"אל תיראי תולעת יעקב"(ישעיהו מ"א, י"ד)

מסתורין סביב טיל קיברנטי שגרם לנכות בשאיפות הנשק הגרעיני של איראן.

נכתב על ידי אד ברנס. פורסם ב-26 נובמבר 2010  ב-פוקס ניוז.

מאמר טיפה ארוך, אבל שווה קריאה!

במאה העשרים זו היתה בודאות משימה עבור ג'יימס בונד.

המשימה: לחדור למפקדת האויב, המתקדמת ביותר ובעלת האבטחה הכבדה, במקום בו מדענים לפותים בידיו של אדון מרושע, בונים בסודיות נשק המסוגל להשמיד את העולם. להפוך את הנשק הזה לבלתי מזיק ולהסתלק בלי להתגלות.

אבל במאה העשרים ואחת, לא משגרים את בונד, המשימה נמסרת לידיה של תולעת מחשב עדינה ומאד מתוחכמת, עוגיה של תוכנת מחשב הנקראת סטקסנט (stuxnet), אשר בשנה האחרונה לא רק חיבלה בתוכנית הגעין האיראנית אלא אף גרמה חשיבה מחודשת עצומה של נושא אבטחת מחשבים בכל העולם.

סוכנויות מודיעין, חברות לאבטחת מחשבים ותעשיות גרעיניות ניסו לבחון את התולעת, מאז שהתגלתה ביוני על ידי חברה מבלרוס, שהיו לה עסקים עם איראן. ומה שהם גילו, לפי שון מק-גורק, המנהל בפועל של המחלקה להגנת המולדת, של בטחון הסייבר והתקשורת הלאומיים, הוא "שינוי כללי המשחק".

המבנה של התולעת הינו כה מתקדם, היה זה "כאילו הגיע מטוס חמקן F-35 אל שדה הקרב של מלחמת העולם הראשונה", אומר רלף לנגנר, מומחה המחשבים אשר היה הראשון שהשמיע את האזעקה בנוגע ל-סטקסנט. אחרים קראו לזה "וירוס המחשב החמוש" הראשון.

לומר בפשטות, סטקסנט מתקדם באופן שלא ייאמן, זו תולעת מחשב בלתי ניתנת לגילוי אשר נדרשו שנים כדי לבנותה, ותוכננה לקפוץ ממחשב למחשב עד למציאת המחשב תוכנת ההפעלה המוגנת הספציפית שאותה היא נועדה להשמיד: תוכנית העשרת הגרעין האיראנית.

המטרה נראתה לכאורה כבלתי חדירה, היא נמצאה כמה קומות מתחת לפני הקרקע, ולא היתה מחוברת לרשת הכלל עולמית WWW. המשמעות היתה שהיה על התולעת סטקסנט לפעול כסוג של טיל שיוט מחשבי: כאשר עשתה את דרכה דרך מחשבים בלתי מחוברים, היה עליה לגדול ולהסתגל לאמצעי אבטחה ולשינויים אחרים, עד שהגיעה לזה שיביא אותה אל תוך המתקן הגרעיני.

כאשר סוף סוף מצאה את מטרתה, היה עליה לעשות עליה מניפולציה בסודיות ולהביאה להתפשרות עד כדי הפסקת פעולתה הרגילה.

ולבסוף, אחרי שמשימה זו הושגה, היה על התולעת להשמיד את עצמה בלי להשאיר עקבות.

אנו למדים כי זה מה שקרה במתקני הגרעין האיראניים – הן בנתנז, שבו נמצאים מערכות הצנטריפוגות המעבדות אורניום לדלק גרעיני, ובמידה פחותה יותר, בבושהר, תחנת הכח הגרעינית של איראן.

בנתנז, במשך קרוב ל-17 חדשים, סטקסנט עשתה את דרכה בשקט אל תוך המערכת וחיפשה את מטרתה, רכיב מסויים - ממיר התדירות, שיוצר על ידי יצרנית הציוד הגרמנית סימנס, המווסת את מהירות הסיבוב של הצנטריפוגות, המשמשות לייצור הדלק הגרעיני. התולעת השתלטה על מהירות הסיבוב של הצנטריפוגות, וגרמה להן לפרוץ בבת-אחת בסיבובים מהירים ביותר, שרק גרמו להן נזק, אך לא השמידו אותן. התולעת הסוותה את השינוי הזה במהירות, ולא אפשרה לתופעה זו להתגלות על מסכי הבקרה.

