לפי דיווחים הוא פותח בשיתוף המודיעין הישראלי, נוסה בכור בדימונה ונשלח לפגוע בתוכנית הגרעין האיראנית. מתברר ש״סטאקסנט״ – נשק הסייבר הראשון בעולם שמסוגל להרוס מערכות פיזיות – לא רק הותיר הרס, אלא גם את הקוד הדרוש כדי לבנות וירוס דומה ולהפעיל אותו בחזרה נגד מי ששלח אותו. על הכוונת: תשתיות חשמל ומקורות אנרגיה במערב
בן קמינסקי | 18 בפברואר 2015 | גיאו-פוליטיקה | 15 דק׳
האם הווירוס שתקף את הגרעין האיראני מופנה כעת נגדנו?
פטריית העשן מעל נגאסקי לאחר הטלת הפצצה | U.S.-National-Archives
מלחמה מסוג חדש לחלוטין עלולה לפרוץ בכל רגע. אולי בעצם כבר פרצה. אף טיל לא יתפוצץ במלחמה הזאת ואף כדור לא ישרוק, אבל בכל זאת אנשים רבים עלולים לאבד את חייהם. חיילי מילואים לא יגויסו ובעלי חנויות לא יסגרו את עסקיהם מחשש להפגזות, אבל בכל זאת הכלכלה עלולה להיפגע אנושות.
זה יכול להתחיל ברכבת שתדהר במהירות אל עבר רכבת אחרת בזמן שהנהג יאבד שליטה על מערכת הבקרה ולא יצליח למנוע את התאונה הקטלנית. זה יכול להתחיל בהפסקת חשמל ממושכת שלא ניתן יהיה לתקן, בדיוק ברגע הקר ביותר בחורף. וזה יכול להתחיל בשיבוש מערכות החשמל והתקשורת בבתי חולים, על כל המכשור הרפואי שלהם.
אלה כבר אינן תחזיות דמיוניות, לפי ראש הסוכנות האמריקנית לביטחון לאומי (NSA) מייקל רוג׳רס, שאמר לאחרונה בשימוע בוועדת המודיעין של בית הנבחרים האמריקני כי סין וכמה מדינות נוספות מסוגלות כבר היום לפגוע בתשתיות הקריטיות של ארה״ב באמצעות מתקפת ״סייבר״ ולהותיר אותה בלי חשמל, ואולי גם בלי מים או דלק. ״לא צריכים להיות שום ספקות בלבנו בכך שלמדינות ולקבוצות יש היכולת לעשות זאת״, הוא אמר, והוסיף שלדעתו זה רק עניין של ״מתי״ ולא של ״האם״ נראה משהו דרמטי.
אם האקרים יצליחו להפיל את רשת החשמל, ניתן יהיה להחזיר אותה במהרה ככל הנראה. אבל אם הם יצליחו לחבל באופן פיזי במערכות קריטיות, כמו גנרטורים, זה יהיה סיפור אחר לגמרי.
זה שקול לתסריט שבו ב-1945 לא הייתה זו רק נשורת גרעינית שהייתה יורדת מהפצצות אל תוך הירושימה ונגסקי, אלא גם כל הנוסחאות המדעיות והתרשימים הנדרשים כדי לבנות פצצות כאלה
מה שמפתיע בסיפור הזה הוא שאת המתקפה שאולי תפגע בנו בעתיד החלו, לפי דיווחים, דווקא ארה״ב וישראל, כשהפעילו את ״סטאקסנט״ – נשק הסייבר הראשון בעולם – וירוס שהצליח לראשונה להרוס ממש מערכות פיזיות.
באותם ימי חורף של 2010, כשסטאקסנט חיבל בצנטריפוגות בכור הגרעיני בנתנז, איראן, מבלי שיבחינו בו, הוא הצליח לעכב את תוכנית הגרעין האיראנית, כפי שארה״ב וישראל כביכול רצו. אבל כמה חודשים לאחר מכן, מהרגע שהבחינו בו גורמים זרים ושמו עליו יד, לנשק הסייבר הקטלני היו כמה השפעות נוספות, מרחיקות לכת, שארה״ב וישראל כנראה לא רצו בהן.
שחרורו של סטאקסנט סימן את יריית הפתיחה למרוץ חימוש חדש, בדומה למרוץ החימוש הגרעיני שהחל מאז ההפצצה האמריקנית במלחמת העולם השנייה. קנט בנדיקט מה-Bulletin of the Atomic Scientists מאמין שארה״ב שחררה לעולם נשק שעדיין לא הבינה את ההשלכות מרחיקות הלכת של השימוש בו.
״הגענו להבנה איך נשק גרעיני יכול להרוס חברות ואת הציוויליזציה האנושית״, הוא כתב. ״אבל אפילו לא התחלנו להבין איך לוחמת סייבר עלולה להרוס את אופן החיים שלנו״. סטאקסנט אמנם פותח כדי למנוע מאיראן להשיג נשק גרעיני, אבל ״כמה אירוני״, מציין בנדיקט, ״שעידן חדש של השמדה המונית יתחיל בניסיון לסגור את הפרק של העידן הראשון של ההשמדה ההמונית״.
בספר Countdown to Zero Day שהתפרסם בנובמבר 2014, מתארת עיתונאית הטכנולוגיה הבכירה של מגזין Wired קים זטר, את השתלשלות האירועים שהובילה לחשיפתו של סטאקסנט, וגם שופכת קצת אור על האופן שבו הוא פותח. אבל אולי חשוב מכך, זטר מצביעה בספרה על ההשלכות המדאיגות של שחרורו של הווירוס החדשני לאוויר העולם.
פצצת האטום ״איש שמן״ שהוטלה על נגסאקי | U.S.-National-Archives
בשחרור של סטאקסנט, מסבירה זטר בראיון לאפוק טיימס, ארה״ב לא רק נתנה לכל העולם מוטיבציה לפתח נשק סייבר שיבצע חבלה פיזית אצל האויב. אלא גם חשפה את התוכניות שנדרשות כדי לפתח אותו, את קוד המקור של הנשק שהיא פיתחה.
״כשאתה מפעיל נשק סייבר, אתה לא רק שולח את הנשק אל האויבים שלך״, היא כותבת, ״אתה גם שולח אליהם את הקניין הרוחני שיצר אותו, ואת היכולת להפעיל את אותו הנשק בחזרה כלפיך״.
״זה שקול לתסריט שבו ב-1945 לא הייתה זו רק נשורת גרעינית שהייתה יורדת מהפצצות אל תוך הירושימה ונגסקי, אלא גם כל הנוסחאות המדעיות והתרשימים הנדרשים כדי לבנות פצצות כאלה״.
סטאקסנט, מסבירה זטר, סיפק גם לגיטימציה וגם ידע הכרחי למדינות ולגורמים שעד לאותו זמן לא יכלו אפילו לשקול פיתוח של אמצעי לחימה שכאלה.
מחירים משוערים של פרצות אבטחה לתוכנות מחשב נפוצות ולמערכות הפעלה
(נכון ל-2012, לפי תחקיר של העיתונאי אנדי גרינברג שהתפרסם ב״פורבס״)
משהו לא בסדר בנתנז
עידן הלוחמה החדש הזה התחיל בימים החורפיים של ינואר 2010, כאשר מצלמות האבטחה של פקחי הסוכנות הבין-לאומית לאנרגיה אטומית (סבא״א) התחילו להבחין במשהו מוזר במפעל העשרת האורניום שמחוץ לעיירה נתנז, במחוז אספהאן שבמרכז איראן. עובדים במפעל התחילו להוציא מהמתקן צנטריפוגות בקצב מפתיע, ולהחליף אותן בחדשות, כפי שזטר מתארת בספרה את הסיפור המוכר, בפירוט ובציוריות חסרי תקדים.
