Stuxnet, וירוס המחשב שהיכה בגרעין האיראני

כתב: רן לוי

לפני מספר שנים החלטתי לכתוב ספר. כבר כתבתי ופרסמתי שני ספרים, אז אפשר לומר שכבר הייתי סופר 'משופשף'. ידעתי שכשכותבים על נושא טכנולוגי או מדעי, קל מאד להתבזר, לשכוח את עצמך ולבזבז זמן יקר על מחקר בנושאים מעניינים ומרתקים – אבל לא ממש רלוונטיים לנושא הספר או לקו המנחה שלו. הנושא שעליו החלטתי לכתוב היה ההיסטוריה של וירוסי המחשב – 'תכנות זדוניות', בשמן המקצועי יותר – וכיוון שאלפי וירוסים חדשים מופיעים בכל שנה ברחבי העולם – הבחירה במי מהם להתמקד אינה תמיד קלה.

אבל היה ברור לי, כבר למן המחשבה על כתיבת הספר, שאחד מן הפרקים בספר יוקדש לווירוס Stuxnet. Stuxnet נתגלתה ב-2010, לאחר שתקפה את מתקן העשרת האורניום בנתאנז (Natanz) שבאירן. באותה נקודת זמן, היא הייתה התכנה הזדונית המתוחכמת והמורכבת שנתגלתה אי פעם. אך לא התחכום הטכנולוגי גרידא הוא זה שהפך אותה לחשובה כל כך בתולדותיו הקצרים יחסית של עולם אבטחת המידע – אלא העובדה ש Stuxnet חשפה בפני הציבור – וגם בפני המומחים – את משמעותו האמתית של האיום הנשקף מהתקפות סייבר על מתקנים תעשייתים כגון כורים גרעיניים ומפעלים פטרוכימיים. היה זה כאילו מישהו הרים חלק מכיסוי מעל לארגז פירות – וחשף לנגד עינינו תפוח רקוב ובאוש במיוחד בקצה הארגז. לאחר חשיפה שכזו, אינך יכול שלא לשאול את עצמך כמה פירות רקובים נוספים מסתתרים בארגז – ובהשלכה לעולם הבקרה התעשייתית, עד כמה חשופות התשתיות התעשייתיות שבהן אנחנו תלויים כל כך, למשל חשמל ודלק, לאיומים ממוחשבים מסוגה של Stuxnet. זו הייתה יותר מאשר קריאת השכמה: זה היה צופר של רכבת משא הולכת ומתקרבת.

לא שלא היו וירוסי מחשב מתוחכמים מאוד לפני 2010 – היו גם היו, כמובן, ואפילו לא מעט. אבל Stuxnet פגעה בתחום מסוים מאוד של עולם המחשוב, תחום שרוב הציבור אינו מכיר ואינו חשוף אליו ביום יום: בקרה תעשייתית ממוחשבת. כדי לסייע לנו להכיר טוב יותר את תחום עולם המחשב הזה, הפחות מוכרב, גייסתי את אנדרו גינטר, איש אבטחת מידע ותיק ומומחה בהגנה על מערכות בקרה תעשיתיות.

“My name is Andrew Ginter, I’m Vice President of Industrial Security at Waterfall Security Solutions. I’ve got a long history of writing code, mostly for industrial control systems […] In a sense, I was part of the problem in the early days of connecting these system together. And then I got religion and now I’m trying to secure of these connections that we haphazardly connected together in the last 20 years.”

Advance Persistent Threat

בדומה לרבים ממשתמשי המחשב בימינו, אנדרו ועמיתיו המתכנתים הכירו וירוסי מחשב וידעו כיצד להישמר מפניהם בעזרת תכנות אנטי-וירוס וכדומה. אך במחצית העשור הראשון של המאה ה-21, החלו מתקבלות התראות אודות סוג חדש של איום.

“In about 06 or 07 the american dept. of Homeland Security started issuing warning, saying there’s a new class of attack out there, this ‘Advanced Persistent Threat’, where there are significant differences between that and threats people were used to.

שמו של האיום החדש היה, אם כן, Advanced Persistent Threat – או בקיצור APT. כדי להבין מהו APT ומה מיוחד בו, הבה נחזור צעד לאחור ונגדיר מהו וירוס, או 'תכנה זדונית'.

