گرداب- هفته نامه آلمانی اشپیگل که سابقه فعالیت آن نشان می دهد دسترسی ویژه ای به منابع جاسوسی و اطلاعاتی دارد، در آخرین شماره خود با انتشار گزارشی نحوه طراحی و فعال سازی ویروس استاکس نت در اسرائیل را با جزئیات تشریح کرده است.
متن این گزارش را که به قلم "هولگر اشتارک" است و در تاریخ 21 مرداد 1390 (12 اوت 2011) منتشر شده، در اختیار خوانندگان قرار میگیرد با این ملاحظه که ادعای نادرست و مهمی در این مقاله وجود دارد که جداگانه به آن پرداخته خواهد شد.
حمله استاکسنت آخرین حمله در نوع خود نخواهد بودویروس رایانه ای استاکسنت که (چند ماه پیش) به تاسیسات اتمی ایران حمله ور شد به عنوان نخستین "سلاح دیجیتال"، فصل نوینی از جنگ سایبری را در جهان رقم زد. حمله چند ماه پیش سازمان اطلاعات خارجی اسرائیل موسوم به موساد از طریق یک بدافزار رایانه ایِ به شدت پیچیده به نام استاکس نت به برنامه هسته ای ایران اتفاق مهمی است. بی شک این حمله، آخرین حمله در نوع خود نخواهد بود.
مجموعه ای برافراشته روی تپه ای در بزرگراه تل آویو به حیفا در اسرائیل جای مهمی است که اسرائیلی ها آنرا تپه صدا می کنند. این سایت که به اندازه چند زمین فوتبال، وسعت دارد با دیوارهای بلند و سیم های خاردار از دنیای بیرون، مجزا شده است.
بر روی تپه، دژ نظامی پیشرفته ای است که به منزله نمادی از مبارزه اسرائیل برای حفظ بقایش در منطقه خاورمیانه است. این سازمان موساد است که به طور عادی، مسئولیت تماس و ارتباط گیری با این مرکز پیشرفته نظامی را عهده داراست اما این ممنوعیت های سخت آمد و شد بازدیدکنندگان به این مرکز در هفته نخست ژانویه گذشته یعنی زمانی که یک دستگاه مینی بوس با شیشه های دودی به طور موقت وارد این سایت نظامی شد، به حال تعیلق درآمد.
فرد دعوت کننده برای بازدید از این تاسیسات، "مِئیر داگان"، رئیس قدرتمند (سابق) موساد اسرائیل بود که آن روز، آخرین روزی بود که وی به مدت هفت سال، ریاست سازمان جاسوسی موساد اسرائیل را برعهده داشت. در واقع در آن روز قرار بود با دعوت از خبرنگاران، فرآیند مبارزه موساد با برنامه اتمی ایران که به عنوان یادگاری از داگان برجا مانده بود به نوعی رسانه ای و مستندسازی شود.
در آن دعوت، مئیر داگان با تمام قوا در مورد خطرات احتمالی حمله نظامی به ایران سخن گفت و اظهار داشت: «هر گونه حمله به ایران، منطقه از جمله حزب الله لبنان، حماس فلسطین و احتمالا سوریه را به آتش خواهد کشید.»
رئیسِ در شرف خداحافظی موساد سپس این استنباط را که حمله نظامی می تواند برنامه اتمی ایران را متوقف کند، اشتباه دانست و ابراز داشت: «این حمله، تنها می تواند به طور موقتی، ادامه برنامه اتمی ایران را آهسته کند.» به همین علت بود که رئیس سابق موساد، به شدت مخالف بمباران تاسیسات اتمی ایران بود.
با این حال وی موافق هر گونه اقدامی بود که بتواند این برنامه را بدون شروع یک جنگ متعارف به تعویق اندازد. در آن نشست هفته اول ژانویه، واژه تاخیر، واژهای جدید و سحرآمیز بود. در واقع داگان از وجود سلاحی معجزه آسا سخن می گفت که هر کس که در آن جلسه حضور داشت، نامش را میدانست اما با این همه داگان به کلمه استاکسنت هیچ اشارهای نکرد.
