در بخش نخست  این یادداشت، به نحوه نفوذ ویروس استاکس‌نت به تاسیسات هسته‌ای نطنز و عمل‌کرد آن پرداخته شد. در ادامه به یکی از مهم‌ترین منابع اطلاعاتی طراحان این ویروس و سهل انگاری یا خرابکاری مدیران وقت می‌پردازیم. یادآوری می‌شود که  از منابع اصلی این نوشته مستند Zero Days به کارگردانی آلکس گیبنی است که به بررسی چگونگی روند ساخته شدن استاکس‌نت پرداخته است.

***

مهم‌ترین مجرای نفوذ به تاسیسات و شبکه‌های کامپیوتری غنی‌سازی نطنز از طریق یک فیلم صداوسیمای ضرغامی به‌دست آمد و لو رفت. این فیلم چند دقیقه‌ای، صحنه‌هایی از بازدید احمدی‌نژاد ازتاسیسات غنی‌سازی  نطنز را در روز انرژی هسته‌ای نشان می‌دهد. در این فیلم، سهل‌انگارانه و بسیار مشکوک،  حساس‌ترین تاسیسات امنیتی منطقه  خاورمیانه٬ نمایش داده می‌شود، در حالی‌که فیلمبردار بر صفحه مونیتور و کامپیوترهای اتاق فرمان در نطنز زوم می‌کند. فیلم، برای چند ثانیه به آرامی و با کیفیت خیلی خوب همه جزییات صفحه کامپیوترهای نطنز را نشان می‌دهد که سریالی در کنار هم قرار داشتند.

این فیلم  مانند یک گنج از آسمان نازل شده از سوی تحلیل‌گران پدافند سایبری آمریکا و اسراییل در مرکز ساندیگو نیومکزیکو و پایگاه فورد مید مورد بهره‌برداری و آنالیز قرار گرفت که در حال برنامه‌ریزی برای از کار انداختن نطنز بودند. حتی مستند Zero Day به نقل از کارشناسان اسراییلی می‌گوید که موساد از طریق همین فیلم مصطفی احمدی‌روشن دانشمند اتمی ایران را شناسایی و ترور کرد که پشت سر احمدی نژاد ایستاده بود و به او توضیح می‌داد.

۶ دسته ۱۶۴ تایی سانتریفوژ در حال کار در نطنز !
رالف لانگنر، کارشناس امنیت سیستم  که با تیم خود موفق به باز کردن کدهای استاکس‌نت شد، می‌گوید که هر کارشناسی، از دیدن صفحه این مونیتورها در این فیلم متوجه می‌شود که که سیستم غنی‌سازی ایران بسیار شبیه همان سیستمی است که در اتحاد شوروی به کار می‌رفت و هنوز در روسیه از آن استفاده می‌شود. وی می‌گوید اگر شما کارشناس آژانس یا متخصص فعالیت‌های غنی‌سازی باشید به سهولت از فیلم درمی‌یابید که ۶ گروه سانتریفوژ در دسته‌های ۱۶۴ تایی، یعنی در مجموع ۹۸۴ سانتریفوژ در سالن‌های نطنز چیده شده‌اند و به صورت آبشاری  گاز هگزا فلوراید را تصفیه  می‌کنند. کسانی که نقشه سیستم را داشتند به این توانایی رسیدند تا کدهای استاکس‌نت را برای رسیدن به بهترین نتیجه متناسب با نحوه چیده‌شدن سانتریفوژها در نطنز بنویسند. رالف لانگنر بعدا از طریق سخنرانی هایی که در مورد استاکس‌نت انجام داده و در یوتیوب هم وجود دارد تاکید می‌کند که وقتی کدهای استاکس‌نت را باز کردیم متوجه شدیم کدها با جزییات با تصاویر و اطلاعات مونیتورها که در تلویزیون ایران نشان داده شدند یکی است. برای مثال شما در کد این ویروس بارها عدد ۱۶۴ را می بینید که در مونیتور هم  یک دسته سانتریفوژ ۱۶۴ تایی دیده می‌شود.

فیلم سخنرانی لانگنر در باره استاکس‌نت بیش از یک میلیون بیننده در یوتیوب داشته است.