מה שפקחי סבא״א לא ידעו היה שכמה חודשים לפני כן, ביוני 2009, מישהו שחרר נשק דיגיטלי הרסני שהגיע איכשהו אל מתקן העשרת האורניום בנתנז, שם הוא חמק אל המערכות המפעילות את הצנטריפוגות ולא עשה דבר, כשהוא מחכה ליום שבו יגשים את ייעודו – לחבל בתוכנית העשרת האורניום של האיראנים, ולמנוע מהם להשיג נשק גרעיני.
ספרה החדש של העיתונאית קים זטר
איך הגיע הווירוס לנתנז? הרי המחשבים בנתנז לא היו מחוברים לאינטרנט, ולא הייתה כתובת IP שהתוקפים יכלו לכוון אליה. ההנחה של התוקפים הייתה שגם המחשבים המבודדים והמנותקים ביותר, כמו אלה שבכור הגרעיני בנתנז, צריכים לעבור עדכון תוכנה מפעם לפעם שמבוצע באמצעות התקן חיצוני. לכן הם הפיצו את הווירוס לכל עבר, והוא הגיע לאינספור מחשבים ברחבי העולם שבהם המתין מבלי לעשות דבר, ורק שכפל את עצמו עד שימצא את דרכו איכשהו למחשבים השולטים על מערכת העשרת האורניום בנתנז.
חברה קטנה ובלתי מוכרת מבלרוס ששמה ״וירוס-בלוק-אדא״, המפתחת תכנת אנטי-וירוס, גילתה את הווירוס המוזר, כשאחד מלקוחותיה באיראן שם לב לבעיה מוזרה במחשב שלו. המחשב התחיל להיתקע ולאתחל את עצמו שוב ושוב.
אנשי התמיכה הטכנית של ״וירוס-בלוק-אדא״ שישבו בבלרוס התחברו מרחוק למחשב והחלו לחפש תוכנות זדוניות שתוכנת האנטי-וירוס שלהם פספסה, אבל הם לא הצליחו למצוא דבר. הם פנו לסרגי אולסן, שניהל את מחלקת האנטי-וירוס של החברה, כדי שיעזור להם לפתור את התעלומה.
זטר, שראיינה אותו בספרה, מתארת שאולסן גילה שהבעיה לא מתרחשת רק במחשב אחד. גם במחשבים שנוקו לחלוטין והותקנו מחדש הבעיה חזרה. כאן הוא התחיל לחשוד שלא מדובר בסתם תקלה, אלא בווירוס תולעת שנמצא ברשת של הקורבן ומפיץ את עצמו מחדש בכל פעם שמנקים אותו.
כשאולסן התחבר מרחוק למחשב באיראן כדי לבחון את הבעיה, הדבר האחרון שחשב היה שהוא עומד להיות במרכזה של פרשה בין-לאומית שתסעיר את העולם. הוא החל לבחון את המערכת, וגילה שישה קבצים חשודים.
בערך באותה תקופה חברה אירנית למערכות בקרה בשם ״נֶדָה״ נתקלה בבעיה מוזרה אחרת – בכל מחשבי החברה התגלה קובץ שמייצר הודעת שגיאה. זה לא היה קובץ רגיל, אלא קובץ שנועד לאפשר למחשבים לתקשר עם בקרים תעשייתיים מסוימים, בדיוק אותם בקרים ששימשו להפעלת הצנטריפוגות בנתנז. ״נדה״ נחשדה על ידי ארה״ב כמעורבת בתהליך ההתחמשות של איראן בנשק גרעיני.
אחד ממהנדסי החברה שם לב לתופעה הבאה: כשהוא השתמש ב-DVD או ב-CD כדי להעביר קבצים מהמערכת הנגועה למערכת נקיה, הכול היה בסדר. אבל כשהוא השתמש בכונן USB כדי להעביר את הקבצים, המחשב החדש התחיל להציג את אותן בעיות כמו המכשיר הקודם.
בבניין סובייטי ישן בבלרוס שבו ישבה חברת ״וירוס-בלוק-אדא״, אולסן ועמיתו אולג קרופייב המשיכו לשקוד על פיענוח הקבצים המשונים. ״הם עברו באופן מתודולוגי על קבצים חשודים שהם מצאו במחשבים באיראן, כשלפתע קפץ משהו מול עיניו של קרופייב״, מתארת זטר בספרה.
״הוא נשען לאחור על הכיסא, וקרא לאולסן להסתכל. אולסן דפדף בקוד פעם אחת, ופעם נוספת, כדי לוודא שהוא ראה את מה שחשב שראה. האוויר נעצר בגרונו לרגע. הקוד שהם בחנו במשך כמה ימים, משהו שהם חשבו עד עכשיו שהוא לא יותר מווירוס מעניין אבל רגיל, התגלה כרגע כעבודה של גאון שקט ושטני״.
הווירוס המחוכם לא רק הצליח לחמוק מעיניהן של תוכנות אנטי-וירוס. הוא גם השתמש בפרצת אבטחה מתוחכמת כדי להפיץ את עצמו דרך כונני USB, פרצה שטרם הייתה מוכרת לקהילת האבטחה.
השוק השחור של פרצות האבטחה
פרצות שעדיין לא נחשפו מכונות ״פרצות יום-אפס״ בעולם האבטחה, והן הדבר היקר ביותר שהאקר יכול להחזיק בו. אם גילית פרצת יום-אפס אתה יכול לפתח וירוס שתוכנות אנטי-וירוס לא יוכלו לגלות ושיצרניות התוכנה לא הולכות לפרסם תיקון שיסגור את הפרצה כל עוד היא לא תתגלה.
כשמומחה אבטחה מגלה פרצה שכזאת, הנוהג המקובל הוא לעדכן את יצרנית התוכנה שאצלה נמצאת הפרצה, כדי שתוכל לתקן אותה, ורק לאחר מכן לפרסם לציבור הרחב את הפרצה. המטרה היא שאנשים עם כוונות זדוניות לא יוכלו לנצל את פרק הזמן הזה שבין גילוי הפרצה לבין הזמן שבו שוחרר עדכון התוכנה שסוגר את הפרצה. אבל לא תמיד מומחי אבטחה פועלים כך.
מומחי אבטחה יודעים שאם ידווחו על פרצת יום-אפס שגילו הם יזכו למוניטין נהדר, ואולי גם לפיצוי כספי מסוים מיצרנית התוכנה. יצרניות תוכנה רבות מציעות פרס כספי לאנשים שמגלים באגים ופרצות אבטחה כדי לעודד אותם לדווח להן על כך ולסייע לשפר את המוצר שלהן. אבל מומחי אבטחה יודעים היום שיש דרך להרוויח הרבה יותר כסף מפרצות יום-אפס שהם מגלים.
בעשור האחרון, זטר מסבירה, החל להתפתח שוק של פרצות יום-אפס. לאחרונה הוא החל לפרוח אף יותר מתמיד. מספר הקונים והמוכרים תפח, והמחירים תפחו יחד איתם. האקרים ומומחי אבטחה יכולים היום למכור פרצות שכאלה בעשרות אלפי דולרים. לעתים אפילו במאות אלפים.