במובן הבסיסי ביותר, תכנה זדונית היא תכנה שגורמת לנזק כלשהו במתכוון, כמו למשל: מוחקת מידע חשוב או גונבת מידע מהמחשב. 'וירוס' הוא סוג של תוכנה זדונית – דהיינו, יש תוכנות זדוניות שאינן מוגדרות כ'וירוס' – אבל לצורך הדיון שלנו, כדי שלא לסבך עניינים, נשתמש בשני המונחים הללו באותה המשמעות.

וירוסים רבים מסתובבים באינטרנט: גונבים פרטי חשבונות בנקים, מתקינים תכנות לא רצויות על מחשבים וצרות דומות אחרות, אבל לכולם תכונה משותפת: הם לא מוכוונים נגדך. זאת אומרת, ברוב המקרים הווירוס ינסה לתקוף כמה שיותר מחשבים ברחבי האינטרנט, אבל לאו דווקא מחשבים של משתמשים ספציפיים אלא כל מחשב אקראי שייזדמן בדרכו. APT, לעומת זאת, הוא איום ממוקד. זהו וירוס שנוצר במיוחד כדי לחדור למערכת ספציפית, או כדי לפגוע במחשבי ארגון מסוים אחד. אם נדמה וירוסים לפצצות אוויריות, אזי וירוס 'רגיל' הוא סוג של 'הפצצת שטיח', מהסוג שאפשר לראות בסרטונים מימי מלחמת העולם השניה: אלפי פצצות המוטלות על פני שטח גדול בתקווה שכמה מהן, לפחות, יפגעו במטרתן. ה-APT, לעומת זאת, הוא טיל מונחה המכוון לחלון האגף הצפוני של הקומה השנייה בבניין מסוים מאוד. המילה Persistent בתוך APT מרמזת על המעורבות האנושית בהפעלת התוכנה הזדונית הזו: מפעיל אנושי עוקב מרחוק, דרך האינטרנט, אחר פעולותיו של ה-APT ומנחה אותן.

כפי שיספר אנדרו, באותה התקופה, שנת 2005-2006, כבר נתגלו פה ושם תוכנות זדוניות מסוג APT – אבל כולן היו ממוקדות בעולם העסקים במטרה לגנוב כרטיסי אשראי, לפרוץ חשבונות בנקים או אפילו ריגול תעשייתי. עולם הבקרה התעשייתית, לעומת זאת, לא נתקל באיום שכזה.

"A lot of people followed this with some interest. Everybody likes to see things break, and here was a new way that people were describing how things can break. But nobody really believed they would really be the target of an Advanced Threat. All these Advanced Threat was happening on IT networks – business networks, you know: stealing credit cards, account information. There had not been a worm or a virus or anything before, specifically targeting control systems components in the wild. At least not that was reported, none that I was aware of. The kind of security incidents you saw before was stuff like insiders, using their own passwords to access systems and cause malfunctions. The classic one that everyone was talking about was Maroochy, in Australia.”

אה, כן. האירוע במרוצ'י. זה היה עסק מסריח ולא נעים שכזה – אבל אולי כדאי להתעמק בו כדי להבין טוב יותר מהי בכלל 'בקרה תעשייתית' ומדוע היא כה חשובה.

האירוע במרוצ'י

פלך מרוצ'י (Maroochy Shire) הוא אחד משכיות החמדה של אוסטרליה: אזור כפרי יפה ומוקד משיכה לתיירים חובבי-טבע. במרוצ'י קיימת מערכת ביוב מקומית, המטפלת בכשלושים וחמישה מיליון ליטרים של שפכים בכל יום בעזרת 142 משאבות ביוב הפזורות בכל רחבי הפלך.

מי שאחראי על תפעול רציף של מאות המשאבות הוא מחשב, כמובן – וליתר דיוק, מערכת מחשב מטיפוס המכונה 'SCADA', ראשי תיבות של -Supervisory Control and Data Acquisition – 'מערכת בקרה ואיסוף נתונים'. השם נשמע אולי מסובך, אבל העיקרון פשוט: המחשב אוסף נתונים מחיישנים שונים, למשל חיישנים המדווחים את גובה מי השפכים, ומפעיל או מכבה את משאבות הביוב בהתאם. אפשר לומר שהמזגן הביתי שלכם הוא מעין מערכת SCADA שכזו: חיישן זעיר בשלט מספר למחשב של המזגן מהי הטמפרטורה בתוך הבית, והמחשב מפעיל או מכבה את המדחס כדי לשמור על הטמפרטורה הרצויה.