از پخش تلویزیونی جزئیات  فعالیت‌های غنی‌سازی ایران، آن هم در شرایطی که اسراییل حتی لحظه‌ای  از تبلیغات و بحران‌سازی علیه ایران دست بر نمی‌داشت، می‌توان فهمید مدیریت استراتژیک فعالیت‌های اتمی ایران در دوران احمدی‌نژاد یک فیلم کمدی کلاسیک بیش نبوده است. ده‌ها میلیارد دلار از سرمایه‌های مردم ایران خرج شد تا تاسیسات هسته‌ای برنامه‌ریزی٬ خرید٬ نصب و حفاظت شوند. ولی با مدیریت احمدی‌نژاد نه‌تنها همه آن بر باد رفت ٬ بلکه تحریم‌های بین‌المللی علیه ایران اعمال شد که منجر به وارد شدن میلیاردها دلار خسارت اقتصادی اجتماعی جبران‌ناپذیر به کشور گردید.

استاکس نت نطنز را مانند خانه خود می‌شناخت
استاکس‌نت به شکلی نوشته شده بود که دقیقا  نطنز را می‌شناخت و می‌دانست که  دارد در نطنز فعالیت می‌کند نه در جای دیگر یا تاسیسات دیگری در کره زمین. کد استاکس‌نت ۲۰ برابر بزرگتر از ویروس‌های دیگر بود و ۱۵ هزار خط فرمان عملیات داشت. در مجموع٬ استاکس‌نت طوری طراحی شد که از سه بخش یا فایل تشکیل شده بود:

۱ـ  فایل عملیات خراب‌کاری که برای آن سازماندهی شده بود
۲ـ  فایل تکثیر ویروس استاکس نت
۳ـ فایل مخفی نگه‌داشتن و پاک‌کردن هر ردی از استاکس‌نت.

به این ترتیب ٬ وقتی استاکس از طریق لپ تاپ یا یک فلش وارد سیستم نطنز شد دیگر از کنترل حتی اسراییل یا آمریکا خارج شده بود. مایکل هایدن رئیس اسبق سیا و آژانس امنیت ملی آمریکا در مورد استاکس‌نت می‌گوید که شما برخی از سلاح‌ها را می‌توانید خاموش و جمع  کنید و دوباره در جعبه‌اش بگذارید٬ برای بعد.  یا کاری کنید تا برای مدتی غیر فعال شود. اما کدهای استاکس‌نت طوری نوشته شده است که وقتی وارد سیستمی شد دیگر از کنترل بشر خارج است و طراحان آن هنوز کدی را که آن را متوقف کند برایش ننوشته‌اند.

وقتی استاکس‌نت وارد نطنز شد، برای ۱۳ روز سکوت کرد تا کاملا در موقعیت مناسب قرار گیرد. صبر کرد تا موقعیت‌یابی دقیق داشته باشد و مطمئن باشد در نطنز قرار دارد  نه جای دیگری. هم‌چنین منتظر شد تا سانتریفوژها پر شوند بعد فعال شد. این ویروس پر یا خالی بودن سانتریفوژها را تشخیص می‌داد.  تصویر منحنی چیدمان کدهای استاکس‌نت نشان می‌دهد که این کد انحصارا برای ساختار نطنز نوشته شده است و کسانی که این کدها را می‌نوشتند اطلاعات کافی از نطنز در دسترس داشتند. کدها طوری نوشته شدند که گویی طراحان همه جزییات و گوشه‌های غنی‌سازی نطنز را می‌شناختند. به همین دلیل منحنی عملکرد گروه سانتریفوژها و منحنی فعال شدن استاکس‌نت دقیقا قرینه یکدیگر هستند.

زیمنس و دستگاه PLC که میزبان استاکس‌نت شد

اساسا میزبان ویروس استاکس‌نت در تاسیسات غنی سازی دستگاههای PLC ( Programable logic Controller ) هستند که بسیار شبیه کامپیوتر است و با ویندوز کار می کند. PLC  به دستگاه‌های صنعتی فرمان می‌دهد که چه فعالیتی داشته باشند و چه زمانی با چه سرعتی و چه کیفیتی وظیفه خود را انجام دهند. PLC  در تاسیسات غنی‌سازی به موتور سانتریفوژ فرمان می‌دهد بچرخد ٬ نچرخد٬ یا سرعت سانتریفوژها را تنظیم می‌کند.

