نبض لبنان

كيف هوجمت المنشأة النووية الإيرانية في "نطنز" المعزولة من الإنترنت؟

نعيش اليوم في عالمٍ يُمكن فيه لبضعة أجزاء من الأوامر البرمجية أن تُدمر الآلات، وتُعطل البنية التحتية الأساسية المادية الحيوية، وتفتعل حرباً أو توقفها. ويعود جميع هذا إلى برنامج ستوكسنت (StuxNet)، وهو أكثر البرامج الخبيثة تطوراً في العالم الذي أضاف بعداً رابعاً للحرب، ألا وهو بُعد الحروب السيبرانية، وذلك وفق ما نشره موقع "ميديوم" في مقال للكاتب شايان أنوار.

يتحدث المقال عن "الديناميات" النووية لإيران والغرب. وقد قضى عشرات الخبراء في مجال أمن الحاسوب من جميع أنحاء العالم عدة أشهر في تفكيك ما قد يصبح في نهاية المطاف أحد أكثر الفيروسات تطوراً من بين جميع الفيروسات التي تم اكتشافها على الإطلاق – وهو برنامج فريد من نوعه، لدرجة أنه قد يُدون في سجلات التاريخ باعتباره أول سلاح رقمي في العالم، وأول إشارة تحذير تُعلن عن عصر الحروب الرقمية.

كيف بدأ كل ذلك؟

تعود اهتمامات إيران بالتكنولوجيا النووية إلى الخمسينات الميلادية عندما تلقى شاه إيران مساعدات تقنية من البرنامج الأميركي لتسخير الذرة من أجل السلام، إذ زودت الولايات المتحدة مركز طهران للأبحاث النووية (Tehran Nuclear Research Center) بمفاعل أبحاث صغير تبلغ قدرته 5 ميغاوات يعمل باليورانيوم العالي التخصيب في عام 1967.

غير أن هذه المساعدات انتهت بقيام الثورة الإيرانية في عام 1979 التي أطاحت بالشاه. وعلى إثر ذلك، بدأت الولايات المتحدة بحرمان طهران من التقنية النووية، كما أنها بدأت كذلك بإقناع الدول الأخرى بعدم تزويد إيران بأي مساعدات نووية.

من الذي ساعد إيران بالتكنولوجيا النووية؟

في الرابع من شهر فبراير من عام 2004، اعترف العالم الباكستاني عبد القدير خان – الذي اشتهر آنذاك بدوره في تطوير ترسانة باكستان النووية – على شاشات التلفاز المباشر بأنه قدم تكنولوجيا الأسلحة النووية إلى إيران بطريقة غير قانونية.

ووفقاً لخبراء انتشار الأسلحة النووية، فإن الدكتور خان بدأ في منتصف الثمانينات الميلادية بطلب ضعف عدد القطع التي يحتاجها البرنامج النووي الباكستاني، وبعد ذلك قام ببيع القطع الفائضة إلى دولٍ أخرى، أبرزها إيران.

وفي وقتٍ لاحق، جلبت شبكة الدكتور خان عميلاً آخر، ألا وهو كوريا الشمالية التي هي متعطشة لطريقة أكثر سرية لصنع أسلحة نووية بعد قيام الولايات المتحدة بتجميد المنشآت الضخمة لإنتاج البلوتونيوم في كوريا الشمالية يونغبيون.

وفي النهاية انتقل الدكتور خان إلى ليبيا – التي كانت بمثابة نقطة دماره المطلق – حيث باع معدات متكاملة، بدايةً من أجهزة الطرد المركزي لتخصيب اليورانيوم، ووصولاً إلى تصاميم أسلحة أولية. وقد عثر المحققون على مخططات أسلحة مطوية داخل أكياس تحمل شعار محل مغاسل في إسلام آباد.

وفي الثمانينات الميلادية، كان الإيرانيون في مرحلة البحث والتطوير ببرنامجهم لتطوير التكنولوجيا النووية ولم يكن لديهم الكثير من الموارد. ولم تبدأ خططهم في تحقيق تقدمٍ إلا في منتصف التسعينات الميلادية عندما عاونت روسيا وفرنسا إيران رسمياً بالمساعدات النووية.