מה שסטאקסנט העלה לתשומת הלב הוא המעורבות הסודית של ממשלות בשוק הזה. מסתבר שאחד הסודות של חברות האבטחה בעולם הוא שכאשר הם מגלים פרצות יום-אפס משמעותיות הן אינן מדווחות עליהן תמיד לציבור או ליצרניות התוכנה כדי שיתקנו את הפרצה. לעתים הן מעדיפות למכור את הפרצה לסוכנים ממשלתיים במחירים גבוהים.
ההאקר שאוקי בקראר עורר את זעמם של חברות אבטחה ומומחי אבטחה ברחבי העולם כשחשף את הפרקטיקה הזאת לציבור. בקראר ייסד את חברת Vupen, שמצהירה בגלוי שמטרתה למכור פרצות יום-אפס ללקוחות ממשלתיים.
כשגוגל הציעו לו 60 אלף דולר על פרצת אבטחה שגילה בדפדפן ״כרום״, בקראר סירב. הוא התבדח ואמר שאולי היה שוקל את זה בעבור מיליון דולר. אבל לאחר מכן הוא אמר לזטר שאפילו בעבור מיליון דולר לא היה מוכר את הפרצה לגוגל. הוא מעדיף למכור אותה ללקוחותיו הממשלתיים. האם זה משום שהם משלמים יותר? בהחלט לא. ״בחיים לא… אין להם התקציב הזה״, הוא אמר.
המניע של בקראר שונה. ״אנחנו בעיקר עובדים עם ממשלות שמתמודדות עם נושאים של ביטחון לאומי… אנחנו עוזרים להן להגן על הדמוקרטיות שלהן ולהגן על חיים״, הוא אמר לזטר.
״זה מודל ממשלתי שמסתמך על לשמור על כולם פגיעים כדי שניתן יהיה לתקוף קבוצה מסוימת של מעטים״, מסבירה זטר. ״זה שקול למניעת חיסון מאוכלוסייה שלמה כדי שניתן יהיה להדביק כמה בודדים בווירוס״.
המשמעות של שוק הפרצות התוסס הזה היא שהפרצה הספציפית שבה משתמשים אינה חשובה כל כך. אפשר תמיד להושיט יד ולהוציא מהמחסן פרצות יום אפס נוספות, ולפתח וירוס חדש שקשה יהיה לגלות.
הפסקת חשמל בניו יורק. ראש ה-NSA הצהיר שלסין ולמדינות נוספות יש היכולת לפגוע בחשמל ובתשתיות קריטיות אחרות של ארה״ב | Robert-GirouxGetty-Images
ראש נפץ דיגיטלי
מאז התגלית של החברה הקטנה מבלרוס, חברות אבטחה גדולות ברחבי העולם החלו לחקור את סטאקסנט. בתהליך המחקר הם גילו לא פחות מארבע פרצות יום-אפס בווירוס המחוכם. היה ברור, אם כן, שלמי שפיתח את הווירוס היו משאבים אדירים כדי להשיג כל כך הרבה פרצות יום-אפס, וגם מוטיבציה אדירה כדי להיות מוכן ״לשרוף״ ארבע פרצות יום-אפס בתקיפה אחת.
החוקרים גילו שהווירוס מברר ראשית אם הוא הגיע למחשב של ״סימנס״ המיועד לשלוט בבקרים מסוימים. לאחר מכן הוא בודק האם הבקרים שבהם שולט המחשב הם בקרים מדגם מסוים מאוד, בדיוק אותו דגם ששימש כדי להפעיל את הצנטריפוגות בנתנז.
כשסטאקסנט גילה שהוא הגיע ליעדו, הוא החליף את הקובץ האחראי על התקשורת בין המחשב לבין הבקרים, בקובץ דומה הפועל כמעט באותו אופן, פרט לכך שהוא עושה עוד כמה דברים זדוניים. התוכנות של סימנס לא יכלו להבחין בהבדל. במשך כמה שבועות הקובץ התנהג כרגיל, ולא עשה שום דבר יוצא דופן. הדבר היחיד שעשה היה לאסוף את הנתונים המגיעים מהבקרים לצורך בקרה. את הנתונים הוא שמר היטב בצד לשימוש בהמשך. לאחר מכן הגיע רגע ההתקפה, הרגע שבו ראש הנפץ הדיגיטלי הופעל.
הקובץ הזדוני החדיר לבקרים קוד זדוני שגרם להם לשלוט בצנטריפוגות באופן שהן לא בנויות לעבוד בו. הבקרים החלו לגרום לצנטריפוגות להסתובב במהירויות גבוהות במיוחד, ולאחר זמן מסוים במהירויות נמוכות מאוד, וחוזר חלילה. באותו זמן, הבקרים הנגועים שידרו בחזרה למחשבים המפעילים אותם את אותם נתונים שהוקלטו מראש, נתונים שהראו שהכול תקין. כך, אף על פי שהכול השתבש, למהנדסים ולטכנאים בנתנז היה נראה שהכול פועל כשורה.
״זה כמו בסרט הוליוודי על שוד, שבו הגנבים מחדירים קטע וידאו בלופ למנגנוני מצלמות האבטחה״, מסבירה זטר. הקובץ לא רק החדיר את הקוד הזדוני לבקרים במקום הקוד הקיים בהם. הוא היה מתוחכם יותר. בכל פעם שהמהנדסים בנתנז הזינו קוד חדש לבקרים, הקובץ עדכן את הקוד לפי רצונו, ודאג להוסיף גם את רכיב הקוד המשבש את פעילות הצנטריפוגות. הצנטריפוגות החלו להיהרס בזו אחר זו, ולמהנדסים בנתנז לא היה מושג מה הסיבה לכך.
סטאקסנט הוכיח לראשונה שבאמצעות מתקפת סייבר ניתן להרוס באופן פיזי ציוד. מה גם שהוא הצליח לעשות את זה במערכת שהייתה מנותקת לחלוטין מרשת האינטרנט. מערכות שליטה ובקרה מהסוג שהפעיל את הצנטרפוגות בנתנז משמשות גם להפעלת רשתות חשמל ברחבי העולם, לשליטה בתשתיות המים, הדלק והגז. הן משמשות להפעלת מכשור צבאי רגיש, ולמערכות רפואיות בבתי חולים.
כל אלה, כפי שהראה סטאקסנט, חשופים לפגיעה פיזית, גם אם המחשבים השולטים עליהם מנותקים לחלוטין מרשת האינטרנט. אולם רבות מאותן מערכות דווקא מחוברות לרשת האינטרנט במטרה להפוך את השליטה בהן לנוחה, פשוטה ויעילה יותר. מה שהופך אותן גם לפגיעות עוד יותר.
פיתוח משותף עם 8200
דבר נוסף שחוקרי האבטחה בעולם הופתעו לגלות בסטאקסנט, היה האופן שבו הוא הצליח להזדהות כדרייברים לגיטימיים של חברות חומרה טייוואניות. דרייברים הם אותן תוכנות שמאפשרות למערכת ההפעלה לתקשר עם מכשירים ורכיבי חומרה שונים. כדי שמערכת הפעלה תדע שמדובר בדרייבר לגיטימי ותאפשר באין מפריע את ההתקנה שלו, היא מוודאת שהדרייבר נחתם באופן תקין על ידי החברה שהייתה אמורה לייצר אותו. לחברות החומרה יש מפתחות פרטיים שבאמצעותן רק הן יכולות לחתום על הדרייברים שלהן. החברות האלה שומרות על המפתחות הפרטיים מכל משמר, בדרך כלל בכספת או בחדר נעול היטב, כדי לוודא שאף אחד לא יוכל לחתום בשמן על דרייברים לצורך הונאה.