وقتی می‌گوییم سانتریفوژها هک شده‌اند منظور این است که دستگاه  PLC  یا بازوی فرمان‌دهنده تاسیسات غنی‌سازی به استاکس‌نت آلوده شده است. این PLC  به سانتریفوژها فرمان‌های عوضی و متناقض و خراب‌کارانه می‌دهند تا به‌قدری تند و کند بچرخند که هم غنی‌سازی مختل شود و هم خود دستگاه سانتریفوژخراب شود و به سرویس و تعمیر پی‌در‌پی نیاز داشته باشد.

بسیاری از تاسیسات صنعتی با یک PLC کار می‌کنند. طراحان استاکس‌نت به اطلاعاتی دست یافتند که اثبات می‌کرد در نطنز از PLC های شرکت آلمانی زیمنس استفاده می شود. PLC زیمنس قبلا در جایی هک نشده بود و بسیاری از شرکت‌ها در فعالیت‌های فوق حساس به آن اعتماد می‌کردند. بنابراین حدس زده شد به خاطر امنیت بیشتر حتما از این مدل در نطنز به کار گرفته شده است.

فرماندهی پدافند سایبری اسراییل و آمریکا با دقت به بررسی مدل زیمنس PLC پرداختند تا راه نفوذ و تغییر برنامه‌ریزی و کنترل فرمان‌های آن را پیدا کنند. اما قبل از هر چیز احتیاج به کدهایی داشتند که ویندوز چنین دستگاه‌هایی بر اساس آن چیده می شود.

ماجرای هک کردن PLC های زیمنس های نطنز خودش یک فیلم سینمایی پلیسی است.  طراحان استاکس‌نت برای هک کردن ویندوز PLC در نطنز احتیاج به کدهای ویژه‌ای داشتند که فقط در اختیار دفتر اصلی مایکروسافت است و هیچ نهاد دیگری به آن دسترسی ندارد. یک کپی از این کدها  در دو شرکت امنیت سیستم های کامپیوتری در تایپه پایتخت تایوان نگهداری می‌شد که نفوذ به آن تقریبا غیر ممکن بود. ظاهرا موساد با تکنیک‌های بسیار پیچیده جاسوسی موفق به وارد شدن به تاسیسات این کمپانی امنیتی  و دزدیدن کدهای محرمانه مایکرسافت شد که برای طراحی ویروس استاکس‌نت به آن احتیاج داشتند.

جزییات حمله سایبری به تاسیسات غنی‌سازی نطنز

احتمالا یکی از عواملی که باعث شد که رالف لنگر متخصص آلمانی امنیت سیستم‌های کامپیوتری و تیمی مجهز در آزمایشگاه‌های آلمان اقدام به باز کردن کدهای استاکس‌نت کردند، این بود که در درجه اول یکی از محصولات صنعتی و مارک آلمان ابزار یک ویروس بسیار مدرن شده بود و در درجه دوم٬ آلمانی‌ها می‌ترسیدند که استاکس‌نت بزودی به سراغ خود آنها هم برود. به همین دلیل تصمیم گرفتند همه اطلاعات پیرامون این ابر ویروس را پیاده کنند تا بتوانند سیستم‌های حفاظتی خود را بیشتر و پیچیده‌تر، ارتقا دهند. بعد از باز شدن کدهای ویروس استاکس‌نت بسیاری از کارشناسان ضد ویروس یا متخصصان امنیت سیستم نسبت به یک فاجعه بشری به نام Zero Days یا روز صفر هشدار داده‌اند. یعنی روزی که استاکس‌نت یا ویروس مشابهی تاسیسات زیربنایی آمریکا ٬ اروپا ٬ و ژاپن را مورد حمله قرار دهد و همه تاسیسات حیاتی این کشورهای مدرن از کار بیافتد.

( ادامه دارد )

https://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon?language=sv#t-384422

http://andrewtheprophet.com/blog/tag/enrichment/