استاکسنت، یک ویروس رایانه ای است که قابلیت نفوذ از رایانه های فوق العاده ایمن را دارد که (اتفاقا) به شبکه اینترنت نیز متصل نیستند. هر چند پیشتر این اعتقاد وجود داشت که نفوذ مجازی، امری غیرممکن است اما حدود یکسال پیش یعنی ژوئن سال 2010 بود که این نفوذ و رسوخ، وارد عرصه سیاست جهانی نیز شد. در آن تاریخ، ویروس استاکسنت، وارد تاسیسات اتمی نطنز ایران شد؛ سایتی که دانشمندان ایرانی در آن مشغول غنی سازی اورانیوم هستند.
استاکسنت با ورود و تاثیرگذاری بر دستگاههای سانتریفوژ فعال در نطنز، آنها را از درون ویران و غیرفعال کرد. این حمله نفوذ به قلب برنامه اتمی ایران بود. استاکسنت، نخستین سلاح سایبری ژئوپلوتیک دنیا است. به گفته "فرانک ریگر" از سازمان باشگاه رایانههای آشفته که یک سازمان شناخته شده هَکری در آلمان است، استاکسنت، در واقع یک مخفی گاه شکن دیجیتال است که قابلیت نفوذ به زرادخانه های تسلیحات مدرن را داراست. این حمله نظامی با استفاده از یک برنامه رایانه ای، به طور هدفمند صورت گرفت.
برای اطلاع از آنکه چه کسانی در پشت ویروس استاکس نت قرار دارند به اسرائیل؛ رژیمی که مبدع سلاح سایبری است، سفر کردیم. شعبه اسرائیلی شرکت امنیت رایانه (و شبکه های رایانه ای) سیمانتک آمریکا در یک مجتمع مدرن در تلآویو واقع است که تا فرودگاه بین المللی "بِن گورین" این شهر تنها پانزده دقیقه فاصله دارد.
"سام اَنجِل"، رئیس شعبه سیمانتک اسرائیل، مسئولیت راهنمایی و انتقال بازدیدکنندگان به سالن کنفرانس که در طبقه چهارم این ساختمان قرار دارد، برعهده داشت. وی در آغاز معرفی برنامه هایش گفت: «استاکسنت، پیچیده ترین حملهای است که ما تاکنون شاهدش بوده ایم.»
وی با بیان اینکه این نوع حمله، حمله ای غیرمعمول است به نقشه ای که بر روی دیوار قرار داشت، اشاره و خاطر نشان کرد: «در حال حاضر کشورهایی که تحت تاثیر این حمله قرار گرفته اند، ایران، اندونزی، مالزی و بلاروس هستند.»
انجل آنگاه "سرگی یولاسِن" را که در مرکز تحقیق و توسعه امنیت رایانه ای "ویروس بلوک آدا"ی شهر مینسک، پایتخت بلاروس مشغول است، پدیدآورنده و عامل فعالسازی بدافزار استاکس نت معرفی و به نقل از وی تصریح کرد: «در هفدهم ژوئن سال 2010 یک نامه الکترونیک نسبتا معمولی از یک شرکت ایرانی دریافت کردم که از خاموش و سپس روشن شدن خود به خودی و عجیب رایانه های خود شکایت داشت. یولاسن و یک همکار دیگر وی، یک هفته تمام بر روی کامپیوترهای این شرکت کار کردند و آنها را مورد بررسی قرار دادند.»
خروجی این بازبینی ها کشف ویروس استاکس نت در آنها بود. شرکت ویروس بلوک آدای بلاروس این مسئله را به شرکتهای دیگر مرتبط با صنعت امنیت شبکه از جمله سیمانتک اعلام کرد. زمانی که مهندسان سیمانتک این مشکل را مورد بررسی قرار دادند به دو رایانه ای برخوردند که به طور مستقیم تحت تاثیر این حمله قرار گرفته بودند. یکی از سرورها در مالزی و دیگری در دانمارک بود و با دو نشانی www.todaysfutbol.co و www.mypremierfutbol.com قابل دستیابی بودند.
این دو پایگاه اینترنتی با نامی اشتباه، از طریق یک کارت اعتباری جعلی و به واسطه یکی از بزرگترین شرکتهای ثبت (دامنه) اینترنتی آمریکا در ایالت آریزونای این کشور ثبت شده بودند. شرکت سیمانتک برای رصد فعالیتهای این ویروس، ارتباط ورودی و خروجی این دو سرور را به مرکز رایانه اش در شهر دوبلین (پایتخت ایرلند) تغییر داد.