وقد ظلت إيران مهتمة بالتكنولوجيا النووية وطورت دورة مكثفة من الوقود النووي، بما في ذلك قدرات متطورة للتخصيب، التي أصبحت مستهدفة بمفاوضات وعقوبات دولية شديدة بين عامي 2002 و2015.

لماذا طُور برنامج StuxNet؟

وفقاً لما كشفته جماعة إيرانية منفية في عام 2002، فقد كان يشتبه في امتلاك إيران لمنشآت نووية. وبعد عمليات التفتيش التي أجرتها الوكالة الدولية للطاقة الذرية وإفصاحات لاحقة أخرى، استمرت إيران في المضي قدماً في التطورات النووية رغم المعارضة الدولية.

وبين عامي 2003-2005، وافقت إيران على شروط الولايات المتحدة وحدّت من برنامجها النووي، خوفاً من غزو أميركي. ولكنَّ في ظل خوض الولايات المتحدة صراعاً بالعراق وأفغانستان، لم يكن بمقدور واشنطن إرسال قوات عسكرية برية إلى إيران لغزوها، وهو ما دفع إيران إلى استئناف برنامجها النووي سراً.

وأرادت الولايات المتحدة تعطيل هذا التطور دون نشر جنود على الأراضي الإيرانية، وهذا هو ما فعله برنامج ستوكسنت (StuxNet) تماماً!

وقد أجمع الكثيرون اليوم على أن وكالات الاستخبارات الأميركية والإسرائيلية هي من طورت برنامج ستوكسنت. وسُميت العملية السرية لتطوير الفيروس المتنقل باسم "عملية الألعاب الأولمبية" (Operation Olympic Games)؛ وقد شرعت العملية في أعمالها تحت إدارة الرئيس جورج دبليو بوش واستمرت كذلك تحت إدارة الرئيس باراك أوباما.

خبراء في منشأة بوشهر النووية

وكانت الحكومتان الأميركية والإسرائيلية تهدفان إلى استخدام برنامج ستوكسنت كأداة لتعطيل – أو على الأقل تأخير – البرنامج الإيراني لتطوير الأسلحة النووية. كما أن إدارتي بوش وأوباما اعتقدتا بأن إسرائيل ستشن ضربات جوية ضد المنشآت النووية الإيرانية إذا كانت طهران قريبة من تطوير قنابل ذرية، وهو الأمر الذي من شأنه أن يتسبب باندلاع حربٍ إقليمية. لذا اُعتبرت عملية الألعاب الأولمبية خياراً بديلاً غير عنيف. ورغم أنه لم يكن واضحاً ما إذا كان يُمكن تنفيذ هجمات سيبرانية من هذا النوع على البنية التحتية الأساسية، إلا أنه عُقِدَ اجتماع مثير في غرفة العمليات بالبيت الأبيض في أواخر فترة رئاسة بوش، وعُرِضَ على طاولة الاجتماع أجزاء مدمرة من جهاز طرد مركزي. وفي تلك المرحلة، أعطت الولايات المتحدة أمراً بإطلاق البرنامج الضار.

برنامج ستوكسنت: عملية الألعاب الأولمبية

يُعد برنامج ستوكسنت فيروساً حاسوبياً متنقلاً متطوراً للغاية يستغل العديد من الثغرات الأمنية غير المعروفة في نظام تشغيل ويندوز لإصابة الحواسيب والانتشار. ولم ينحصر الغرض منه على إصابة أجهزة الحاسوب الشخصية فحسب، بل أيضاً التسبب في تأثيرات مادية على أرض الواقع. على وجه التحديد، يستهدف برنامج "أجهزة الطرد المركزي" المستخدمة في إنتاج اليورانيوم المخصب الذي يشغل الأسلحة النووية والمفاعلات.