בשנת 1999 ויטק בודן (Vitek Boden) פיקח על משאבות הביוב במרוצ'י מטעם החברה שהתקינה את מערכת הבקרה. ויטק, אז בשנות הארבעים לחייו, הועסק בחברה במשך שנתיים עד שהתפטר בסוף 1999 בעקבות סכסוך כלשהו עם מנהליו. לאחר שעזב את עבודתו פנה אל מועצת המחוז האחראית על מערכת הביוב, והציע לה את שירותיו כמפקח. המועצה סירבה.

זמן לא רב לאחר מכן החלה מערכת הביוב של מרוצ'י לסבול מסדרת תקלות מסתוריות וחסרות פשר. משאבות ביוב תקינות לחלוטין הפסיקו לעבוד. אזעקות שהיו אמורות להתריע מפני תקלות – דממו. הביוב עלה על גדותיו, וכ-800,000 ליטרים של ביוב הציפו שטחים נרחבים: שמורות טבע נהרסו, נחלים השחירו וכל הדגה שבהן חוסלה, והתושבים סבלו מריחות איומים במשך שבועות.

רשות המים של מרוצ'י הזמינה מומחים, ואלה בחנו את התקלות. בתחילה עלה החשד שאולי הפרעות ממערכות בקרה אחרות בסביבה גורמות לתקלות, או שאולי מדובר בתקלת חומרה כלשהי – אך לאחר שכל החשודים המיידים נבדקו, עמדו המומחים חסרי אונים. שוב ושוב הם בדקו משאבות שכשלו – ומצאו שם ציוד חדש ותקין שפשוט הפסיק לפעול מעצמו.

ואז באחד הימים, מהנדס שעבד על מערכת הביוב בשעה 11 בלילה ושינה איזו קונפיגורציה במערכת הבקרה, הבחין שהשינוי אופס ובוטל כעבור חצי שעה. חשדו התעורר, והוא החליט לבדוק לעומק את תעבורת הנתונים בין המשאבות השונות. הוא הבחין שמשאבת ביוב מס' 14 היא זו ששלחה את הפקודות שביטלו את השינוי המקורי שלו. המהנדס נסע אל המשאבה, בדק אותה ואת המחשב שלה ומצא אותם תקינים לחלוטין. חשדו שיד אנושית נעלמה היא זו שזורעת כאוס במערכת הבקרה התעצם, והוא החליט לטמון מלכודת להאקר. הוא שינה את אות הזיהוי של המשאבה מ-14 ל-3: דהיינו, כל הפקודות הלגיטימות מהמחשב של תחנת שאיבה 14 יגיעו עכשיו תחת אות הזיהוי 3. הוא המתין לתקלה הבאה – ואז בדק את תעבורת הנתונים. כפי שחשד, הפקודות הזדוניות הגיעו עדיין תחת אות הזיהוי 14…במילים אחרות, מישהו פרץ לרשת התקשורת של המשאבות, התחזה למשאבה 14 וגרם לנזקים במערכת הבקרה. האסימון נפל, והחשד נפל על ויטק בודן. החוקרים העריכו שהוא חודר לרשת באמצעות הרשת האלחוטית, ומכאן שסביר להניח שבזמן הפריצה הוא יהיה חייב להיות בטווח של לכל היותר כמה עשרות קילומטרים מתחנות השאיבה.

חוקרים פרטיים נשכרו על ידי רשות המים לעקוב אחר תנועותיו של בודן. בעשרים ושלוש באפריל, בשעה שבע ושלושים בבוקר, ארעה שוב סדרה של תקלות במערכת הביוב – והרשת שנפרשה סביב בודן נכנסה לפעולה. החוקרים הפרטיים הבחינו בו נוסע במכוניתו בכביש מהיר לא הרבה מאחת מתחנות השאיבה, והזעיקו את המשטרה. ניידת משטרה רדפה אחרי בודן ועצרה אותו. ברכב נתגלו מחשב נייד ועליו עותק פירטי של תכנת הבקרה, ומשדר רדיו דו-כיווני.

