פענוח ה-Stuxnet הוכיח כי תוכנות זדוניות המתקיימות בהצלחה בעולם הסייבר יכולות להיות בעלות השפעה משמעותית על תשתיות לאומיות חיוניות.ביולי 2010 חשפה סימנטק את Stuxnet – אחת התוכנות הזדוניות המתוחכמות ביותר שאי פעם נכתבו. לקחו חודשים רבים בכדי לפענח את התוכנה הזדונית והתוצאה הסופית של הפענוח העלתה משמעותית את הרף במונחים של יכולת איומי סייבר. פענוח ה-Stuxnet הוכיח כי תוכנות זדוניות המתקיימותבהצלחה בעולם הסייבר יכולות להיות בעלות השפעה משמעותית על תשתיות לאומיות חיוניות. הגרסה המוקדמת ביותר של Stuxnet, אשר כונתה 1.001, הופיעה כבר ב-2009, אך כעת מתגלה כי היא הייתה קיימת עוד קודם לכן.
צוות התגובה של סימנטק ניתח לאחרונה דגימה של תוכנת ה-Stuxnet שמקדימה את גרסת 1.001. ניתוח הקוד המדובר מראה כי מדובר בגרסה 0.5, אשר פעלה בין השנים 2007-2009, וכנראה שהיא (או גרסאות אחרות של אותו הקוד) פעלו כבר משנת 2005.
הנושאים המרכזיים שנחשפו בניתוח ה-Stuxnet 0.5:
· זוהי הגרסה הישנה ביותר של Stuxnet שנמצאה אי פעם.
· התוכנה נבנתה על הפלטפורמה עליה נבנתה גם תולעת ה-Flamer.
· התוכנה מתפשטת באמצעות הדבקה של פרויקטים בשלב 7 (Step 7), כולל גם בכונני USB נישאים.
· הפסיקה להתפשט ב-4 ביולי 2009.
· אינה כוללת ניצולים של Microsoft.
· יש לה מטען מלא עבור בקרי 417 שלSiemens , אלמנט שלא היה שלם בגרסאות Stuxnet 1.x ומעלה.
כמו בגרסאות 1.x, גם ה-Stuxnet 0.5 היא נוזקה מסובכת ומתוחכמת מאוד הדורשת את אותה רמת כישורים ומאמצים לייצורה. למרות שהתוכנה אינה פעילה מאז 2009, צוותי סימנטק זיהו במהלך השנה האחרונה מספר קטן של תוכנות רדומות בתוך פרויקטים בשלב 7, רובן באירן.
איך זה עובד?
כאשר סימנטק פרסמה לראשונה כיצד תולעת ה-Stuxnet השפיעה על בקרי השליטה הלוגיים (PLC) אשר שימשו להעשרת אורניום בכור האיראני שבנתנז, תועדו שתי אסטרטגיות פעולה. מתוך כך, דווח כי האסטרטגיה שכוונה לבקר השליטה 417 היתה מושבתת. כעת, מזהה סימנטק כי בגרסת Stuxnet 0.5 המוקדמת יש קוד תקיפה מלא עבור בקרי 417.
הניתוח המקיף מעלה כי קוד התקיפה על בקרי 417 משנה מצב השסתומים המשמשים להזנת גז מסוג UF6 (Uranium Hexafluoride) לתוך צנטריפוגות העשרת האורנים. ההתקפה למעשה סוגרת את השסתומים, כך מביאה להפרעה בזרימה ואולי אף להרס של הצנטריפוגות ושל מערכות נלוות. בנוסף, הקוד גם מצלם תמונות של מצב הפעילות הרגילה של המערכת, ומשדר את תמונת המצב הרגילה של הסתומים במהלך ההתקפה, כך שמפעילי המערכת אינם מודעים לכך שהיא אינה עובדת כראוי. התוכנה גם מונעת שינוי במצב השסתומים במקרה בו המפעילים מנסים לשנות את מצב פעולתם במהלך מחזור ההתקפה, כפי שניתן לראות בתרשים הבא:
מאחר וגרסת 0.5 של Stuxnet היא המוקדמת יותר, מסתמן כי תקיפת בקרי 417 היא האסטרטגיה המוקדמת יותר של מנסחי הקוד, אשר נזנחה מאוחר יותר (בגרסאות 1.x של התולעת) למען אסטרטגיה של שינוי מהירות הצנטריפוגות.