בבושהר, בינתיים, מערכת תוכנה סודית שניה, אשר לנגנר מכנה "ראש קרבי דיגיטלי", כוונה אל עבר טורבינת הקיטור המסיבית של תחנת הכוח שנבנתה על ידי הרוסים.

להלן תיאור האופן בו פעלה התולעת, על פי המומחים שבחנו אותה:
המתקן הגרעיני באיראן פועל תחת מערכת אבטחה של "מרווח אויר", כלומר – אין לו חיבור לרשת, ובכך הוא מובטח בפני חדירות מבחוץ. סטקסנט תוכנן ונשלח אל תוך סביבת תחנת הכוח הגרעינית האיראנית בנתנז - כיצד זה נעשה, כנראה שלעולם לא נדע - כדי לזהם מספר מחשבים בהנחה כי מי מבין העובדים בתחנת הכוח אשר יקח אתו עבודה הביתה, על גבי כונן פלאש, יקלוט את התולעת ויביא אותה עמו בשובו אל תחנת הכוח.

ברגע שהתולעת היתה בתוך תחנת הכוח, הצעד הבא היה לגרום לכך שמערכת המחשב שם תתן בה אמון ותאפשר לה להיכנס לתוכה. דבר זה הושג על ידי כך שהתולעת הכילה "אישור דיגיטלי" שנגנב מ-ג'יי-מיקרון, חברה גדולה בפארק תעשייתי בטייוואן. (כאשר התולעת נתגלתה מאוחר יותר, היא במהירות המירה את ה"אישור הדיגיטלי" המקורי באישור אחר, שאף הוא נגנב מחברה אחרת – ריאלטק, שנמצאת אף היא במרחק כמה דלתות מן הקודמת, בפארק התעשייתי בטייוואן).

ברגע שהותרה חדירתה, התולעת הכילה ארבעה אלמנטים של "יום אפס", במטרתה הראשונה - מערכת ההפעלה "חלונות 7" - אשר פיקחה על התפעול הכללי של תחנת הכוח. אלמנט "יום אפס" הוא אלמנט נדיר בעל ערך פגיעוּת רב במערכות מחשב, שניתן לנצלו רק פעם אחת. שניים מגורמי הפגיעוּת היו ידועים, אבל השניים האחרים לא נתגלו מעולם. מומחים אומרים כי שום פורץ מחשבים (האקר) לא היה מבזבז אלמנטים של "יום אפס" בצורה כזאת.

אחרי שחדרה למערכת ההפעלה "חלונות 7", התוכנה התכווננה אל "ממירי התדירות" המריצים את הצנטריפוגות. כדי לעשות זאת היא השתמשה במפרטים של יצרן הממירים. אחד מהם היתה וקון, חברה פינית, אחרת היתה פרארו פאייה, חברה איראנית. מה שמפתיע את המומחים בשלב הזה היא העובדה שהחברה האיראנית היתה כל כך סודית שאפילו הסוכנות הבינלאומית לאנרגיה אטומית לא ידעה עליה.

 התולעת גם הכירה את מערכת הבקרה המסובכת, שהפעילה את הצנטריפוגות, שנבנתה על ידי סימנס, היצרן הגרמני, ובמפתיע גם ידעה כיצד מערכת זו עובדת וכיצד להסוות בפניה את פעילות התולעת.

בהסוותה את עצמה בפני מערכת האבטחה ומערכות אחרות של תחנת הכוח, התולעת ציוותה אז על הצנטריפוגות, להסתובב במהירות קיצונית, ואז להאיט בפתאומיות. פעולה זו גרמה נזק לממיר התדירות, לצנטריפוגות ולמיסבים, ואף פגמה באורניום שבתוך הצנורות. הדבר אף גרם למהנדסי הגרעין האיראניים לא להבין מה השתבש, כיוון שהבדיקות הממוחשבות לא נתנו חיווי על פעולה משובשת כלשהיא במערכת ההפעלה.

ההערכות הן כי פעילות זו נמשכה יותר משנה, בהותירה את התכנית האיראנית בתוהו ובוהו. ותוך כדי פעילותה, התולעת התפתחה ואימצה את עצמה לתוך קרבי המערכת. וכאשר חדרו תולעים חדשות למערכת, הן נפגשו עם התולעת הקיימת ותחכומן התעצם.