ויטק בודן הועמד למשפט וטען שכל העדויות נגדו הן נסיבתיות ומגמתיות: אף אחד לא ראה אותו מעולם פורץ לרשת הבקרה. בית המשפט האוסטרלי לא השתכנע: העדויות הנסיבתיות נגד ויטק היו חזקות מאד, ובמיוחד ציוד התקשורת שהחזיק במכוניתו – ציוד תקשורת ייעודי לעבודה מול מחשבי הבקרה של רשת הביוב. השופט העריך שויטק ביקש לנקום במעסיקיו הקודמים, או שאולי קיווה לזכות בחזרה בתפקידו כשיזעיקו אותו לתקן את ה'תקלות' שארעו אחרי שעזב.

ויטק בודן נידון לשנתיים מאסר, והפשע שביצע הפך למוקד התעניינות של מומחי אבטחת מחשבים רבים בכל העולם. הם ניתחו את מעשיו בדקדקנות והמסקנות שעלו לא היו נעימות: מערכת הבקרה של מרוצ'י לא תוכננה כדי להתמודד כנגד פריצות שכאלה. כמו שקורה במקרים רבים בעולם התכנה, העיסוק במציאת פיתרון לבעיה ההנדסית דוחק לשוליים את הצורך בשיקולי אבטחת מידע. אפשר לנחש שאבטחת מידע לא הייתה בראש מעייניהם של המהנדסים שבנו את מערכת הבקרה של הביוב: היה להם גם ככה מספיק ח** על הראש…

מומחים אבטחה רבים שטענו שמקרה זה הוא רק קצה הקרחון. מערכות בקרה תעשייתיות, בדומה למערכת המחשב ששלטה על משאבות הביוב במרוצ'י, הן הבסיס שעליו נשענות כמעט כל התעשיות והתשתיות שלנו. מיליוני מערכות בקרה שכאלה פזורות ברחבי העולם ומבקרות מגוון אדיר של תהליכים תעשייתים: מפסי ייצור של המבורגרים ועד כורים גרעיניים לייצור חשמל. הקלות שבה הצליח ויטק בודן לשבש את פעולתה התקינה של מערכת הבקרה במרוצ'י ולהביא לנזקים סביבתיים חמורים עשויה להעיד, טענו מומחי האבטחה, על הקלות שבה ניתן – אולי – לשבש את אספקת הדלק ברחבי מדינות או להשבית אספקת החשמל לערים שלמות. אך ב-2006, כשהתריעו הרשויות בארה"ב מפני האפשרות של תכנה זדונית מתוחכמת שתתקוף מערכות בקרה תעשיתיות, כל העניין היה עדיין תאורטי לחלוטין.

"And in 2010, when Stuxnet hit, it was in a sense the first very concrete example of an advanced attack, targeting industrial control systems. It was very big news."

גילויה של Stuxnet

הדיווח הראשון אודות Stuxnet נתקבל מיצרנית אנטי-וירוס ביילרוסית בשם VirusBlokAda. סרגיי אולסן (Ulasen), מתכנת ואיש אבטחת מידע, היה אז ראש צוות בחברה הקטנה והאלמונית, שסיפקה שירותי תמיכה טכנית וייעוץ – בעיקר ללקוחות מקומיים, ופה ושם גם ללקוחות מחוץ למדינה. ב-2010, באחד מימי שבת, פנה אל סרגיי נציג אחד הלקוחות: חברה אירנית כלשהי. יום שבת הוא יום מנוחה בביילרוס, וסרגיי היה בחתונה של חברים. אך הנציג שפנה אליו היה גם מכר אישי של סרגיי, ולכן בזמן שכל שאר החוגגים היו עסוקים בשתייה ובריקודים, סרגיי מצא את עצמו עומד בפינה ומשוחח בטלפון בענייני עבודה.