وكُشِفَ أمر برنامج ستوكسنت للمرة الأولى في عام 2010، غير أنه يُرجح أن عملية تطويره بدأت في عام 2005. كما أن البرنامج كان عبارة عن فيروس متنقل متعدد الأجزاء ينقل من خلال وحدات التخزين المتنقلة (USB) وينتشر عبر الحواسيب التي تعمل بنظام تشغيل ويندوز. ويبحث الفيروس في الحاسوب المصاب عن مؤشرات لبرنامج (Siemens Step 7)، وهو البرنامج الذي تستخدمه أجهزة الحاسوب الصناعية التي تلعب دور أجهزة التحكم المنطقي القابلة للبرمجة (PLCs) بغية أتمتة ومتابعة المعدات الكهروميكانيكية. وبعد عثوره على حاسوب يلعب دور جهاز تحكم منطقي قابل للبرمجة، يقوم هجوم البرمجيات الخبيثة بتعديل أوامر البرمجة الخاصة به وإرسال تعليمات ينجم عنها أضرار للمعدات الكهروميكانيكية التي يتحكم بها الحاسوب. كما لن يظهر أي مؤشر أو دليل للشخص الذي يتابع عمل المعدات بأن هناك مشكلة حتى تبدأ المعدات بتدمير نفسها بنفسها.

ورغم قدرته الفريدة على الانتشار ومعدل الإصابة على نطاق واسع، إلا أن برنامج ستوكسنت يُلحق ضرراً ضئيلاً أو معدوماً لأجهزة الحاسوب غير المستخدمة في تخصيب اليورانيوم. وفي حالة إيران، غيّر الفيروس المتنقل برمجة أجهزة التحكم المنطقي القابلة للبرمجة، ما أسفر عن دوران أجهزة الطرد المركزي بسرعة كبيرة جداً ولفترة طويلة، مفسدةً أو مدمرةً المعدات الحساسة في العملية.

إذ الكود الأغراض التي تمت برمجته لتأديتها تماماً:
  1. سَجل بيانات أجهزة الطرد المركزي ونشاطاتها لمدة 13 يوماً. إذ إن أجهزة الطرد المركزي النووية يُعاد تعبئتها بعد 13 يوماً. ولم يكن [الأميركيون والإسرائيليون] يريدون تفجير جهاز الطرد المركزي وهو لا يحتوي على أي يورانيوم. لذلك، قام الكود بتسجيل "السلوك الطبيعي" لجهاز الطرد المركزي خلال الـ 13 يوماً الأولى.
  2. بعد 13 يوماً، نفّذ الكود الجزء الأساسي من مهمته وهو التعرف على أجهزة التحكم المنطقي القابلة للبرمجة الصحيحة، وتعديل الكود لزيادة سرعة دوران الطرد المركزي لتتجاوز المستوى الطبيعي، ما قد يجعل أجهزة الطرد المركزي تهتز حرفياً، مؤديةً إلى ارتفاع درجة الحرارة وتعطل المعدات.
  3. بالإضافة إلى ذلك، تمت برمجة الكود لإرسال بيانات السلوك الطبيعي التي سجلها خلال 13 يوماً إلى النظام الذي يقوم بمراقبة المصنع.

لقد كان الإيرانيون مُحطمين بشدة بسبب قيام محطة الطاقة النووية بإحداث ضوضاء مثل صوت الطائرات النفاثة وعدم إظهار نظام المراقبة لأي شذوذ. وقد تم طرد العديد من العلماء الإيرانيين، إذ اعتبرت هذه المشاكل أخطاءً أو عجزاً منهم.

وفي التحليل التفصيلي للكود، تم العثور على أرقام الُنسخ. وفي وقت اكتشافها، كانت أرقام النسخ في مرحلة الاكتمال، وهذا هو الأمر الذي زاد من شدة مشاعر التحطم لدى الإيرانيين لأنهم اكتشفوا أنهم كانوا موضع هجوم لفترةٍ طويلة.

وعندما تم تحليل النسخ السابقة، وُجد بأنها أقل عدوانية، وأنها تتطلب تدخلاً يدوياً أو بالأحرى أخطاء حتى تنتشر.

ومع ذلك، كان الإصدار الأخير عدوانياً للغاية، حيث كان يهدف كلياً إلى تدمير/ تفجير أجهزة الطرد المركزي، كما كان ذكياً بشكل مروع، إذ انتشر فقط في الأماكن المقصودة.

