسب رالف لانغنر الباحث في أمن الكمبيوتر.
8- انتقل الفيروس عبر بطاقات الذاكرة وتمكن من الانتقال من نظام الى نظام من دون الحاجة الى الانترنت، كما قال رويل شوفينبرغ الباحث البارز في مكافحة الفيروسات في مختبرات «كاسبيرسكي لاب اميركا».
9-يعتبر هذا الفيروس «دودة» لانه ينتقل من جهاز الى جهاز ويتكاثر اثناء انتقاله.
آلية عمل الفيروس
فور دخول فيروس «ستكسنت» جهاز الكمبيوتر الذي يعمل ببرامج «ويندوز» يقوم بالبحث عن أي من انظمة سيمنس المبرمجة على الجهاز والتي تدير منشآت مثل التبريد او تتحكم بسرعة التوربينات. واذا وجد النظام فان الفيروس يسيطر على الكمبيوتر ويخفي اي تغييرات عن العاملين الذي يشغلونه او يديرونه.
وعندما ينظر مشغل النظام الى المحطة، يبدو كل شيء على ما يرام، بينما تكون الالة تقوم بالتحميل الزائد. والهدف النهائي هو التخريب الرقمي، حيث يعمل بسرعة ويتوقع أن ينفجر شيئا ما قريبا، وسيكون شيئا كبيرا.
والهجوم في حالة حصوله، ممكن فقط في فترة زمنية محددة جدا، ولن يكون بالامكان شن هجوم مرات عدة، انه سلاح الفرصة الواحدة.
من أنشأ الفيروس؟
1- لم تحدد شركتا سيمنس ومايكروسوفت وخبراء الانترنت الذين درسوا الفيروس بعد من الذي قام بتصميمه.
2- الهجوم بفيروس «ستكسنت» ترعاه دولة، باعتقاد ميكا هيبونن كبير مسؤولي البحوث في «إف. سيكيور» الفنلندية، الشركة المتخصصة في أمن البرمجيات، الذي يرى إن «ستكسنت» فيروس شديد التعقيد «ومن الواضح أن من قام بتطويره مجموعة تتمتع بدعم تقني ومالي جدي».
3- يقول رالف لانجنر وهو خبير انترنت ألماني إن منفذي الهجوم خبراء على درجة عالية من التأهيل ربما كانوا دولة. وقال «هذا ليس قرصانا ما يجلس في قبو منزل أبويه». وقال على موقعه الإلكتروني إن التحقيقات «ستحدد» المهاجمين في نهاية المطاف. وأضاف «المهاجمون يعرفون ذلك. الاستنتاج الذي توصلت إليه هو أنهم لا يبالون. إنهم لا يخافون الزج بهم في السجن».
إمكانية شن الهجوم الإلكتروني على المنشآت النووية الإيرانية
اعتبر أرنه شونبوم وهو خبير للأمان الإلكتروني «فيرتشافتس فوخه»، مجلة ألمانية اقتصادية، أن هجوما فيروسيا على أجهزة الحاسوب الموجودة بالمنشآت النووية الإيرانية سيناريو ممكن التحقيق. وقال تعليقا على التقارير الصحافية في هذا الشأن: «إن مجال الإنترنت سيتحول بالتدريج إلى ساحة حرب حقيقية إلى جوار المجالات الأربعة المعروفة الأرض والجو والبحر والفضاء الخارجي». وأضاف شونبوم المعروف بتأليفه لكتابات عدة في مجال الحاسوب أن ألمانيا كبلد صناعية معرض للهجمات بفيروسات الكمبيوتر التي يمكن شنها على المؤسسات الصناعية فيها. وأوضح ان هناك حاجة كبيرة في البلاد لتحسين حماية البنية التحتية في مجالات الاتصالات وإمدادات الماء والكهرباء، حتى تكون هذه المنشآت محصنة ضد هجمات إلكترونية محتملة على الأجهزة الموجودة بها.
معطيات أولية
1- كانت «فيروسبلوكادا» من روسيا البيضاء أول شركة تتعرف على الفيروس في منتصف يونيو الماضي. وقال غينادي ريشنيكوف المدير التجاري إن الشركة لديها موزع في إيران وان عملاء الموزع لديهم أجهزة كمبيوتر مصابة بفيروس تبين أنه «ستكسنت». وقال ريشنيكوف إن «فيروسبلوكادا» ليست لديها صلة بالمحطة النووية الإيرانية في بوشهر.
2- قال مايكل كرامب المتحدث باسم شركة سيمنس إن الشركة حددت 15 من عملائها اكتشفوا الفيروس «ستكسنت» في شبكاتهم وأن كلا منهم «تمكن من اكتشاف الفيروس وحذفه من دون أي تأثير على عملياتهم».
3- أفادت «سيمانتك»، شركة الأمن الإلكتروني، أن فيروس «ستاكسنت» ينتشر بين أنظمة وندوز المرتبطة بإدارة المنشآت الصناعية التابعة لشركة سيمنس العملاقة.
4- الفيروس مبني بشكل كبير على الموارد والتنظيم والمعرفة العميقة في مجالات متعددة بما في ذلك معلومات محددة عن منشآت في إيران، حسب كيفين هوغان مدير الاستجابة الأمنية في شركة سيمانتيك.
أين انتشر الفيروس؟
أظهرت دراسة أجرتها شركة سيمانتك الأميركية المتخصصة في التقنية لانتشار الفيروس ستكسنت، أن الدول الرئيسية التي تأثرت بالفيروس هي إيران، حيث أصيب 62867 جهاز كمبيوتر، وإندونيسيا وفيها 13336جهازا، والهند وفيها 6552 جهازا، والولايات المتحدة 2913 جهازا، واستراليا 2436 جهازا، وبريطانيا 1038 جهازا، وماليزيا 1013 جهازا، وباكستان 883 جهازا.