אבל המפתחים של סטאקסנט הצליחו לחתום על הווירוס שלהם באמצעות מפתחות פרטיים של שתי חברות טייוואניות שונות, השוכנות בסמיכות זו לזו. באופן זה הצליח סטאקסנט לשכנע את מערכות ההפעלה שהוא בסך הכול דרייבר תמים, וכך להתקין את עצמו על מחשבים רבים. התגלית הזאת הפתיעה רבים בקהילת האבטחה. המשמעות היא שהמפתחים הצליחו לשים את ידיהם על המפתחות הפרטיים השמורים של שתי חברות שונות.
כשאתה מפעיל נשק סייבר, אתה לא רק שולח את הנשק אל האויבים שלך. אתה גם שולח אליהם את הקניין הרוחני שיצר אותו, ואת היכולת להפעיל את אותו הנשק בחזרה כלפיך
האם אנשי מוסד או CIA פרצו באישון לילה למשרדיהם של שתי החברות הטייוואניות? האם היה להם משתף פעולה מבפנים? בכל מקרה, המשמעות הייתה שהעולם כבר לא יכול לסמוך עוד על חתימות רשמיות של חברות מוכרות באמצעות מפתחות פרטיים, דבר שנהוג היה לתת בו אמון. ושאלה נוספת שעלתה הייתה למי יכולה להיות יכולת גדולה עד כדי כך.
כתבה שהתפרסמה בניו יורק טיימס פתרה את אותה סוגיה שהעסיקה את כולם – מי שפיתח את סטאקסנט היו ישראל וארה״ב, לפי אותה כתבה, עם מעט סיוע מהגרמנים ומהבריטים.
זטר מספרת כיצד ב-2006, כשאיראן התעקשה להתקדם בתוכנית הגרעין שלה, וישראל איימה לבצע תקיפה אווירית, הנשיא בוש שקל את האפשרויות שלו. לפי הדיווחים שהיא מציגה, באותם ימים החלה להירקם תוכנית ״המשחקים האולימפיים״, כדי לעכב באמצעות מתקפת סייבר את התקדמות תוכנית הגרעין של המדינה האסלאמית.
״התוכנית הראשונית נוסדה כנראה על ידי המפקדה האסטרטגית של ארצות הברית תחת פיקודו של הגנרל ג׳יימס קרטרייט״, היא כותבת, ״אבל היו אלה לוחמי הסייבר של ה-NSA ושל מפקדת הסייבר האמריקנית שעבדו בשיתוף פעולה עם מתכנתים מיחידת העלית 8200 של ישראל כדי לבצע אותה״.
הווירוס לא רק פותח בשיתוף 8200, לפי המקורות של הניו יורק טיימס, אלא גם נבדק באמצעות ניסויים שנעשו בכור בדימונה בתנאים שנועדו לחכות את מתקן ההעשרה בנתנז, עם ציוד זהה כדי למדוד את האפקטיביות של הרס הציוד.
תיבת פנדורה
מכיוון שסטאקסנט הופץ לכל פינה בעולם, המשמעות היא שבכל מקום בעולם האקרים יכולים לקחת לעצמם את הקבצים של הווירוס, לפענח אותם, לעשות הנדסה לאחור, וללמוד איך להכין סטאקסנט בעצמם. הפרצות שסטאקסנט השתמש בהם אמנם כבר נסגרו, אבל תמיד אפשר לגשת לשוק ולאסוף מהמדפים כמה פרצות טריות, ולנצל את הקוד הזדוני למטרות שהתוקפים המקוריים לא התכוונו אליהן.
באותו אופן שבו סטאקסנט התפשט ברחבי העולם בחיפוש אחר מחשב מאוד מסוים שאותו הוא רצה לתקוף, האקרים יכולים לשחרר וירוסים דומים שיפיצו את עצמם ללא רסן כשהם מחפשים למשל את המחשבים השולטים על מערכות השליטה והבקרה של רשתות חשמל של מדינות מסוימות או של תשתיות קריטיות אחרות.
מי שיהיו הכי פגיעים בפני הלוחמה החדשה הזאת הם אולי דווקא אלה שהתחילו אותה. מרכוס רנום, אחד הממציאים של ה״פיירוול״, קרא לסטאקסנט ״אבן שנזרקה על ידי אנשים שגרים בבית זכוכית״, כפי שמציגה זטר. ״המדינות הנמצאות בסיכון הגדול ביותר הן המדינות בעלות החיבוריות הגדולה ביותר״, היא מסבירה.
לא נראה, למשל, שצפון קוריאה ספגה נזקים משמעותיים בזמן שנותקה מרשת האינטרנט לאחר הפריצה למחשבי ״סוני״. מצד שני, זטר מסבירה שבארה״ב, תשתיות אזרחיות שעד כה היו תמיד מוגנות בזמן לחימה בשל מיקומה המרוחק של ארה״ב, הפכו לפגיעות. בתי חולים, שעד כה תוקפים נמנעו מלפגוע בהם, לא יזכו לאותה הגנה כשמדובר במתקפות סייבר.
״מה את חושבת״, אני שואל את זטר, ״אם זה נעשה כדי להגן על חיי אדם, בהינתן האלטרנטיבה, האם המתקפה של סטאקסנט לא הייתה שווה את זה״?
״אני מסכימה שהאלטרנטיבה של הפצצה של מתקני הגרעין הייתה גרועה יותר. אם היו ראיות ודאיות שלאיראן יש תכנית לפיתוח נשק גרעיני, ואם היית הולך להרוס אותה או לעצור אותה, אז היה הגיוני מאוד לעשות את זה.
״אבל אף פעם לא היו ראיות ודאיות שלאיראן יש נשק גרעיני או שהולך להיות לה. היה לנו יותר מעשור של ניסיונות להשיג מודיעין על איראן, אבל אף אחד לא הציג שום דבר מוחלט. אם סוכנויות המודיעין בטוחות לחלוטין שיש להן [הראיות הוודאיות] אז מפתיע שהן לא הציגו חלק מזה.
״בנוסף, התקיפה נגד תוכנית הגרעין האיראנית נעשתה כדי להרוויח זמן, היא לא נועדה להרוס את התוכנית. אז אני לא בטוחה שהתועלת עולה על התוצאות השליליות במקרה הזה״.
אחמדינג׳אד מסייר בין הצנטריפוגות במפעל העשרת האורניום בנתנז, שהותקף על ידי ״סטאקסנט״ | Office-of-the-Presidency-of-the-Islamic-Republic-of-IranGetty-Images
עוד כתבות של בן קמינסקי
- 1.
גיאו-פוליטיקה
ערעור – מה שכולם רוצים לעשות
- 2.
גיאו-פוליטיקה
רובוטים שיורים מהמותן – תיבת פנדורה או החלטה חכמה?
- 3.
גיאו-פוליטיקה
האם להשתמש בתוכנה שיודעת לגלות מי יבצע בעתיד פשע, עוד לפני שביצע אותו?
- 4.
גיאו-פוליטיקה
הגאון שמעביר את הכוח להמונים
- 5.