كيف تم اكتشاف برنامج ستوكسنت؟

لم يكن من المفترض بتاتًا أن ينتشر برنامج ستوكسنت خارج المنشأة النووية الإيرانية في نطنز. إذ كانت المنشأة معزولة تماماً ولم تكن متصلة بالإنترنت. وهذا يعني أنها قد أُصيبت عن طريق وحدات التخزين المتنقلة (USB) والتي نُقلت إلى دخال المنشأة من خلال عملاء المخابرات أو عن طريق إجبار أشخاص سُذج، ولكنَّ ذلك يعني أيضاً أنه كان من السهل احتواء الإصابة. ومع ذلك، فقد انتهى الأمر بالبرنامج الخبيث على أجهزة الحاسوب المتصلة بالإنترنت وبدأ في الانتشار بسبب طبيعته المتطورة والعدوانية للغاية، إلا أنه – كما ذُكِرَ – ألحق أضراراً بسيطة بأجهزة الحاسوب الخارجية التي أُصيبت به. واعتقد الكثيرون في الولايات المتحدة أن الانتشار كان نتيجة لتعديلاتٍ في الكود قام بها الإسرائيليون.

وكانت وكالة الأمن القومي الأميركية دائماً خفية وبعيدة عن الأنظار. ولكن بما أنهم كانوا يعملون مع وحدة 8200 الإسرائيلية، استمر الإسرائيليون في ممارسة الضغط عليهم، وكان هناك ضغط مستمر، إذ أراد الإسرائيليون التصرف بعدوانية. وقد حصلوا على الكود وعدّلوه ومن ثم أطلقوه دون علم الولايات المتحدة.

وفي يناير 2010، عندما بدأ المسؤولون في الوكالة الدولية للطاقة الذرية، وهي هيئة تابعة للأمم المتحدة مُكلفة بمراقبة برنامج إيران النووي، بملاحظة حدوث شيء غير اعتيادي في محطة تخصيب اليورانيوم الواقعة خارج نطنز في وسط إيران. وفي داخل قاعة أجهز الطرد المركزي الكبيرة بالمنشأة والتي دُفنت مثل مخبأ على عمق أكثر من خمسين قدماً تحت سطح الصحراء، كانت الآلاف من أجهزة الطرد المركزي اللامعة بسبب صنعها من الألمنيوم تدور بسرعة تفوق سرعة الصوت لتخصيب غاز سداسي فلوريد اليورانيوم كما كان هو الحال منذ ما يقرب من عامين. ولكن في الآونة الأخيرة، كان العمال في المحطة يقومون بإزالة دفعات من أجهزة الطرد المركزي واستبدالها بأجهزة جديدة، وكانوا يفعلون ذلك بمعدل مذهل.

وفي الجانب الآخر من العالم، كان سيرغي أولاسن يجلس في مكتبه في بيلاروسيا متفحصاً البريد الإلكتروني عندما لفت نظره تقرير ذُكر فيه أنه تم العثور على جهاز حاسوب خاص بأحد العملاء في إيران عالق على إعادة التشغيل – قام الجهاز بإيقاف التشغيل وإعادة التشغيل بشكل متكرر على الرغم من الجهود التي بذلها المشغلون للسيطرة عليه، حيث يبدو أن الجهاز مصاب بفيروس.

وعثر فريق البحث الخاص بأولاسن على الفيروس الذي أصاب جهاز الحاسوب الخاص بعميلهم وأدركوا أنه كان يستغل "ثغرات أمنية غير معروفة" (Zero-day) للانتشار. وتُعد الثغرات الأمنية غير معروفة أكثر أسلحة القرصنة فعالية في العالم: فهي تستغل الثغرات الأمنية في البرامج التي لا تزال غير معروفة لمطور البرامج أو بائعي برامج مكافحة الفيروسات. كما أنها نادرة للغاية، وتحتاج إلى مهارة كبيرة ومثابرة للعثور على هذه الثغرات واستغلالها. ومن بين أكثر من 12 مليون برنامج خبيث يكتشفه الباحثون في مجال مكافحة الفيروسات كل عام، فإن أقل من 12 برنامجاً يستغل ثغرات أمنية غير معروفة.