הנציג האירני סיפר לסרגיי שמספר מחשבים בארגון קורסים מדי פעם, ומציגים את המסך הכחול – Blue Screen of Death – שמוכר לכל מי שנתקל בבעייה קריטית במערכת ההפעלה Windows. בתחילה שיער סרגיי שמדובר בבעייה טכנית שאינה קשורה כלל לתכנות זדוניות, אלא להתנגשות כלשהי בין שתי תכנות רגילות המותקנות על המחשבים – אך כשהבין שהבעייה נתגלתה גם במחשבים בעלי התקנה חדשה ו'נקייה' של Windows, כאלה שכמעט ולא מותקנות עליהם תוכנות נוספות, החל לחשוד שמדובר בווירוס כלשהו.

כששב לעבודה ביום שני, ניגש סרגיי לעבודה. הוא השתלט מרחוק על המחשבים האירניים, והחל נובר בקרבי מערכת ההפעלה. לבסוף איתר את התוכנה שגרמה לקריסת המחשבים. האופן שבו התוכנה הבלתי מוכרת הסתירה את עצמה בינות לקבצים השונים במחשב הזכיר לסרגיי תוכנות זדוניות אחרות – אבל לתוכנה החשודה היה מאפיין אחד משונה ובלתי שגרתי: היא החזיקה ב- Digital Certificate ('חתימת אבטחה דיגיטלית') תקפה ותקינה. מהי חתימת אבטחה דיגיטלית? אנדרו יסביר.

“If I give you a new driver and say – ‘Here, install that on your machine’ and you try, the machine will say – ‘That’s funny. The driver is signed by this certificate that i’ve never seen before. The certificate claims to be from abc.com hardware manufacture. Do you trust this certificate?’ If you say Yes, there’s also a checkbox that says – in the future, don’t ask me this question. Just Go. If you click that, then the next time you see a piece of software signed by this vendor, you won’t be asked anymore: it would just install.’

במילים אחרות, חתימת אבטחה דיגיטלית היא מעין אישור כניסה לבסיס צבאי. בפעם הראשונה שאתה מגיע לבסיס, הש.ג. יעצור אותך לבדיקה. אחרי הבדיקה תקבל אישור כניסה – ובפעם הבאה שתרצה להכנס, תוכל להציג את האישור לשומר והוא ייתן לך להכנס ללא שאלות וחקירות. באותו האופן, תוכנה שיש לה חתימת אבטחה תקינה יכולה להתקין את עצמה על המחשב ללא התראות ואישורים.

הפרט המשונה הוא שרק חברות תכנה מוכרות ומכובדות יכולות לחתום את התוכנות שלהן ב'אישור כניסה דיגיטלי' שכזה. התכנה החשודה שבחן סרגיי לא נראתה כמו תוכנה לגיטימית, כזו שנוצרה בידי חברה מכובדת: האופן שבו ניסתה להסתתר בתוך המחשב היה חשוד מדי, כמו אדם בחנות כלבו לבוש במעיל ארוך ועבה ביום קיץ חם… אבל אם מדובר בתוכנה זדונית, כיצד ייתכן שיש לה Certificate תקין? סרגיי ועמיתיו ב-VirusBlokAda התווכחו זה עם זה שעות, והמשיכו לנבור בקרבי התוכנה החשודה – עד שאותר האקדח המעשן, והוויכוח תם.

סרגיי גילה שכדי להתקין את עצמה במחשב, התוכנה החשודה ניצלה באג, תקלת תוכנה, במערכת ההפעלה. תקלת התוכנה גרמה לכך שכאשר מישהו מחבר למחשב זיכרון USB נייד נגוע בתוכנה החשודה, התוכנה מסוגלת להתקין את עצמה במחשב באופן מיידי, ללא ידיעתו של המשתמש או אישורו. עצם העובדה שמדובר בניצול של באג במערכת ההפעלה הייתה עדות שאינה משתמעת לשני פנים שמדובר בתוכנה זדונית: אין חברת תוכנה מכובדת שתנקוט בשיטת פעולה זו. ההנחה הזו אוששה מאוחר יותר כשהתברר שחתימות האבטחה הדיגיטליות הן למעשה חתימות שנגנבו מכספות במשרדיהן של שתי חברות טאיווניות – Realtek ו Jmicron. משרדיהן של שתי החברות נמצאים זה ליד זה באותו אזור תעשיה בטיוואן. זהות הפורצים מעולם לא נתגלתה.