גיאו-פוליטיקה
היום שבו יפלו חומות הצנזורה בסין ואיראן
עוד כתבות בגיאו-פוליטיקה
-
המהלך הבא במשחק השחמט העולמי – ינואר 2023
איל לוינטר
-
המלחמה על החקלאים: בעולם מעבירים חוקים המגבילים את ייצור המזון ומעלים מחירים, לטובת מדיניות סביבתית
רקפת תבור
-
"נכנסנו לטריטוריה חדשה. מדינות, תאגידים, בנקים ומשקי בית חייבים יותר מאשר הם יכולים להחזיר. אני מעריך שהמשבר הזה יתפוצץ בעתיד הקרוב"
איל לוינטר
-
המהלך הבא במשחק השחמט העולמי – דצמבר 2022
איל לוינטר
-
המהלך הבא במשחק השחמט העולמי – נובמבר 2022
איל לוינטר
האם הווירוס שתקף את הגרעין האיראני מופנה כעת נגדנו?
לפי דיווחים הוא פותח בשיתוף המודיעין הישראלי, נוסה בכור בדימונה ונשלח לפגוע בתוכנית הגרעין האיראנית. מתברר ש״סטאקסנט״ – נשק הסייבר הראשון בעולם שמסוגל להרוס מערכות פיזיות – לא רק הותיר הרס, אלא גם את הקוד הדרוש כדי לבנות וירוס דומה ולהפעיל אותו בחזרה נגד מי ששלח אותו. על הכוונת: תשתיות חשמל ומקורות אנרגיה במערב
בן קמינסקי | 18 בפברואר 2015 | גיאו-פוליטיקה | 12 דק׳
אחמדינג׳אד מסייר בין הצנטריפוגות במפעל העשרת האורניום בנתנז, שהותקף על ידי ״סטאקסנט״ | Office-of-the-Presidency-of-the-Islamic-Republic-of-IranGetty-Images
פטריית העשן מעל נגאסקי לאחר הטלת הפצצה | U.S.-National-Archives
מלחמה מסוג חדש לחלוטין עלולה לפרוץ בכל רגע. אולי בעצם כבר פרצה. אף טיל לא יתפוצץ במלחמה הזאת ואף כדור לא ישרוק, אבל בכל זאת אנשים רבים עלולים לאבד את חייהם. חיילי מילואים לא יגויסו ובעלי חנויות לא יסגרו את עסקיהם מחשש להפגזות, אבל בכל זאת הכלכלה עלולה להיפגע אנושות.
זה יכול להתחיל ברכבת שתדהר במהירות אל עבר רכבת אחרת בזמן שהנהג יאבד שליטה על מערכת הבקרה ולא יצליח למנוע את התאונה הקטלנית. זה יכול להתחיל בהפסקת חשמל ממושכת שלא ניתן יהיה לתקן, בדיוק ברגע הקר ביותר בחורף. וזה יכול להתחיל בשיבוש מערכות החשמל והתקשורת בבתי חולים, על כל המכשור הרפואי שלהם.
אלה כבר אינן תחזיות דמיוניות, לפי ראש הסוכנות האמריקנית לביטחון לאומי (NSA) מייקל רוג׳רס, שאמר לאחרונה בשימוע בוועדת המודיעין של בית הנבחרים האמריקני כי סין וכמה מדינות נוספות מסוגלות כבר היום לפגוע בתשתיות הקריטיות של ארה״ב באמצעות מתקפת ״סייבר״ ולהותיר אותה בלי חשמל, ואולי גם בלי מים או דלק. ״לא צריכים להיות שום ספקות בלבנו בכך שלמדינות ולקבוצות יש היכולת לעשות זאת״, הוא אמר, והוסיף שלדעתו זה רק עניין של ״מתי״ ולא של ״האם״ נראה משהו דרמטי.
אם האקרים יצליחו להפיל את רשת החשמל, ניתן יהיה להחזיר אותה במהרה ככל הנראה. אבל אם הם יצליחו לחבל באופן פיזי במערכות קריטיות, כמו גנרטורים, זה יהיה סיפור אחר לגמרי.
זה שקול לתסריט שבו ב-1945 לא הייתה זו רק נשורת גרעינית שהייתה יורדת מהפצצות אל תוך הירושימה ונגסקי, אלא גם כל הנוסחאות המדעיות והתרשימים הנדרשים כדי לבנות פצצות כאלה
מה שמפתיע בסיפור הזה הוא שאת המתקפה שאולי תפגע בנו בעתיד החלו, לפי דיווחים, דווקא ארה״ב וישראל, כשהפעילו את ״סטאקסנט״ – נשק הסייבר הראשון בעולם – וירוס שהצליח לראשונה להרוס ממש מערכות פיזיות.
באותם ימי חורף של 2010, כשסטאקסנט חיבל בצנטריפוגות בכור הגרעיני בנתנז, איראן, מבלי שיבחינו בו, הוא הצליח לעכב את תוכנית הגרעין האיראנית, כפי שארה״ב וישראל כביכול רצו. אבל כמה חודשים לאחר מכן, מהרגע שהבחינו בו גורמים זרים ושמו עליו יד, לנשק הסייבר הקטלני היו כמה השפעות נוספות, מרחיקות לכת, שארה״ב וישראל כנראה לא רצו בהן.
שחרורו של סטאקסנט סימן את יריית הפתיחה למרוץ חימוש חדש, בדומה למרוץ החימוש הגרעיני שהחל מאז ההפצצה האמריקנית במלחמת העולם השנייה. קנט בנדיקט מה-Bulletin of the Atomic Scientists מאמין שארה״ב שחררה לעולם נשק שעדיין לא הבינה את ההשלכות מרחיקות הלכת של השימוש בו.
״הגענו להבנה איך נשק גרעיני יכול להרוס חברות ואת הציוויליזציה האנושית״, הוא כתב. ״אבל אפילו לא התחלנו להבין איך לוחמת סייבר עלולה להרוס את אופן החיים שלנו״. סטאקסנט אמנם פותח כדי למנוע מאיראן להשיג נשק גרעיני, אבל ״כמה אירוני״, מציין בנדיקט, ״שעידן חדש של השמדה המונית יתחיל בניסיון לסגור את הפרק של העידן הראשון של ההשמדה ההמונית״.
בספר Countdown to Zero Day שהתפרסם בנובמבר 2014, מתארת עיתונאית הטכנולוגיה הבכירה של מגזין Wired קים זטר, את השתלשלות האירועים שהובילה לחשיפתו של סטאקסנט, וגם שופכת קצת אור על האופן שבו הוא פותח. אבל אולי חשוב מכך, זטר מצביעה בספרה על ההשלכות המדאיגות של שחרורו של הווירוס החדשני לאוויר העולם.
פצצת האטום ״איש שמן״ שהוטלה על נגסאקי | U.S.-National-Archives
בשחרור של סטאקסנט, מסבירה זטר בראיון לאפוק טיימס, ארה״ב לא רק נתנה לכל העולם מוטיבציה לפתח נשק סייבר שיבצע חבלה פיזית אצל האויב. אלא גם חשפה את התוכניות שנדרשות כדי לפתח אותו, את קוד המקור של הנשק שהיא פיתחה.
״כשאתה מפעיל נשק סייבר, אתה לא רק שולח את הנשק אל האויבים שלך״, היא כותבת, ״אתה גם שולח אליהם את הקניין הרוחני שיצר אותו, ואת היכולת להפעיל את אותו הנשק בחזרה כלפיך״.