תוך כדי כך, התולעים דווחו לאחור אל שני שרתים שכנראה הופעלו על ידי סוכנויות המודיעין, אחד בדנמרק והשני במלזיה. השרתים עקבו אחרי התולעים וחדלו לפעול ברגע שהתולעים חדרו לנתנז. המאמצים שנעשו מאז כדי לאתר את השרתים האלה, עלו בתוהו. ענין זה נמשך עד יוני 2010, כאשר חברה בבלרוס, הקשורה עם תחנת הכוח האיראנית בבושאר, גילתה את התולעת באחת ממכונותיה. באופן מיידי היא הדביקה הודעה ברשת המפוקחת על ידי מומחי אבטחת מחשבים בכל העולם. באופן רגיל, מומחים אלה היו מתחילים מיד לחפש את מקור התולעת ולנתח אותה, במגמה למצוא רמזים שיעידו על מקורה ועוד פרטים נוספים.

אבל זה לא קרה, כיוון שתוך דקות כל אתרי האתראה הותקפו והיו בלתי פעילים למשך 24 שעות.

"נאלצתי להשתמש בדואר-אלקטרוני כדי לשלוח הודעות בעניין זה, אבל לא הצלחתי להשיג איש. מי שייצר את התולעת, קיבל כך יום שלם כדי לסלק את כל העקבות והרמזים אשר היו עלולים להוביל למקור התולעת", לפי אריק באייאר, מומחה אבטחת מחשבים, אשר בחן את סטקסנט "אין פורץ מחשבים (האקר) שיכול לעשות זאת".

מומחים, כולל מפקחים מטעם הסוכנות הבינלאומית לאנרגיה אטומית, אומרים כי למרות שאיראן טוענת ההיפך, התולעת הצליחה במשימתה: גרימת מבוכה בקרב מהנדסי הגרעין האיראניים והפסקת תכנית הגרעין שלהם.

בגלל הסודיות האופפת את תכנית הגרעין האיראנית, איש אינו יכול להיות בטוח בדבר היקף הנזק שנגרם. אבל מקורות בתוך איראן ובמקומות אחרים אומרים כי תכנית הצנטריפוגות האיראנית פעלה הרבה מתחת לקיבולת שלה וכי העשרת האורניום דרכה במקום בעת שהתולעת חדרה למתקן התת-קרקעי. רק 4,000 מתוך 9,000 צנטריפוגות אשר, כפי הידוע, נמצאות בידי איראן, הופעלו למעשה. יש החושדים כי הסיבה לכך היא הצורך הקריטי להחליף את הצנטריפוגות שנפגעו.

גם המספר המוגבל של הצנטריפוגות שהיו בשימוש התדלדל לבערך 3,700 יחידות, בגלל בעיות הכרוכות בהפעלתן. מפקחי הסוכנות הבינלאומית לאנרגיה אטומית אומרים כי החבלה מסבירה היטב את האיטיות של תכנית הגרעין, אשר הם ייחסו אותה לרמת הייצור הירודה של הציוד ולבעיות ניהול. בעת שהאיראנים נאבקו בעיכובים, הם החלו לחפש אחר סימנים לחבלה. דיווחים בלתי מאושרים מתוך איראן מעידים כי העומד בראש תחנת הכוח פוטר זמן קצר אחרי שהתולעת עשתה את דרכה אל תוך המערכת והחלה ליצור בעיות טכניות, וכי כמה מדענים אשר נחשדו בריגול נעלמו או הוצאו להורג. סוכני מודיעין הנגד החלו לעקוב אחר ההתקשרויות בין המדענים בשטח, תוך יצירת אוירה של פחד ופרנויה.

איראן טוענת בנוקשות כי תכנית הגרעין שלה לא נפגעה על ידי התולעת. אבל בעת שהיא טוענת כך היא אישרה כלאחר-יד כי מתקני הגרעין שלה הוחלשו. כאשר חאמיד אלפור, ראש חברת המידע הטכנולוגי הלאומית, הודיע בספטמבר כי 30,000 מחשבים איראניים נפגעו על ידי התולעת, אבל מתקני הגרעין בטוחים, הוא הוסיף כי בין המחשבים שנפגעו היו מחשבים אישיים של מדענים במתקני הגרעין. מומחים אומרים כי לא יתכן שנתנז ובושאר נצלו מן התולעת, אם המחשבים של המהנדסים שלהם נפגעו.

"הבאנו זאת לתוך המעבדה שלנו כדי לחקור את זה, ועל אף אמצעי הזהירות שנקטנו זה נפוץ לכל מקום במהירות שלא תיאמן", אומר ביירס. "התולעת תוכננה לא להשמדת המתקנים אלא להפוך אותם לבלתי יעילים. על ידי שינוי מהירויות הסיבוב, המיסבים (של הצנטריפוגות) מתבלים במהרה, ונוצר צורך להחליף ולתקן את הציוד. שינויי המהירות גם משפיעים על איכות האורניום המעובד בתוך הצנטריפוגות, תוך יצירת בעיות טכניות ההופכות את המתקן לבלתי יעיל", הוא הסביר.