درست است که در آن زمان، افرادی که استاکس نت را هدایت می کردند پس از فعالسازی، متواری و ناپیدا شدند اما دستکم شرکت سیمانتک توانست ردپایی که عاملان این ویروس از خود به جا گذاشته بودند، دنبال کند. به بیانی گویاتر این تغییر ارتباط، تصویری کلی از وضعیت کشورهایی را نشان داد که این ویروس در آنجا به فعالیت پرداخته بود. تحقیقات بیشتر در این زمینه نشان داد حدود 100 هزار رایانه در سراسر جهان به این ویروس آلوده شده اند که در این میان به ترتیب رایانه های آلوده شده به استاکسنت در ایران، بیش از 60 هزار، اندونزی بیش از 10 هزار و هند بیش از 5 هزار عدد را شامل شده اند.
سرمایه گذاران این بدافزار چنان برنامه ریزی کرده بودند که این ویروس در گام نخست با ارتباط با دو سرور دستور و کنترل، رایانه مرحله هفتم (غنی سازی) را آلوده کند. این برنامه ریزی صنعتی که از سوی گروه شرکتهای مهندسی زیمنس آلمان انجام شده است، وارد هفتمین مرحله فعالیت سانتریفوژهای تاسیسات اتمی نطنز ایران می شد.
مجموعه (اتمی) نزدیک (شهر) نطنز که در 250 کیلومتری جنوب تهران قرار دارد از یک سطح امنیتی نظامی برخوردار است. سانتریفوژهای آلومینیومی مستقر در این تاسیسات در مخفی گاههایی که یک متر و 80 سانت ارتفاع و 10 سانیتمتر ضخامت دارند، نگهداری می شوند. هدف از راه اندازی این مرکز، افزایش ایزوتوپهای شکافت پذیر از اورانیوم 235 است. در درون هر سانتریفوژ، پروانه یا آرمیچری قرار دارد که با سرعت 1000 بار در ثانیه می چرخد.
در این فرآیند با غنی سازی گاز "هگزا فلوراید اورانیوم"، اروانیوم 235 در مرکز (سانتریفوژ) جمع آوری و انباشته می شود. این فرآیند که با سامانه های زیمنس کنترل می شود به واسطه سیستم عامل ویندوز شرکت مایکروسافت به اجرا در می آید. ترفندی، حمله این ویروس را ممکن می کند که هر چند خلاقانه اما در عین حال ساده است.
در واقع استاکس نت با استفاده از یک حفره امنیتی در ویندوز، امکان نفوذ به این سیستم عامل را می یابد. به بیانی گویاتر در نتیجه اشتباه در برنامه ریزی است که به طور مثال ویروس پیش گفته از طریق یک درگاه (پورت) خروجی موسوم به یواسبی، خود را به سیستم معرفی می کند و سپس به آن وارد می شود.
به مجرد آنکه این پورت به رایانه ای از یک سیستم (شبکه ای) متصل شود، عملیات نصب (ویروس) به طور پنهانی آغاز می شود. البته استاکس نت در بدو ورود خود به یک سیستم، وجود و تشخیص برنامه های ضد ویروس را در دستور کارش قرار می دهد. به همین منظور در برنامه این ویروس، کُدی فریب دهنده طراحی شده که یکی از ویژگی هایش باقی نگذاشتن هیچ نام و نشانی از خود است.
اما در مرحله دوم، استاکس نت خود را در بخش سیستم عامل می نشاند. در این مرحله، آلودگی، زمانی متوقف می شود که حجم آن به ارزش 19790509 برسد. به اعتقاد کارشناسان شرکت سیمانتک، این، نوعی کد (برنامه نویسی رایانه ای) است. تاریخی که برای این کد در نظر گرفته شده است، نهم مه سال 1979 است که مصادف با روز اعدام "حبیب القانیان"، بازرگان یهودی ساکن تهران است.به راستی آیا منظور از درج این تاریخ، اشاره به زمان اعدام این فرد بوده است و آیا این اقدام، نوعی تحریک و فتنه انگیزی به شمار نمی رود؟ "اشتارک" با بیان اینکه هنوز مشخص نیست اسرائیلی ها چطور توانستند ویروس نامبرده را وارد تاسیسات اتمی نطنز کنند، ابراز داشت: «کارشناسان علوم رایانه در اصطلاحی تخصصی، شکافهای امنیتی ناشناخته در ویندوز سیستم عامل رایانه را "روز صفر" نامگذاری کرده اند. با این حال جستجو برای پی بردن به علل آسیب پذیری و شکنندگی (سیستم عامل ویندوز)، ترکیبی از چالشهای هکری و تبعیت از مدلهای تجاری را در ذهن تداعی می کند. از آنجا که این دانش، ماهیتی ارزشمند دارد بنابراین در بازار سیاه، موارد آسیب رسان ناشناخته و اعلام نشده رایانه ای همانند ویروس استاکس نت، ارزشی معادل 100 هزار دلار یا حتی بیشتر دارند.»