״זה שקול לתסריט שבו ב-1945 לא הייתה זו רק נשורת גרעינית שהייתה יורדת מהפצצות אל תוך הירושימה ונגסקי, אלא גם כל הנוסחאות המדעיות והתרשימים הנדרשים כדי לבנות פצצות כאלה״.
סטאקסנט, מסבירה זטר, סיפק גם לגיטימציה וגם ידע הכרחי למדינות ולגורמים שעד לאותו זמן לא יכלו אפילו לשקול פיתוח של אמצעי לחימה שכאלה.
מחירים משוערים של פרצות אבטחה לתוכנות מחשב נפוצות ולמערכות הפעלה
(נכון ל-2012, לפי תחקיר של העיתונאי אנדי גרינברג שהתפרסם ב״פורבס״)
משהו לא בסדר בנתנז
עידן הלוחמה החדש הזה התחיל בימים החורפיים של ינואר 2010, כאשר מצלמות האבטחה של פקחי הסוכנות הבין-לאומית לאנרגיה אטומית (סבא״א) התחילו להבחין במשהו מוזר במפעל העשרת האורניום שמחוץ לעיירה נתנז, במחוז אספהאן שבמרכז איראן. עובדים במפעל התחילו להוציא מהמתקן צנטריפוגות בקצב מפתיע, ולהחליף אותן בחדשות, כפי שזטר מתארת בספרה את הסיפור המוכר, בפירוט ובציוריות חסרי תקדים.
מה שפקחי סבא״א לא ידעו היה שכמה חודשים לפני כן, ביוני 2009, מישהו שחרר נשק דיגיטלי הרסני שהגיע איכשהו אל מתקן העשרת האורניום בנתנז, שם הוא חמק אל המערכות המפעילות את הצנטריפוגות ולא עשה דבר, כשהוא מחכה ליום שבו יגשים את ייעודו – לחבל בתוכנית העשרת האורניום של האיראנים, ולמנוע מהם להשיג נשק גרעיני.
ספרה החדש של העיתונאית קים זטר
איך הגיע הווירוס לנתנז? הרי המחשבים בנתנז לא היו מחוברים לאינטרנט, ולא הייתה כתובת IP שהתוקפים יכלו לכוון אליה. ההנחה של התוקפים הייתה שגם המחשבים המבודדים והמנותקים ביותר, כמו אלה שבכור הגרעיני בנתנז, צריכים לעבור עדכון תוכנה מפעם לפעם שמבוצע באמצעות התקן חיצוני. לכן הם הפיצו את הווירוס לכל עבר, והוא הגיע לאינספור מחשבים ברחבי העולם שבהם המתין מבלי לעשות דבר, ורק שכפל את עצמו עד שימצא את דרכו איכשהו למחשבים השולטים על מערכת העשרת האורניום בנתנז.
חברה קטנה ובלתי מוכרת מבלרוס ששמה ״וירוס-בלוק-אדא״, המפתחת תכנת אנטי-וירוס, גילתה את הווירוס המוזר, כשאחד מלקוחותיה באיראן שם לב לבעיה מוזרה במחשב שלו. המחשב התחיל להיתקע ולאתחל את עצמו שוב ושוב.
אנשי התמיכה הטכנית של ״וירוס-בלוק-אדא״ שישבו בבלרוס התחברו מרחוק למחשב והחלו לחפש תוכנות זדוניות שתוכנת האנטי-וירוס שלהם פספסה, אבל הם לא הצליחו למצוא דבר. הם פנו לסרגי אולסן, שניהל את מחלקת האנטי-וירוס של החברה, כדי שיעזור להם לפתור את התעלומה.
זטר, שראיינה אותו בספרה, מתארת שאולסן גילה שהבעיה לא מתרחשת רק במחשב אחד. גם במחשבים שנוקו לחלוטין והותקנו מחדש הבעיה חזרה. כאן הוא התחיל לחשוד שלא מדובר בסתם תקלה, אלא בווירוס תולעת שנמצא ברשת של הקורבן ומפיץ את עצמו מחדש בכל פעם שמנקים אותו.
כשאולסן התחבר מרחוק למחשב באיראן כדי לבחון את הבעיה, הדבר האחרון שחשב היה שהוא עומד להיות במרכזה של פרשה בין-לאומית שתסעיר את העולם. הוא החל לבחון את המערכת, וגילה שישה קבצים חשודים.
בערך באותה תקופה חברה אירנית למערכות בקרה בשם ״נֶדָה״ נתקלה בבעיה מוזרה אחרת – בכל מחשבי החברה התגלה קובץ שמייצר הודעת שגיאה. זה לא היה קובץ רגיל, אלא קובץ שנועד לאפשר למחשבים לתקשר עם בקרים תעשייתיים מסוימים, בדיוק אותם בקרים ששימשו להפעלת הצנטריפוגות בנתנז. ״נדה״ נחשדה על ידי ארה״ב כמעורבת בתהליך ההתחמשות של איראן בנשק גרעיני.
אחד ממהנדסי החברה שם לב לתופעה הבאה: כשהוא השתמש ב-DVD או ב-CD כדי להעביר קבצים מהמערכת הנגועה למערכת נקיה, הכול היה בסדר. אבל כשהוא השתמש בכונן USB כדי להעביר את הקבצים, המחשב החדש התחיל להציג את אותן בעיות כמו המכשיר הקודם.
בבניין סובייטי ישן בבלרוס שבו ישבה חברת ״וירוס-בלוק-אדא״, אולסן ועמיתו אולג קרופייב המשיכו לשקוד על פיענוח הקבצים המשונים. ״הם עברו באופן מתודולוגי על קבצים חשודים שהם מצאו במחשבים באיראן, כשלפתע קפץ משהו מול עיניו של קרופייב״, מתארת זטר בספרה.
״הוא נשען לאחור על הכיסא, וקרא לאולסן להסתכל. אולסן דפדף בקוד פעם אחת, ופעם נוספת, כדי לוודא שהוא ראה את מה שחשב שראה. האוויר נעצר בגרונו לרגע. הקוד שהם בחנו במשך כמה ימים, משהו שהם חשבו עד עכשיו שהוא לא יותר מווירוס מעניין אבל רגיל, התגלה כרגע כעבודה של גאון שקט ושטני״.
הווירוס המחוכם לא רק הצליח לחמוק מעיניהן של תוכנות אנטי-וירוס. הוא גם השתמש בפרצת אבטחה מתוחכמת כדי להפיץ את עצמו דרך כונני USB, פרצה שטרם הייתה מוכרת לקהילת האבטחה.
השוק השחור של פרצות האבטחה
פרצות שעדיין לא נחשפו מכונות ״פרצות יום-אפס״ בעולם האבטחה, והן הדבר היקר ביותר שהאקר יכול להחזיק בו. אם גילית פרצת יום-אפס אתה יכול לפתח וירוס שתוכנות אנטי-וירוס לא יוכלו לגלות ושיצרניות התוכנה לא הולכות לפרסם תיקון שיסגור את הפרצה כל עוד היא לא תתגלה.
כשמומחה אבטחה מגלה פרצה שכזאת, הנוהג המקובל הוא לעדכן את יצרנית התוכנה שאצלה נמצאת הפרצה, כדי שתוכל לתקן אותה, ורק לאחר מכן לפרסם לציבור הרחב את הפרצה. המטרה היא שאנשים עם כוונות זדוניות לא יוכלו לנצל את פרק הזמן הזה שבין גילוי הפרצה לבין הזמן שבו שוחרר עדכון התוכנה שסוגר את הפרצה. אבל לא תמיד מומחי אבטחה פועלים כך.