كيف يتم استغلال نقاط الضعف؟

تسمح هذه الثغرات للفيروس بالانتشار بذكاء من حاسوب إلى آخر عبر (USB) مُصاب. وكانت الثغرة الأمنية في ملف (LNK) لبرنامج ويندوز إكسبلورر (Windows Explorer)، وهو مكون أساسي في مايكروسوفت ويندوز. وعندما يتم إدخال (USB) مُصاب في جهاز الحاسوب، يقوم برنامج إكسبلورر تلقائياً بفحص محتويات الوحدة، حينها يُفعل كود الاستغلال ويضع ملفاً كبيراً ومشفّراً جزئياً على الحاسوب خلسةً، مثل إسقاط طائرة نقل عسكرية لجنود مُموهين في المنطقة المستهدفة.

لقد كان استغلالاً مبتكراً بدا واضحاً عند استعادة الأحداث الماضية، لأنه هاجم مثل هذا الملف الموجود في كل جهاز. كما كانت أيضاً طريقة – سيذهل الباحثون قريباً بمعرفة ذلك – قد تم استخدامها من قبل.

ولقد اتصل فريق البحث التابع لـ أولاسن بشركة ميكروسوفت للإبلاغ عن الثغرة الأمنية. وبينما كان عملاق البرامج يُعِد تصحيحاً في 12 يوليو، أعلنت شركة فايروس بلوك ادا [VirusBlokAda] عن اكتشافها في مقال أُرسِل إلى منتدى أمن المعلومات. وبعد ثلاثة أيام، نشر برايان كريببس، وهو مدون في منتدى أمن المعلومات، القصة. حيث سعت شركات مكافحة الفيروسات في جميع أنحاء العالم للحصول على عينات من البرمجيات الخبيثة – التي أطلق عليها مايكروسوفت اسم Stuxnet وذلك بجمع اختصار أسماء الملفين التاليين (stub. و MrxNet.sys) الموجودين في الكود.

يذكر أن أحد ملفات برنامج تشغيل الفيروس استخدم شهادة موقعة صالحة سُرقت من شركة ريل-تك [RealTek Semiconductor]، وهي شركة لتصنيع الأجهزة في تايوان، وذلك لخداع الأنظمة وإيهامها بأن البرنامج الخبيث هو برنامج موثوق به من RealTek.

شاهد أيضاً.. ماذا تعرف عن الأمن السيبراني؟

ولقد ألغت سلطات الإنترنت الشهادة بسرعة. ولكن تم العثور على مشغل ستوكسنت آخر يستخدم شهادة ثانية سُرقت من شركة "جيه ميكرون تكنولوجي " [JMicron Technology]، وهي شركة لتصنيع الدوائر الكهربائية في تايوان والتي يقع مقرها الرئيسي – من قبيل الصدفة أم بشكل متعمد – في نفس مجمع الأعمال الذي تتواجد فيه RealTek . هل اقتحم المهاجمون الشركات فعلياً لسرقة الشهادات؟ أم هل قاموا باختراقها عن بُعد لسرقة مفاتيح توقيع الشهادات الرقمية للشركة؟ لا أحد يعلم.

وفي التحقيقات الإضافية، وجدوا أن "الدودة البرمجية" خلفت وراءها سجلاً بجميع الشبكات التي مرت بها والأجهزة التي أصابتها. لقد وجدوا "كنزًا"، ولكن المواقع الجغرافية للأجهزة المصابة كانت مثيرة للقلق.

لقد انتشرت في جميع أنحاء العالم، ولكن من المثير للاهتمام أنه عندما تم تتبعها إلى نقطة البداية، وجدوا أن أول الأجهزة المصابة موجودة في إيران حول المحطة النووية!

وحتى عام 2012، لم تعترف الولايات المتحدة بتورطها. ولكن بفضل إدوارد سنودن، المخبر الذي كان يعمل في وكالة الأمن القومي الذي أكد أن فيروس ستوكسنت المستخدم لمهاجمة المنشآت النووية الإيرانية قد تم إعداده كجزءٍ من عملية مشتركة بين الإسرائيليين ومديرية الشؤون الخارجية في وكالة الأمن القومي.

التداعيات

وقد أبطأت الحرب السيبرانية تطوير برنامج إيران النووي الذي توسع لاحقاً في عام 2012 وما بعده. كما دفع ذلك إيران إلى امتلاك جيش سيبراني خاص بها.

