האם ישראל תקפה באיראן באמצעות וירוס מחשב?
עיתוני סוף השבוע ברחבי העולם רומזים שישראל עומדת מאחורי התקפת וירוס מחשב ייחודית ברמת התחכום שלה, שפגעה ככל הנראה בכור בבושהר. האם יש יסוד להאשמות האלו? גדי עברון מבהיר
הוירוס (מסוג סוס טרויאני) נקרא סטוקסנט, stuxnet, והוא הדביק עד עתה מספר לא ידוע של תחנות כוח ברחבי העולם, אם כי מהמידע הקיים נראה כי מירב ההדבקות הן באיראן ובמזרח התיכון. כפי שכתב ג'ים מאן מהפיננשל טיימס, הסוס הטרויאני יכול תיאורטית להשמיד צינורות נפט, לשבש את פעילותן של תחנות כוח גרעיניות, או לגרום לדוודים תעשייתיים להתפוצץ. ייתכן כי הוא אפילו כבר עשה זאת. זה הווירוס הראשון מסוגו הידוע כמסוגל לתקוף תחנות כוח.
חשוב מכך, מבחינה מעשית, יכול סטוקסנט לספק לתוקפים באמצעותו שליטה על המערכות הללו, ולהציג לבקרים בחדר הבקרה משוב מזוייף. בנוסף, לפי ממצאים ראשוניים, נראה כי הסוס הטרויאני בנוי לתקוף אך ורק כשהוא מזהה שתי מערכות ספציפיות של חברת סימנס, כך שנראה ומטרת התקיפה שלו היתה ספציפית -- למשל, הכור האיראני.
לא ניתן לאשר בוודאות מי ייצר את הווירוס ומה הייתה מטרתו, אבל מומחים מרחבי העולם משערים שפותח בישראל או בארצות הברית, ומצטטים מספר מקורות כדי לתמוך בדעה זו.
האם ישראל היא התוקפת?
שבוע שעבר פרסם חוקר אבטחה גרמני את ההשערה שישראל עומדת מאחורי ההתקפה, והשבוע עיתונים ברחבי העולם נתנו לה פרסום נרחב, ואף שיערו כי ייתכן שמדובר בארה”ב מאשר בישראל. בכתבות שמפורסמות היום, מתייחסת העיתונות הבינלאומית להתקפה מצד ישראל כבר כמעט כאל עובדה מוכחת. אלו עדויות עומדות בפני המומחים?
ראשית, סטוקסנט הוא וירוס מתקדם מאוד מבחינה טכנולוגית. הוא תוקף ארבע חולשות חדשות שלא התגלו בעבר וכדי להראות תמים, עושה שימוש בשתי חתימות דיגיטליות שנגנבו מחברות אמיתיות. להערכת כותב שורות אלו, הפיתוח שלו עלה כמה מיליוני דולרים ודרש עשרות שנות אדם במחקר ופיתוח, שיתוף פעולה של צוות מומחים, הן בפיתוח והשמשת חולשות אבטחה, ואף יותר מכך, בהבנה מעמיקה של מערכות שליטה ובקרה תעשייתיות של חברת סימנס.
כדי לפתח וירוס כזה, מישהו היה צריך לבנות מערכות דומות לאלו שהותקפו כדי לבצע עליהן ניסויים. כל זאת לפני שלוקחים בחשבון את הצורך במודיעין איכותי כדי לבנות סוס טרויאני שיתקוף מטרה נקודתית בהצלחה. פיתוח כזה דרש תמיכה בסדר גודל שככל הנראה רק מדינת לאום (ואול גם מספר בודד של ארגונים רב-לאומיים) יכולה לספק.
שנית, לפי הצהרה של חבר בממשלת ישראל מ-2009, ישראל ראתה בחולשתה המקוונת של איראן מטרה נוחה לתקיפת תכנית הגרעין שלה, ו-"פעלה בהתאם". ולפי הצהרתו של האלוף ידלין, ראש אמ"ן, מדצמבר 2009, צה"ל נערך להגנה, וגם להתקפה, בעולם המקוון.
האם הכור האיראני הותקף בכלל?
אין ספק שהותקף יעד איראני גדול, אבל אין הוכחה חד משמעית שזה היה דווקא הכור בבושהר. השערה נוספת היא שמדובר דווקא במפעל ייצור הצנטריפוגות בנתנז. זאת בשל שלוש ראיות: פרסום של האתר וויקיליקס על תאונה במפעל זה; פיטוריו של ראש הארגון האירנית לאנרגיה אטומית לאחר מכן, אחרי יותר מעשור בתפקיד; ומידע של הסוכנות הבינלאומית לאנרגיה אטומית לפיו ירד מספר הצנטריפוגות במפעל באופן משמעותי.
עם זאת, חשוב לציין: וויקיליקס לא פרסם מידע נוסף על התאונה, ראש הסוכנות האיראנית פוטר לאחר שתמך במפסיד בבחירות, וידיעה על ירידה בכמות הצנטריפוגות לא מוכיחה שהכר הותקף בווירוס.
מה הוא בכלל סטוקסנט, ואיך גילו אותו?
ביוני השנה פרסמה חברה אלמונית מבלרוס סוס טרויאני, שמצאה אצל לקוח שלה באיראן. הווירוס ככל הנראה הוחדר לתחנת כוח מקומית באמצעות דיסק USB נייד. הסוס הטרויאני תקף מערכות שליטה ובקרה - וניצל חולשת אבטחה שאיש לא ניצל בעבר. בשיטה זו, די בחיבור התקן USB לכונן הקשיח של מחשב בתחנת הכוח כדי לגרום לווירוס להתפשט במערכת כולה.
חברת הענק הגרמנית סימנס, המייצרת מערכות שליטה ובקרה כאלו, הודיעה כי ידוע לה על לא פחות מ-14 מלקוחותיה שהודבקו. מיקרוסופט, סימנטק וחברות אחרות פרסמו שמצאו אלפי מחשבים הנגועים בסוס הטרויאני, בין השאר גם כאלו שלא מריצים את המערכת הרלוונטיות. זו נקודה המעלה ספק ביכולות המקצועיות של מי שהשתמש בווירוס: מדוע להדביק אלפי מחשבים ברחבי העולם, דבר שיקל על חברות אבטחה לזהות את מקור הווירוס?
הועלו מספר השערות, כגון שהספק הרוסי של היעד המשוער להתקפה (לכאורה הכור האיראני) הדביק בטעות את כל לקוחותיו. אבל אין להשערה זו אימות בשלב זה, וכל שנותר לעשות הוא לתהות מדוע שיבוזבזו כל כך הרבה מליונים, וחולשות שיכלו לשמש להתקפות אחרות, אם לא מדובר היה בטעות. אם נבחר לחשוב שאכן מדובר כאן בטעות מאשר בתכנון לקוי למבצע התקפה על האינטרנט, אזי נקווה שאכן לא מדובר כאן במבצע ישראלי, ונזכור כי לווירוסים ממוחשבים, כמו וירוסים ביולוגים, יש נטיה להתפשט, ולכן הם מסוכנים גם בתנאי מעבדה.
גדי עברון הוא מומחה אבטחה ולשעבר מנהל אבטחת המידע של תהיל"ה ומקים ה-CERT הממשלתי.