מומחי אבטחה יודעים שאם ידווחו על פרצת יום-אפס שגילו הם יזכו למוניטין נהדר, ואולי גם לפיצוי כספי מסוים מיצרנית התוכנה. יצרניות תוכנה רבות מציעות פרס כספי לאנשים שמגלים באגים ופרצות אבטחה כדי לעודד אותם לדווח להן על כך ולסייע לשפר את המוצר שלהן. אבל מומחי אבטחה יודעים היום שיש דרך להרוויח הרבה יותר כסף מפרצות יום-אפס שהם מגלים.
בעשור האחרון, זטר מסבירה, החל להתפתח שוק של פרצות יום-אפס. לאחרונה הוא החל לפרוח אף יותר מתמיד. מספר הקונים והמוכרים תפח, והמחירים תפחו יחד איתם. האקרים ומומחי אבטחה יכולים היום למכור פרצות שכאלה בעשרות אלפי דולרים. לעתים אפילו במאות אלפים.
מה שסטאקסנט העלה לתשומת הלב הוא המעורבות הסודית של ממשלות בשוק הזה. מסתבר שאחד הסודות של חברות האבטחה בעולם הוא שכאשר הם מגלים פרצות יום-אפס משמעותיות הן אינן מדווחות עליהן תמיד לציבור או ליצרניות התוכנה כדי שיתקנו את הפרצה. לעתים הן מעדיפות למכור את הפרצה לסוכנים ממשלתיים במחירים גבוהים.
ההאקר שאוקי בקראר עורר את זעמם של חברות אבטחה ומומחי אבטחה ברחבי העולם כשחשף את הפרקטיקה הזאת לציבור. בקראר ייסד את חברת Vupen, שמצהירה בגלוי שמטרתה למכור פרצות יום-אפס ללקוחות ממשלתיים.
כשגוגל הציעו לו 60 אלף דולר על פרצת אבטחה שגילה בדפדפן ״כרום״, בקראר סירב. הוא התבדח ואמר שאולי היה שוקל את זה בעבור מיליון דולר. אבל לאחר מכן הוא אמר לזטר שאפילו בעבור מיליון דולר לא היה מוכר את הפרצה לגוגל. הוא מעדיף למכור אותה ללקוחותיו הממשלתיים. האם זה משום שהם משלמים יותר? בהחלט לא. ״בחיים לא… אין להם התקציב הזה״, הוא אמר.
המניע של בקראר שונה. ״אנחנו בעיקר עובדים עם ממשלות שמתמודדות עם נושאים של ביטחון לאומי… אנחנו עוזרים להן להגן על הדמוקרטיות שלהן ולהגן על חיים״, הוא אמר לזטר.
״זה מודל ממשלתי שמסתמך על לשמור על כולם פגיעים כדי שניתן יהיה לתקוף קבוצה מסוימת של מעטים״, מסבירה זטר. ״זה שקול למניעת חיסון מאוכלוסייה שלמה כדי שניתן יהיה להדביק כמה בודדים בווירוס״.
המשמעות של שוק הפרצות התוסס הזה היא שהפרצה הספציפית שבה משתמשים אינה חשובה כל כך. אפשר תמיד להושיט יד ולהוציא מהמחסן פרצות יום אפס נוספות, ולפתח וירוס חדש שקשה יהיה לגלות.
הפסקת חשמל בניו יורק. ראש ה-NSA הצהיר שלסין ולמדינות נוספות יש היכולת לפגוע בחשמל ובתשתיות קריטיות אחרות של ארה״ב | Robert-GirouxGetty-Images
ראש נפץ דיגיטלי
מאז התגלית של החברה הקטנה מבלרוס, חברות אבטחה גדולות ברחבי העולם החלו לחקור את סטאקסנט. בתהליך המחקר הם גילו לא פחות מארבע פרצות יום-אפס בווירוס המחוכם. היה ברור, אם כן, שלמי שפיתח את הווירוס היו משאבים אדירים כדי להשיג כל כך הרבה פרצות יום-אפס, וגם מוטיבציה אדירה כדי להיות מוכן ״לשרוף״ ארבע פרצות יום-אפס בתקיפה אחת.
החוקרים גילו שהווירוס מברר ראשית אם הוא הגיע למחשב של ״סימנס״ המיועד לשלוט בבקרים מסוימים. לאחר מכן הוא בודק האם הבקרים שבהם שולט המחשב הם בקרים מדגם מסוים מאוד, בדיוק אותו דגם ששימש כדי להפעיל את הצנטריפוגות בנתנז.
כשסטאקסנט גילה שהוא הגיע ליעדו, הוא החליף את הקובץ האחראי על התקשורת בין המחשב לבין הבקרים, בקובץ דומה הפועל כמעט באותו אופן, פרט לכך שהוא עושה עוד כמה דברים זדוניים. התוכנות של סימנס לא יכלו להבחין בהבדל. במשך כמה שבועות הקובץ התנהג כרגיל, ולא עשה שום דבר יוצא דופן. הדבר היחיד שעשה היה לאסוף את הנתונים המגיעים מהבקרים לצורך בקרה. את הנתונים הוא שמר היטב בצד לשימוש בהמשך. לאחר מכן הגיע רגע ההתקפה, הרגע שבו ראש הנפץ הדיגיטלי הופעל.
הקובץ הזדוני החדיר לבקרים קוד זדוני שגרם להם לשלוט בצנטריפוגות באופן שהן לא בנויות לעבוד בו. הבקרים החלו לגרום לצנטריפוגות להסתובב במהירויות גבוהות במיוחד, ולאחר זמן מסוים במהירויות נמוכות מאוד, וחוזר חלילה. באותו זמן, הבקרים הנגועים שידרו בחזרה למחשבים המפעילים אותם את אותם נתונים שהוקלטו מראש, נתונים שהראו שהכול תקין. כך, אף על פי שהכול השתבש, למהנדסים ולטכנאים בנתנז היה נראה שהכול פועל כשורה.
״זה כמו בסרט הוליוודי על שוד, שבו הגנבים מחדירים קטע וידאו בלופ למנגנוני מצלמות האבטחה״, מסבירה זטר. הקובץ לא רק החדיר את הקוד הזדוני לבקרים במקום הקוד הקיים בהם. הוא היה מתוחכם יותר. בכל פעם שהמהנדסים בנתנז הזינו קוד חדש לבקרים, הקובץ עדכן את הקוד לפי רצונו, ודאג להוסיף גם את רכיב הקוד המשבש את פעילות הצנטריפוגות. הצנטריפוגות החלו להיהרס בזו אחר זו, ולמהנדסים בנתנז לא היה מושג מה הסיבה לכך.
סטאקסנט הוכיח לראשונה שבאמצעות מתקפת סייבר ניתן להרוס באופן פיזי ציוד. מה גם שהוא הצליח לעשות את זה במערכת שהייתה מנותקת לחלוטין מרשת האינטרנט. מערכות שליטה ובקרה מהסוג שהפעיל את הצנטרפוגות בנתנז משמשות גם להפעלת רשתות חשמל ברחבי העולם, לשליטה בתשתיות המים, הדלק והגז. הן משמשות להפעלת מכשור צבאי רגיש, ולמערכות רפואיות בבתי חולים.
כל אלה, כפי שהראה סטאקסנט, חשופים לפגיעה פיזית, גם אם המחשבים השולטים עליהם מנותקים לחלוטין מרשת האינטרנט. אולם רבות מאותן מערכות דווקא מחוברות לרשת האינטרנט במטרה להפוך את השליטה בהן לנוחה, פשוטה ויעילה יותר. מה שהופך אותן גם לפגיעות עוד יותר.