ويقول المقال إن القراصنة الإيرانيين شنوا في عام 2012 هجوماً على شركة النفط أرامكو السعودية، حيث أطلقوا فيروساً محا البيانات من على 30 ألف جهاز كمبيوتر (الذي تم إصلاحه وتقول أرامكو انه لم يؤثر كثيراً على عملياتها).

وفي عام 2016، اتهمت الولايات المتحدة القراصنة الإيرانيين بشن سلسلة من الهجمات السيبرانية على البنوك الأميركية وسد صغير بالقرب من مدينة نيويورك.

تصاعدت التوترات بين أميركا وإيران منذ انسحاب الولايات المتحدة من الاتفاق النووي الموقع 2015 مع طهران العام الماضي وبدأها لسياسة "الضغط القصوى".

ماذا بعد؟

وتعتبر الطريقة التي يمكن بها لفيروس ستوكسنت تفجير محطة نووية بالكامل أمر يشكل تهديداً خطيراً على أغلب البنية التحتية الحيوية التي تحيط بها.

وبالتفكير في أن وحدات التحكم الإلكترونية تدير البنية التحتية بأكملها وتراقبها، فإن ظهور الحرب السيبرانية يشكل تهديداً بالغاً وبالتالي يهدد حياتنا. فمن الممكن أن تتعرض خطوط أنابيب النفط، وشبكة الكهرباء، ومحطات إمداد المياه، وإشارات المرور، والصناعات وغيرها الكثير للهجوم، كما أن العواقب مهولة تماماً.

وبمجرد إطلاقه، سيكون من الصعب السيطرة على الأسلحة الرقمية. إضافة إلى ذلك، عندما يتم تفجير أسلحة تقليدية مثل القنابل، لا يمكن التقاط القطع وتجميعها وتحويلها ضد المهاجم، بينما يمكن إعادة تصميم الأسلحة الرقمية وإعادتها لتنفيذ نفس الهجوم ضد المُرسل.

علاوة على ذلك، شرعن فيروس "ستوكسنت" استخدام الأسلحة الرقمية لحل النزاعات السياسية. إذ لم يعد يتوجب على القادة الذهاب إلى الأمم المتحدة لحل نزاعاتهم إذا كان بإمكانهم إطلاق هجوم رقمي لا يمكن معرفة مصدره.

وقال زيتر، وهو خبير في أمن المعلومات: "في حين لا يمكن للمراهق بناء سلاح نووي في فناء منزله الخلفي، إلا أنه بإمكانه صنع سلاح رقمي قادر على الإطاحة بالبنية التحتية الحيوية".

الجدير بالذكر أن أجهزة الكمبيوتر تدعم أغلب الأنظمة التي نستخدمها بطريقةٍ ما، ما يعني إلى حد كبير أن كل جانب من جوانب حياتنا يمكن أن يكون عرضة للحرب السيبرانية في مرحلة ما، كما يحذر بعض الخبراء من أن حدوث ذلك هو مسألة وقت وليس احتمالية.

يشار إلى أن هناك خطراً واضحاً بأننا في المراحل الأولى من سباق التسلح للحرب السيبرانية: بما أن البلدان تدرك أن وجود استراتيجية للحرب السيبرانية أمر ضروري، فإنها ستزيد الإنفاق وتبدأ في تخزين الأسلحة، مثل أي سباق تسلح آخر. وهذا يعني أنه قد يكون هناك المزيد من الدول التي تخزن هجمات دون انتظار.

و"الهجوم دون انتظار" هو استغلال نقاط الضعف في برمجيات وثغراتها الأمنية غير المعروفة للعامة أو حتى مطوريها في شن هجمات إلكترونية. وغالباً ما يتم استغلال هذه الثغرات وحتى يتشاركها القراصنة قبل أن تكتشفها الجهات المطورة للبرمجيات المصابة)، ما يعني أن المزيد من الثغرات في البرامج لا يتم تصحيحها، وهذا يجعلنا جميعاً أقل أماناً.

كما أن إحدى أكبر المشاكل تتمثل في أن هذه البرامج عادة ما يتم تطويرها بشكل سري وتخضع للقليل من المراقبة والمساءلة وقواعد مشاركة غامضة. وبالتالي، مع ظهور الحرب الرقمية، من المهم اتخاذ التدابير اللازمة لتأمين بنيتنا الأساسية، واعتبار الأمن السيبراني ضرورة.