Stuxnet و الحرب الإلكترونيّة

منذ ظهورها للعلن أصبحت دودة Stuxnet الشّغل الشاغل للعديد من خبراء أمن المعلومات. وبالرغم من عدم وجود اتفاق على كون الهجمة التي قادتها Stuxnet ناجحة في هدفها أم لا، فإنّها لا شك تعتبر أداة حرب إلكترونيّة بامتياز وذلك لاستهدافها دولاً وصناعات بعينها.

سلاح واحد، رأسان حربيّان، أهداف متعدّدة

حسب بعض التحليلات، Stuxnet تحتوي على رأسان “حربيّان” (رقميّاً) يختلفان بشكل كبير في بنائهما والأنظمة التي يعملان عليها. الأول يعمل على أنظم التّحكم Siemes S7-315، وهو نسبيّاً سهل في بناءه. الثاني يعمل على أنظمة التّحكم S7-417 وهو معقدّ إلى حدّ كبير في بناءه. ومن الظاهر حسب التّحليلات أنّه قد تمّ تطويرهما باستخدام أدوات مختلفة وربّما فرق مختلفة.

كلا الرّأسان يبدو أنّهما قد وضعا معاً كجزء من ضربة إلكترونيّة شاملة ضدّ البرنامج النّووي الإيراني.

هدف محتمل للرّأس الحربي الأول

هذا الرّأس يقوم بأخذ التّحكم بشكل مؤقت من البرنامج الأصلي. تحليل الكود أظهر أنّه يقوم بالتلاعب في مصفوفة حدّها الأعلى 186 محرّك عالي السّرعة. التلاعب يتمّ عن طريق التغيير في السّرعات من عالية إلى منخفضة. لنوابذ الغار هذا التغيير في السّرعات يؤدي إلى تدميرها. هدف استراتيجي مهم من المحتمل أن يكون مهاجمة وتدمير منشأت لم تكن معروفة لمفتشين الدوليين.

هدف محتمل لرّأس الحربي الثاني

الرأس الحربي الثاني يعمل على متحكمات Siemens S7-417 وعلى ما يبدو يستهدف مفاعل بوشهر. لا يوجد أي علاقة (ظاهريّاً على الأقل) بينه وبين الرّأس الأول سواء من ناحية الإعدادات أو التوقيت. فالثاني يبحث عن المحرّكات البخارية في مصانع الطاقة مثل مفاعل بوشهر للطاقة النووية.

رسم افتراضي لمفاعل بوشهر

هجوم الكتروني ضد مفاعل طاقة نووي لتدميره من الناحية العملية مستحيل. ولكن هجوم يستهدف معدّات خارج دائرة المفاعل الرئيسيّة ممكن. الهدف الذي يمكن أن يحاول استهدافه المهاجم هو التحكم بالمحركات. التلاعب بهذه المحركات عبر برمجيات خبيثة مثل Stuxnet يمكنه تدمير المحرّك كما لو كان ضربة جويّة.

كما أشارت بعض التحليلات. ليس شرطاً أن تكون هناك دولة أو فريق واحد خلف Stuxnet. فمن الوارد جدّاً أن يكون الفريق المطوّر لها مختلف تماماً عن الفريق الذي قام بنشرها. كذلك من ناحية البناء فهناك برمجيّات ضارة معقدة بشكل أكبر بكثير من Stuxnet. فمطوّروا هذه البرمجيّات قد إزدادت أعدادهم وخبراتهم في هذا المجال. والكثير من البرمجيّات الخبيثة المتطورة يتمّ الحصول عليها في السوق السوداء، على سبيل المثال Zeus. ولكن المثير في Stuxnet أنّ هدفها يبدو حربي على العكس من الكثير من البرمجيّات التي تسعى لسرقة معلومات وبيانات المستخدمين المالية.