פיתוח משותף עם 8200
דבר נוסף שחוקרי האבטחה בעולם הופתעו לגלות בסטאקסנט, היה האופן שבו הוא הצליח להזדהות כדרייברים לגיטימיים של חברות חומרה טייוואניות. דרייברים הם אותן תוכנות שמאפשרות למערכת ההפעלה לתקשר עם מכשירים ורכיבי חומרה שונים. כדי שמערכת הפעלה תדע שמדובר בדרייבר לגיטימי ותאפשר באין מפריע את ההתקנה שלו, היא מוודאת שהדרייבר נחתם באופן תקין על ידי החברה שהייתה אמורה לייצר אותו. לחברות החומרה יש מפתחות פרטיים שבאמצעותן רק הן יכולות לחתום על הדרייברים שלהן. החברות האלה שומרות על המפתחות הפרטיים מכל משמר, בדרך כלל בכספת או בחדר נעול היטב, כדי לוודא שאף אחד לא יוכל לחתום בשמן על דרייברים לצורך הונאה.
אבל המפתחים של סטאקסנט הצליחו לחתום על הווירוס שלהם באמצעות מפתחות פרטיים של שתי חברות טייוואניות שונות, השוכנות בסמיכות זו לזו. באופן זה הצליח סטאקסנט לשכנע את מערכות ההפעלה שהוא בסך הכול דרייבר תמים, וכך להתקין את עצמו על מחשבים רבים. התגלית הזאת הפתיעה רבים בקהילת האבטחה. המשמעות היא שהמפתחים הצליחו לשים את ידיהם על המפתחות הפרטיים השמורים של שתי חברות שונות.
כשאתה מפעיל נשק סייבר, אתה לא רק שולח את הנשק אל האויבים שלך. אתה גם שולח אליהם את הקניין הרוחני שיצר אותו, ואת היכולת להפעיל את אותו הנשק בחזרה כלפיך
האם אנשי מוסד או CIA פרצו באישון לילה למשרדיהם של שתי החברות הטייוואניות? האם היה להם משתף פעולה מבפנים? בכל מקרה, המשמעות הייתה שהעולם כבר לא יכול לסמוך עוד על חתימות רשמיות של חברות מוכרות באמצעות מפתחות פרטיים, דבר שנהוג היה לתת בו אמון. ושאלה נוספת שעלתה הייתה למי יכולה להיות יכולת גדולה עד כדי כך.
כתבה שהתפרסמה בניו יורק טיימס פתרה את אותה סוגיה שהעסיקה את כולם – מי שפיתח את סטאקסנט היו ישראל וארה״ב, לפי אותה כתבה, עם מעט סיוע מהגרמנים ומהבריטים.
זטר מספרת כיצד ב-2006, כשאיראן התעקשה להתקדם בתוכנית הגרעין שלה, וישראל איימה לבצע תקיפה אווירית, הנשיא בוש שקל את האפשרויות שלו. לפי הדיווחים שהיא מציגה, באותם ימים החלה להירקם תוכנית ״המשחקים האולימפיים״, כדי לעכב באמצעות מתקפת סייבר את התקדמות תוכנית הגרעין של המדינה האסלאמית.
״התוכנית הראשונית נוסדה כנראה על ידי המפקדה האסטרטגית של ארצות הברית תחת פיקודו של הגנרל ג׳יימס קרטרייט״, היא כותבת, ״אבל היו אלה לוחמי הסייבר של ה-NSA ושל מפקדת הסייבר האמריקנית שעבדו בשיתוף פעולה עם מתכנתים מיחידת העלית 8200 של ישראל כדי לבצע אותה״.
הווירוס לא רק פותח בשיתוף 8200, לפי המקורות של הניו יורק טיימס, אלא גם נבדק באמצעות ניסויים שנעשו בכור בדימונה בתנאים שנועדו לחכות את מתקן ההעשרה בנתנז, עם ציוד זהה כדי למדוד את האפקטיביות של הרס הציוד.
תיבת פנדורה
מכיוון שסטאקסנט הופץ לכל פינה בעולם, המשמעות היא שבכל מקום בעולם האקרים יכולים לקחת לעצמם את הקבצים של הווירוס, לפענח אותם, לעשות הנדסה לאחור, וללמוד איך להכין סטאקסנט בעצמם. הפרצות שסטאקסנט השתמש בהם אמנם כבר נסגרו, אבל תמיד אפשר לגשת לשוק ולאסוף מהמדפים כמה פרצות טריות, ולנצל את הקוד הזדוני למטרות שהתוקפים המקוריים לא התכוונו אליהן.
באותו אופן שבו סטאקסנט התפשט ברחבי העולם בחיפוש אחר מחשב מאוד מסוים שאותו הוא רצה לתקוף, האקרים יכולים לשחרר וירוסים דומים שיפיצו את עצמם ללא רסן כשהם מחפשים למשל את המחשבים השולטים על מערכות השליטה והבקרה של רשתות חשמל של מדינות מסוימות או של תשתיות קריטיות אחרות.
מי שיהיו הכי פגיעים בפני הלוחמה החדשה הזאת הם אולי דווקא אלה שהתחילו אותה. מרכוס רנום, אחד הממציאים של ה״פיירוול״, קרא לסטאקסנט ״אבן שנזרקה על ידי אנשים שגרים בבית זכוכית״, כפי שמציגה זטר. ״המדינות הנמצאות בסיכון הגדול ביותר הן המדינות בעלות החיבוריות הגדולה ביותר״, היא מסבירה.
לא נראה, למשל, שצפון קוריאה ספגה נזקים משמעותיים בזמן שנותקה מרשת האינטרנט לאחר הפריצה למחשבי ״סוני״. מצד שני, זטר מסבירה שבארה״ב, תשתיות אזרחיות שעד כה היו תמיד מוגנות בזמן לחימה בשל מיקומה המרוחק של ארה״ב, הפכו לפגיעות. בתי חולים, שעד כה תוקפים נמנעו מלפגוע בהם, לא יזכו לאותה הגנה כשמדובר במתקפות סייבר.
״מה את חושבת״, אני שואל את זטר, ״אם זה נעשה כדי להגן על חיי אדם, בהינתן האלטרנטיבה, האם המתקפה של סטאקסנט לא הייתה שווה את זה״?
״אני מסכימה שהאלטרנטיבה של הפצצה של מתקני הגרעין הייתה גרועה יותר. אם היו ראיות ודאיות שלאיראן יש תכנית לפיתוח נשק גרעיני, ואם היית הולך להרוס אותה או לעצור אותה, אז היה הגיוני מאוד לעשות את זה.
״אבל אף פעם לא היו ראיות ודאיות שלאיראן יש נשק גרעיני או שהולך להיות לה. היה לנו יותר מעשור של ניסיונות להשיג מודיעין על איראן, אבל אף אחד לא הציג שום דבר מוחלט. אם סוכנויות המודיעין בטוחות לחלוטין שיש להן [הראיות הוודאיות] אז מפתיע שהן לא הציגו חלק מזה.
״בנוסף, התקיפה נגד תוכנית הגרעין האיראנית נעשתה כדי להרוויח זמן, היא לא נועדה להרוס את התוכנית. אז אני לא בטוחה שהתועלת עולה על התוצאות השליליות במקרה הזה״.
