חוקרים חשפו נוזקת הרס שפותחה חמש שנים לפני סטקסנט

נוזקת סטקסנט הדהימה ב-2010 את העולם כשהצליחה לגרום שיבוש משמעותי לתוכנית הגרעין האיראנית, על ידי פגיעה במערכות ה-SCADA של סימנס ששלטו בצנטרפוגות במתקן העשרת האורניום בנתנז. על פי דיווחים זרים, ישראל וארצות הברית הן אלה שעמדו מאחורי הנוזקה הזאת. אלא שעכשיו מתברר שיש נוזקת שיבוש והרס שלפי הערכת חוקרים פותחה חמש שנים לפני סטקסנט, ועדיין נמצאת בפעולה.

הנוזקה, fast16 שמה, גורמת לשגיאות בתוכנות סימולציה הנדסיות ופיזיקליות. היא נחשפה בכנס Black Hat Asia, שהסתיים בסוף השבוע בסינגפור. חואן אנדרס גררו-סאדה ו-ויטאלי קמלוק, חוקרים מסנטינל וואן, הישראלית במקורה, הם האחראים על החשיפה.

לפי קמלוק, החוקרים גילו את הנוזקה "לאחר שתהינו האם כלי ריגול ידועים של מדינות לאום כמו Flame ,Animal Farm ו-Project Sauron הם הראשונים מסוגם. שלושתם עשו שימוש דומה בשפת לואה (Lua) ובמכונה וירטואלית, ולכן חיפשנו נוזקות דומות. מצאנו דגימת נוזקה שעלתה ל-וירוס טוטאל (שירות סריקת נוזקות, וירוסים ועוד – י"ה) ב-2016 וכוללת אזכור ל-fast16. הדגימה העלתה שהטכניקות שהמפתחים השתמשו בהן אינן טיפוסיות לנוזקות מ-2016. כמו כן, ניתחנו את הדגימה וגילינו שהיא מנסה להתקין תולעת ולפרוס דרייבר בשם fast16.sys".

"אנחנו חושבים שהנוזקה שמצאנו פותחה בסביבות 2005", אמר קמלוק, "בהתבסס על רמזים שמצאנו בקוד, כמו העובדה שהיא לא מסוגלת לרוץ על מערכות עדכניות יותר מ-Windows XP, וגם אז רק על מעבד חד ליבה. אינטל הוציאה לשוק את המעבדים מרובי הליבות הראשונים שלה ב-2006. בנוסף, לדגימה שהועלתה ל-וירוס טוטאל יש חותמת זמן של יצירת הקובץ ב-30 באוגוסט 2005".

"מפגש מוזר" בין החוקרים לקלוד

החוקרים השתמשו בקלוד של אנת'רופיק כדי לנתח את fast16, ולדבריהם המודל התקשה לבצע את המשימות שהוטלו עליו, ונכשל שוב ושוב במתן מענה לשאילתות שלהם. קמלוק שאל את קלוד למה הוא לא מצליח לסיים את העבודה והמודל השיב ב-"הסבר אינטרוספקטיבי (הסבר שהוא תוצאה של התבוננות פנימית – י"ה)", תוך שהוא נוזף בעצמו על כך שלא היה מהיר מספיק. בסופו של דבר, הצ'טבוט הצליח לבצע את המשימה, וציין כי "מי שבנה את הנוזקה הזו היה בעל ידע אינטימי על המטרה. מטרת מי שפיתח את הנוזקה הייתה חבלה תעשייתית".

לא הצליח לבצע את המשימה – ואחר כך כן. קלוד. צילום: Shutterstock

לדברי קמלוק וגררו-סאדה, "העבודה שלנו עם קלוד לחשיפת הנוזקה הישנה-חדשה הייתה מפגש מוזר. אבל הצד החיובי הוא שזו עדות שמומחי אבטחת מידע לא יוחלפו על ידי בינה מלאכותית בקרוב".

האם גם כאן תוכנית הגרעין האיראנית הייתה על הכוונת?

לפי החוקרים, "fast16 פותחה במטרה לפגוע בשלוש מערכות הנדסה וסימולציה מדויקות שבאמצע שנות ה-2000 היו בשימוש: LS-DYNA 970 ,PKPM ופלטפורמת המידול ההידרודינמי של MOHID. כולן שימשו לתרחישים כמו בדיקות התרסקות, ניתוח מבני ומידול סביבתי".

חוקרים אחרים ציינו כי איראן השתמשה ב-LS-DYNA בתוכנית הנשק הגרעיני שלה. ב-2024, המכון למדע וביטחון בינלאומי (ISIS) פרסם מחקר המפרט את השימוש של איראן בתוכנת LS-DYNA, לטובת סיוע לפיתוח נשק גרעיני – בהתבסס על 157 פרסומים אקדמיים בספרות המדעית וההנדסית. "שרשרת ראיות זו מקבלת משמעות בהתחשב בכך שהתוכנית הגרעינית של איראן ספגה נזק משמעותי לאחר שמתקן העשרת האורניום שלה בנתנז הותקף על ידי התולעת סטקסנט ביוני 2010", ציינו החוקרים. "סימנטק חשפה בפברואר 2013 גרסה מוקדמת יותר של סטקסנט, ששימשה לתקיפת תוכנית הגרעין של איראן בנובמבר 2007, עם ראיות שמצביעות על כך שהיא פותחה כבר בנובמבר 2005. זו הגרסה העתיקה ביותר הידועה שנותחה, ומפורטים בה אופני התקיפה על מתקן העשרת האורניום".

"fast16 הייתה המבשר השקט של מגמה חדשה"

לדברי קמלוק וגררו-סאדה, "התגלית שלנו היא נקודת ייחוס להבנת האופן שבו שחקני איומים מתקדמים חושבים על הטמעת נוזקות באופן מוסווה, הפעלה לטווח ארוך, חבלה ויכולת של מדינות לעצב מחדש את העולם הפיזי באמצעות תוכנה. fast16 הייתה המבשר השקט של מגמה חדשה: נוזקה שפותחה על ידי מדינה, שהצליחה להישאר שקטה וסודית עד היום".

"הממצאים החדשים שלנו כופים הערכה מחודשת של ציר הזמן ההיסטורי בהתפתחות פעולות חבלה חשאיות בסייבר. הם מראים שכלי חבלה בסייבר נגד מטרות פיזיות, בחסות מדינה, פותחו ונפרסו במלואם עד אמצע שנות ה-2000", סיכמו החוקרים.