المقطع التالي يظهر نموذج يحاكي هجوم Stuxnet

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (6)

  1. […] This post was mentioned on Twitter by Security 4 Arabs, AllBlogs. AllBlogs said: Stuxnet و الحرب الإلكترونيّة: منذ ظهورها للعلن أصبحت دودة Stuxnet الشّغل الشاغل للعديد من خبراء أمن المعلومات. و… http://bit.ly/aOnD0h […]

  2. يقول walid:

    اشكرك على المعلومات
    انا متابع الدودة دى منذ ظهورها
    وبجد دى كرثة بكل المقايس
    المشكلة ان كما حضرتك ذكرت ان اهدفها عسكرية وواضحة جداا
    ودى المشكلة او الكارثة زى منا مسميها يعنى مش سرقة اموال او اشياء من الى اعتدنا عاليها
    المشكلة الاكبر السوق السوداء .. والمبرمجين بيسعو لتطويرها بشكل غريب جدا
    وبقوا تيم, مجموعة مبرمجين كل مايشغلهم حاليا تطويرها واكيد الاستفادة واضحة
    طبعا دا بعيدا عن الجهات السياسية الاخرى او جهات اخرى الى بتحول ايضا تطويرها لصالحهم وجهات اخرى بتحاول وجود حلول لوقفهاا ومنعها
    _____________________________________
    فى النهاية بجد اشكرك على المقال . وجزاك الله كل خير

    وربنا يستــر من الحرب الالكترونية

  3. شكرا أستاذ بشار على التحليل الرائع لهذا الفايروس واعتقد ان أيران هي المسبب الأول لأنتشار هذا الفايروس لديها والأسباب بسيطة وواضحة جدا :
    كيف وصلت هذه الفايروسات إلى أجهزة التحكم الخاصة بالمفاعل النووي ؟
    هل يمكن ان تكون هذه الشبكة موصولة بالانترنت مثلا ؟
    كيف يمكن الأعتماد على أنظمة تشغيل مايكروسوفت لمثل هذه المهام ولايتم الأعتماد على أنظمة مفتوحة المصدر فهي على الأقل أقل خطورة من مايكروسوفت ؟

    • يقول بشار:

      أهلاً بك أخي أيمن.
      إلى حدّ الآن لا يوجد كلام نهائي حول مصدر الهجوم، وإن كان هدفه هو المفاعل النّووي الإيراني. الهجوم أصاب مفاعلات نوويّة أخرى في الهند مثلاً، قد يكون هذا الأمر مصادفة أو تسرّب غير محسوب في انتشار الدودة.

      بخصوص وصولها فأكثر الأمور ترجيحاً هو قيام فرد أو مجموعة بقصد أو بدون قصد بوضع ذاكرة محمولة في أحد الحواسيب داخل المفاعل.

      الهجوم لم يستهدف أنظمة ويندوز وإنّما أنظمة التحكّم الآلي، هذه الأنظمة تنتج في عدد محدود جدّاً من الدول. هذا يدل على أنّ مطوّري الدّودة لديهم اطلاع على أنظمة ليس لدى أحد من العامة وحتّى شركات الحماية اطلاع عليها، كما أشار تحليل لشركة Symantec. الآن انتشارها داخل المفاعلات تمّ من خلال ثغرة في نظام ويندوز لم تكن معروفة من قبل.

      هذه كلّها مؤشّرات على أن الهجوم موجّه بامتياز. وعندما يكون الهجوم موجّهاً فنظام التّشغيل حقيقة لن يكون عائقاً أمام نجاح الهجوم.

  4. يقول M-Elmasry:

    كلامك سليم وفعلا موضوع شيق وكبير جدا ومعلومات قيمة تقبل مرورى ربنا يسطر

  5. يقول replica omega:

    I stumbled on this article on Yahoo despite the fact that I was looking for something similar, but I just wanted to say excellent stuff and I 100 % agree. Is there any way to subscribe to fresh content?.

أكتب تعليق