به اعتقاد سام اَنجل، مدیر شرکت سیمانتک، بدون شناخت کامل از سیستمهای رایانه های سیمانتک نمی توان کُدی مشابه استاکس نت نوشت. وی با بیان اینکه هیچ بازار سیاهی برای سوء استفاده از نرم افزارهای صنعتی زیمنس وجود ندارد، اظهار داشت: «علت آن است که از این نوع نرم افزارها به طور گسترده استفاده نمی شوند.»
با این حال سوالی که در اینجا جای طرح دارد آن است که سازمان موساد چطور توانسته است به اطلاعات مربوط به فناوری رایانه ای مورد استفاده در تاسیسات اتمی نطنز دسترسی یابد؟ یک گمانه زنی آشکار از کمک آمریکا به سازمان موساد اسرائیل حکایت دارد.
در ایالت "آیداهوی" آمریکا یک مرکز تحقیقات دولتی وجود دارد که دانشمندان و پژوهشگرانش در خصوص فناوری های کنترلگر زیمنس که در ایران نیز مورد استفاده قرار می گیرد، مشغول مطالعه و تحقیق هستند. به نظر می رسد تحقیقات پایه و بنیادین در این موسسه انجام شده و بعد از آن بوده است که ویروس استاکس نت در مرکز تحقیقات اسرائیل در نزدیکی سایتی در بیابان "نقب" اسرائیل مورد آزمایش قرار گرفته است.
به گفته منابع اسرائیلي و آشنا به پیشینه و سابقه حملات نظامی در اسرائیل، استاکس نت یک عملیات به اصطلاح آبی و سفید است که به رنگهای ملی این رژیم اشاره دارد. به بیانی گویاتر عملیاتی که به طور کامل و منحصرا اسرائیلی باشد، نام "عملیات آبی و سفید" را به خود می گیرد. این کارشناسان بر این باورند یک واحد سری از نخبگان در یک سازمان جاسوسی نظامی، بخشی از کد این ویروس را نوشته و سپس برای تکمیل، آن را به سازمان موساد اسرائیل تحویل داده اند. از اینرو می توان گفت سازمان موساد، مسئول نفوذ غیر قانونی و قاچاق ویروس استاکس نت به تاسیسات اتمی نطنز ایران است.
همین منابع کارشناسی در اسرائیل همچنین ادعا می کنند موساد در تلاشی ناموفق به دنبال خرید یک آبشار سانتریفوژ در بازار سیاه بوده است. اما آنچه مهم است آن است که یک سازنده اسرائیلی در نهایت با کمک آژانسهای جاسوسی خارجی از قرار معلوم توانسته مدلی از (آبشارهای نصب شده در) نطنز را که استاکس نت در آنجا آزمایش شد، بسازد.
هولگر اشتارک با یادآوری اینکه این عملیاتِ صرفا اسرائیلی در تابستان سال 2009 میلادی شروع شد، ابراز داشت: «مهاجمان در ساعت چهار و سی و یک دقیقه بعد از ظهر 22 ژوئن آن سال بود که ویروس استاکس نت را آزاد کردند. هدف این حمله رایانه ای، پنج سازمان ایرانی بود که اصطلاحا در سه موج، طراحی و برنامه ریزی شده بود. بعد از به راه افتادن نخستین موج بود که دومین حمله در مارس سال 2010 رخ داد که البته با یک موج سنگین برضد ایران همراه بود.»
