בכיר באיחוד האירופי: נוזקות כמו סטוקסנט עלולות להחריב תשתיות לאומיות קריטיות בעולם

"הנוזקה סטוקסנט (Stuxent) שינתה את כללי המשחק בעולם אבטחת המידע. היא מהווה עליית מדרגה באיומי אבטחת המידע שהכרנו, והיא ודומות לה הן איום שיכול להחריב תשתיות לאומיות קריטיות ותעשייתיות של מדינות ברחבי העולם. נוזקות שכאלה עלולות להופיע גם בעתיד", כך התריע בסוף השבוע ד"ר אודו הלמבכרט, מנהל ENISA – הסוכנות לאבטחת מידע של האיחוד האירופי.

לדברי ד"ר הלמברכט, "סטוקסנט היא בבחינת מימד חדש ועליית מדרגה בעולם הנוזקות, לא רק בגלל המורכבות והתחכום שלה, אלא גם בגלל היכולת שלה לפגוע במערכות שו"ב במערכי IT של תשתיות לאומיות קריטיות. התוקפים השקיעו כמות עצומה ומהותית של משאבים – כסף, זמן ויכולות פיתוח – כדי לבנות כלי תקיפה מורכב ומתוחכם שכזה".

הוא הוסיף, כי "העובדה שמפתחי הנוזקה הצליחו ליצור כלי תקיפה שכזה 'מכתירה' אותם כ-'זוכים' בתחרות ההתקפות על מערכי מיחשוב לאומיים ותעשייתיים. יש לכך השפעה משמעותית ומהותית על האופן בו נדרש להגן על תשתיות לאומיות קריטיות ועל מפעלי תעשייה גדולים בעתיד". ד"ר הלמברכט ציין, כי "החשיבות של סטוקסנט היא בהשפעה שלה. לא היה שם משהו שלא ראינו בעבר, רק החיבור של המורכבות לצד העוצמה שבפוטנציאל הנזק". לכן, אמר, מה שיידרש כעת הוא ליצור מתודולוגיות למניעת היפגעות עתידית מנוזקות דוגמת סטוקסנט.

איליאס צ'אנטוס, מנהל תחום המגזר הציבורי בסימנטק (Symantec), ציין, כי פיתוח הנוזקה נמשך כחצי שנה והושקעו בו מיליוני דולרים. הוא סירב להעריך מי הגורם הספציפי העומד מאחורי הפיתוח, אולם אמר, כי מדובר בארגון פשע בינלאומי או במדינה. לדבריו, "רק להם יש את היכולת, המשאבים והתשתית הנדרשים ליצור נוזקה מתוחכמת שכזו".

הסוכנות לאבטחת מידע של האיחוד האירופי מתכוונת לקיים שיתופי פעולה עם גופים מקבילים לה בעולם על מנת להיערך למניעת היפגעות מנוזקות דומות סטוקסנט. בנוסף, מתקפה של נוזקות דוגמת סטוקסנט צפויה להיות חלק מההדמיה במסגרת תרגולים שייערכו בחודשים הקרובים באיחוד האירופי.

לפי נתונים שפרסמה סימנטק בשבוע שעבר, סטוקסנט, שנתגלתה ביולי, פגעה עד כה במחשבים בארצות הברית, הודו, פקיסטן, אינדונזיה ואיראן – שבה אירעו 60% מהפגיעות. איראן אף הודיעה בשבוע שעבר, כי עצרה אזרחים שקשורים להחדרת הנוזקה, שגרמה לשיבוש במערכות ה-IT שלה, לרבות זו שבכור האטומי בבושהר. השלטונות האיראניים מסרו, כי התקיפה, שהתגלתה לפני מספר שבועות, מצויה תחת שליטה ופיקוח של אנשי IT במדינה, וכי הם נאבקים למזער את נזקיה. פקידים איראניים טענו, כי התקיפה והחדרת הנוזקה הן פרי עבודה משותפת של ישראל וגורמי ביון מערביים.

הדיווח על המעצר הגיע ימים אחדים אחרי שאיראן אישרה דיווחים שלפיהם חדרה נוזקה למחשבי סוכנות הגרעין שלה, וכי הפורצים קשורים לישראל ולמדינות נוספות במערב. מומחי אבטחה העריכו אף הם, כי לנוזקה עשוי להיות קשר לישראל. הם העריכו, כי הנוזקה הוחדרה על ידי האקרים מקצועיים, שלוחים של מדינה שמטרתה למנוע את התקדמות תכנית הגרעין האיראנית. עם זאת, הגרדיאן (Guardian) ציטט מומחי אבטחת מידע שציינו, כי יהיה קשה עד בלתי אפשרי לגלות את זהות התוקפים.

על פי מומחי אבטחה, התוקפים היו מומחים מהמעלה הראשונה בפיתוח הנוזקה, מצוידים במיטב הכלים הטכנולוגיים הנדרשים לפיתוח ולהפצתה. עוד ציינו המומחים, כי התוקפים הם חמישה עד עשרה האקרים שהתכוננו למבצע ההחדרה במשך כחצי שנה.

מטרת הנוזקה: להרוס את רשתות התקשורת האחראיות לשו"ב במפעלים

בתחילת השנה דווח באמצעי תקשורת בישראל ובחו"ל, כי במטה הכללי של צה"ל נערכים דיונים להקמת מטה פיקוד קיברנטי, שיפעל בראשות מפקד יחידה 8200 ובשיתוף עם אנשי לוט"ם שבאגף התיקשוב. על פי הדיווחים, חיילי הפיקוד – מומחי מחשבים, חדירות, תקיפות ואבטחת מידע – מיועדים לתקוף מטרות IT ושו"ב של מדינות עוינות לישראל.

מומחים קבעו, כי סטוקסנט היא מהנוזקות המתוחכמות שעולם אבטחת המידע ידע אי פעם, חריגה וייחודית. לדברי אותם מומחים, בניגוד לרוב הנוזקות – שמטרתן שליפת נתונים לטובת הוצאת כספים או גניבת נתוני מידע ומכירתם – סטוקסנט תוכננה ופותחה לחבל במערכות ה-IT אליהן היא מצליחה לחדור, לרבות במערכות תשתיות לשליטה ולבקרה במפעלים שונים, דוגמת כורים אטומיים.

הנוזקה פותחה כך שתוכל לזהות את רשתות התקשורת האחראיות לשליטה ובקרה (שו"ב) מרחוק במפעלים, ואז להרוס אותה. מטרתה היא לתקוף את SCADA (ר"ת Supervisory Control And Data Acquisition) – מערכות שו"ב וניהול ייעודיות המאפיינות גופי תשתיות לאומיות קריטיות, כגון: חשמל, מים, גז, דלק ותקשורת. המידע במערכות הללו נשלח מהבקרים השונים שפזורים בשטח, אל מרכז השליטה וממנו עד למערכות הביצוע.

סטוקסנט פועלת תוך גילוי פרצות אבטחה שטרם הוטלאו במערכות ההפעלה חלונות (Windows) של מיקרוסופט (Microsoft). לאחר מכן, היא מנסה להגיע לרכיב בשם Simatic WinCC, המיוצר על ידי סימנס (Siemens) ושתפקידו לבצע שליטה ובקרה מרחוק על מפעלים. סימנס הייתה מעורבת בעיצוב ובבניית הכור האטומי בבושהר.