סרגיי אולסן הבין שהוא שוחה במים עמוקים מדי. VirusBlokAda היא חברה קטנה שממוקדת בשירות לקוחות וייעוץ, ללא משאבים או כוח האדם מספיקים כדי לנתח לעומק את התוכנה הזדונית. הוא ניסה לפנות למיקרוסופט ולעדכן אותה בדבר הבאג המסוכן, אך התעלמו מפנייתו. ואין זה מפתיע: VirusBlokAda הייתה חברה קטנטונת, ולמיקרוסופט י צרות אחרות. לסרגיי לא הייתה ברירה אלא לפרסם את העניין באופן פומבי ולקוות שמישהו אחר – אולי יצרנית אנטי-וירוס גדולה יותר – תגלה עניין במה שגילה.

בעשרה ביולי, 2010, שחררה VirusBlokAda הודעה לעיתונות באתר האינטרנט שלה ובה נכתב:

"אזהרה אודות תוכנה מזיקה המנצלת חולשה חדשה להתפשטות: […] מומחי VirusBlokAda גילו אותה ב-17 ביוני, 2010 […] ובבדיקה נסתבר שהווירוס מועבר באמצעות התקני איחסון USB. […] תוכנה מזיקה זו מסוכנת ביותר כיוון שהיא מסוגלת להדביק מחשבים רבים וליצור מגיפה חדשה."

יש לציין שעל אף הטון המאיים, הודעות שכאלה הן דבר שבשגרה בתעשיית האנטי-וירוס: אלפי וירוסים חדשים מתגלים ברחבי העולם בכל שבוע. המיוחד במקרה הזה היה שתקלת התוכנה במערכת ההפעלה, התקלה שאיפשרה לתוכנה הזדונית להתקין את עצמה בחשאי בכל פעם שמישהו מכניס זיכרון USB נייד למחשב, לא הייתה מוכרת עד כה. וכיוון שהבאג אינו מוכר, אין הגנה כנגדו: מיקרוסופט עדיין לא הוציאה עדכון למערכת ההפעלה ש'סותם את הפרצה', ויצרניות האנטי-וירוס עדיין לא שילבו בתוכנות שלהן הגנות כנגד וירוסים המנצלים את הפרצה. במילים אחרות, כל תוכנה זדונית שמצויידת באמצעים לנצל את פרצת האבטחה הזו יכולה לחדור לכל מחשב שמריץ את מערכת ההפעלה Windows, גם אם מותקנת עליו תוכנת אנטי-וירוס עדכנית לחלוטין.

כיוון שבאג חדש ובלתי מוכר שכזה הוא תקלה מסוכנת בעלת השלכות על מיליארדי מחשבים ברחבי העולם – אלו חדשות מעניינות הרבה יותר מסתם 'עוד וירוס נוסף' שנתגלה איפה שהוא. הדיווח של של VirusBlokAda נתקבל בעניין רב על ידי מספר בלוגרים מוכרים בתחום אבטחת המידע – ומהם עבר לכלי תקשורת אחרים. מיקרוסופט הזדרזה להודיע שמהנדסיה עובדים כעת מסביב לשעון כדי להוציא עדכון לWindows שיאטום את פרצת האבטחה, ומספר חברות אבטחה החלו בוחנות את התוכנה הזדונית לעומקה. ככל שהעמיקו המומחים 'לחפור' בקוד שלה, כך הבינו שאין מדובר ב'סתם עוד וירוס', כי אם באחד הווירוסים המתוחכמים ביותר בהיסטוריה. ולא רק זאת, אלא שמדובר בתוכנה זדונית המתוכננת לפגוע באופן בלעדי במערכות בקרה תעשיתיות. במילים אחרות, זהו אותו APT – Advanced Persistent Threat שעליו הזהירו רואי השחורות כבר מאז 2005. השם שניתן לתוכנה הזדונית החדשה היה Stuxnet, צירוף של שתי מילים אקראיות בקוד שלה.

"People reacted almost immediately. There were entire sites that glued all of their USB ports shut on their control system network. Before hand, it was – ‘no one would ever come after us with a targeted attack. That’s for IT.’ Afterwards, it was ‘Oh no! now what?’ Certainly in the day, there was some panic. The Stuxnet worm spread on control systems networks when it was discovered. There was no Anti-Virus for it, there were no security updates to close the hole that is was using. There was no way to stop it. In th