اشپیگل با اشاره به اینکه موج سوم این حمله نیز در آوریل 2010 اتفاق افتاد، نوشت: به گفته کارشناسان شرکت سیمانتک، این اهداف، به طور مستقیم مربوط به برنامه اتمی ایران نبودند. در واقع برخی از سازمانهای هدف این ویروس در زمره تحریمهای سازمان ملل قرار داشتند. تنها در پنج سازمان (ایرانی) از این دست، 12 هزار رایانه آسیب دیدند. استاکس نت طوری طراحی شده بود که به منظور جلوگیری از گسترش آلودگی و جلب نظرهای فوری، پس از آلودگی مرحله سوم، خود را از درگاه ورودی یواس بی حذف کند.
به بیانی بهتر هدف از به کاری گیری یک سلاح سایبری، خرابکاری اهداف آن در حالتی پایدار است تا چشمگیر و قابل نمایش بودن آن.
ترفند دیگری که در صورت ظاهر به این ویروس، مشروعیت می داد، پیچیده بودن طراحی آن بود. در این نوع طراحی از گواهینامه های دیجیتالی که از سوی شرکتهای آزمون کننده فعالیت یک سرور یا یک برنامه بر روی اینترنت صادر می شوند، استفاده شده بود. به همین علت پیامهای این ویروس چنین اعلام می کردند که مبتنی بر سوء نیت و بدخواهی به فعالیت نمی پردازند. در واقع چنانچه یک برنامه بتواند نشان دهد که از چنین گواهینامه هایی برخوردار است در آن صورت اجازه دسترسی به یک سیستم را نیز خواهد یافت. در حال حاضر شرکتهای تایوانی "ری اِل تِک سِمی کانداکتور" و "جی میکرون تکنولوژی" از جمله شرکتهایی هستند که چنین گواهینامه هایی را صادر می کنند.
در ژانویه سال 2010، نسخه ای از استاکس نت منتشر شد که با گواهینامه دیجیتال از شرکت ری ال تک امضاء شده بود. به دنبال آن، نسخه ای دیگر نیز در ژوئیه سال 2010 با گواهینامه جی میکرون به امضا و تایید این شرکت تایوانی رسید. اما مسئله آن بود که هر دوی این گواهینامه ها سرقتی بودند.
این نوع سرقت به تنهایی، نیازمند عملیاتی بود که یا باید از طریق یک دزدی فیزیکی در مقرها و شعب مرکزی این دو شرکت انجام می شد و یا نوعی حمله هکری تمهید می شد که در این صورت باید گفت برنامه نویسان بسیار اندکی در سراسر جهان هستند که توان انجام این دزدی دیجیتال را دارند. چون این گواهینامه ها علاوه بر ایمن بودن، رمزگذاری نیز می شوند.
نتایج تجزیه و تحلیلهای انجام شده از سوی آژانس جاسوسی و اطلاعات اروپا با طبقه بندی سری که به رویت هفته نامه آلمانی اشپیگل نیز رسید، نشان داد احتمالا برای توسعه ویروس استاکس نت، یک برنامه نویس، دستکم سه سال با یک هزینه چند ده میلیونی به کارگیری شده است. در همین حال شرکت سیمانتک نیز به سهم خود معتقد است فقط انجام آزمونها و تستهای لازم در تاسیسات شبیه سازی شده (اتمی) به پنج تا ده برنامه نویس به مدت شش ماه نیاز داشته اند.
به استناد تحلیلهای جاسوسی، اینکه بازیگران غیر دولتی را مخترعان و مبدعان استاکس نت بدانیم در عمل و از هر نظر منتفی است. حتی اعضای شورای امنیت فدرال آلمان که کمیسیونی دولتی برای بررسی مسائل دفاعی است و جلسات آن نیز به طور محرمانه در آلمان برگزار می شود در نشست بیست و پنجم نوامبر سال 2010 خود در برلین همین استنباط و برداشت را نمایندگی کردند.
به گفته "توماس دِمیتسیره"، وزیر کشور سابق آلمان که اکنون وزیر دفاع این کشور است، استاکس نت نشان داد اگر مهاجمان (رایانه ای) قدرتمند مشغول به کار شوند، چه اتفاقی خواهد افتاد. وی خاطر نشان کرد: «کسی که این همه پول و منابع را برای رسیدن به هدفش به کارگیری می کند، خوب می داند که کارش شدنی است.»