במלים אחרות – התולעת תוכננה כך שתאפשר לתכנית האיראנית להימשך, אך לא להצליח, בלי לדעת לעולם מדוע.

לפי דייויד אולברייט מן המרכז למחקרים אסטרטגיים ובינלאומיים, פגיעה נוספת שניתן לייחס לתולעת היא העובדה "שחייהם של המדענים העובדים במתקן הפכו להיות לגיהינום בגלל סוכני המודיעין הנגדי שהובאו אל תוך המתקנים" כדי ללחום בפרצה. באופן אירוני, גם אחרי גילויה, התולעת הצליחה בהאטת המאמץ האיראני הידוע לבניית נשק אטומי. לנגר אומר כי מאמצי האיראנים לנקות את המערכת שלהם מן התולעת "יימשכו כנראה עוד שנה עד לסיומם" ובמהלך זמן זה המתקנים לא יוכלו לפעול באופן רגיל, בכל מקום.

אבל ככל שיכולות התולעת נעשות מובנות, הגאוניות והמסובכות שבה יצרו שאלה מעוררת תמיהה: מי עשה זאת?

הספקולציות בדבר מקורה של התולעת התמקדו בתחילה על פורצי מחשבים (האקרים), או אפילו על חברות המנסות לשבש את המתחרים שלהן. אבל ככל שהמהנדסים הצליחו לפרק לנתחים את התולעת, הם למדו לא רק את עמקותה של התוכנה, את מכניזם ההתכוונות המסובך שלה (למרות שזיהמה יותר מ-100,00 מחשבים, היא גרמה נזק רק בנתנז), הכמות העצומה של עבודה שהושקעה בה – לפי הערכת מיקרוסופט יצירת התולעת דרשה 10,000 ימי עבודת אדם - ואודות מה שהתולעת ידעה, הרמזים צמצמו את מספר השחקנים הבאים בחשבון ליצירת דבר כזה, לכדי קומץ בלבד.

"זוהי משימה שמדינה-אומה בונה, אם האפשרות השניה העומדת בפניה היא ללכת למלחמה", כתב יוסף ווק, מומחה אבטחה ישראלי. ביירס יותר בטוח - "זהו נשק צבאי", הוא אומר.

מומחים אשר בדקו את התוכנה מאמינים עתה כי הרבה ממה שהתולעת "ידעה" ניתן היה להשיג רק על ידי התאגדות של סוכנויות מודיעין מערביות.

מלכתחילה הופנו כל העיניים לעבר סוכנויות המודיעין של ישראל. מהנדסים שבדקו את התולעת מצאו "רמזים" שהצביעו לעבר מעורבות ישראלית. במקרה אחד הם מצאו את המלה "מירתוס" (Myrtus) משובצת בתוך התוכנה וטענו כי זו היתה התיחסות ל-אסתר, הדמות התנ"כית אשר הצילה את המדינה היהודית העתיקה מידי הפרסים. אבל מומחי מחשב אומרים שסביר כי "מירתוס" היא התיחסות כללית ל"מסופים המרוחקים שלי" (My RTUs = My Remote Terminal Units).

לנגר טוען כי אין סוכנות מודיעין מערבית אשר יש לה את המיומנות להצליח במבצע כזה לבדה. התשובה המתקבלת ביותר על הדעת, לדעתו, היא קיום של התאגדות (קונסורציום) של סוכנויות מודיעין העובדות ביחד כדי לבנות את פצצת הסייבר הזו. הוא טוען כי מאד סביר שהשותפים הם ארצות הברית, בגלל יכולתה המקצועית ליצור את הוירוס, גרמניה, משום שללא הנדסת הפירוק של מוצר של סימנס יצירת הוירוס הזה היתה נמשכת שנים, ורוסיה, בגלל היכרותה הן עם המפעל הגרעיני האיראני והן עם המערכות של סימנס.

אך קיים רמז אחד שנותר בתוך התוכנה אשר עשוי לספר לנו כל מה שאנו צריכים לדעת.

בחלק אחר של התוכנה קיימת התייחסות בשפת מחשב מקובלת, אבל זו מאויתת בצורה שגויה. במקום לומר "DEADFOOT", מונח שנלקח מטייסים שפירושו כשל במנוע, בתוכנה זו המונח נכתב בצורה זו "DEADFOO7".

אכן, 007 חזר - כתולעת מחשב...