در خاتمه نشست شورای امنیت فدرال آلمان بود که مقرر شد یک مرکز ملی دفاع سایبری در آلمان تاسیس شود. به استناد یک سند کابینه دولت آلمان؛ تجربه ای که از ویروس استاکس نت به دست آمد به خوبی نشان داد حوزه های کلیدی و حساس در بخش زیرساختهای صنعتی در برابر حملات هدفمند مربوط به فناوری اطلاعات، مصون و ایمن نیستند. ویروس استاکس نت، نگاه جهان را به حملات دیجیتال به طور اساسی و بنیادین تغییر داد. دولت آمریکا به تازگی، دکترین جدیدی را در خصوص جنگ سایبری تعریف کرده است که یک حمله سایبری را به عنوان یک جنگ متعارف قلمداد می کند. "روبرتا استمپفلای" از اداره امنیت داخلی آمریکا هفته گذشته در خصوص کد استاکس نت که اکنون برای همگان، هویدا و در دسترس شده است، هشدار داد: «این امکان وجود دارد که برخی برنامه نویسان و هکرهای مقلد و دنباله رو بتوانند از این ویروس (برای خرابکاری های بعدی اشان) الهام گیرند.»
البته در سال گذشته نیز دولت انگلستان برای اجرای یک راهبرد جدید امنیتی، بودجه ای بالغ بر 650 میلیون پوند که برابر با 665 میلیون یورو است به تصویب رساند.
"دان مِریدور"، معاون نخست وزیر اسرائیل در فوریه گذشته در این باره گفت: «جنگ سایبری، امروز از مناقشه میان ملتها مهمتر شده است. در واقع این نزاع، میدان نبرد جدیدی است که ابزار مبارزه در آن به جای تفنگ و اسلحه، چیز دیگری است.»
سازمان موساد، فعالسازی ویروس استاکس نت را موفقیت بزرگی برای خود می پندارد و حتی آن را با رمزگشایی ماشین رمز آلمانها که لهستانی ها و انگلیسی ها در جنگ جهانی دوم انجام دادند، مقایسه می کند.
البته ارتش اسرائیل چندان از این موفقیت، راضی و خشنود نیست. چون این طور برای خود استدلال می کند که توسعه این بدافزار بهرغم کندی و تعللی که مسیر (هسته ای شدن) ایران ایجاد کرد اما هزینه زیادی برای اسرائیل درپی داشت. با این حال این کندی، وقفه ای دردآور (برای ایرانیها) به شمار رفت.
مشاهده می کنیم که مِئیر داگان، رئیس سابق سازمان موساد اسرائیل در هدف خود که ایجاد خرابکاری در برنامه اتمی ایران آن هم بدون به راه افتادن جنگی جدید در منطقه خاورمیانه بود، موفق شد[!] با این حال ایران هنوز هشت هزار دستگاه سانتریفوژ دیگر در اختیار دارد و حتی سانتریفوژهای پیشرفته نسل دوم آی.آر.توی ایران که با پروانه های فیبرکربنی مجهز شده اند به راحتی توان چرخش 1400 بار در ثانیه را دارا هستند. این سانتریفوژها تحت تاثیر نسخه موجود نرم افزار خرابکار (استاکس نت) قرار می گیرند.
به همین علت احتمالا سازمان موساد اسرائیل به زودی باید به دنبال توسعه ویروس جدیدی (برای سانتریفوژهای نسل جدید ایرانی) باشد. استفاده از یک ویروس جدید دیگر به معنای شکل گیری دور جدیدی از یک جنگ سایبری سری خواهد بود به نقل از دو جوان اسرائیلی که به طور غیرمستقیم برای دولت این رژیم کار می کنند. حمله دیجیتال و نه حمله دفاعی، شیوه آنهاست.
این دو که با سازمان موساد و "شین بِت"، سازمان جاسوسی داخلی اسرائیل، ارتباطات کاری و تجاری دارند بخشی از کارشناسان جهانی هک های رایانه ای محسوب می شوند. بر پایه شایعاتی که در دو شهر بیت المقدس و تل آویو بر سر زبانها افتاده است، این دو جوان برخی زیربناها و پایه های توسعه بدافزار استاکس نت را در سازمان موساد انجام داده اند.
منبع:
ایران هسته ای