جزییات طرح سیا و موساد در حمله به ایران با استاکسنت
آزاده کیاپور - اکونومیست در گزارشی به رمزگشایی از نحوه ساخت ویروس استاکسنت به عنوان نخستین سلاح سایبری دنیا برای حمله به تاسیسات هستهای ایران در سال 88 از سوی سیا و موساد پرداخت و نوشت: ژوئن ۲۰۰۹ است. خیابانهای تهران به علت اعتراضات ناشی از نتایج انتخابات ریاستجمهوری، به جوش و خروش آمدهاند.
در حالی که این رویدادها در تهران، در حال رخ دادن بود، حدود ۳۰۰ کیلومتر به سمت جنوب و در تاسیسات هستهای نطنز، قلب برنامه هستهای ایران نیز وقایع «عجیب» در حال وقوع بود. تنها چند روز پس حوادث انتخابات سال 88 ایران گزارش شد که سازمان سیا، تأییدیهای برای آغاز یک عملیات سایبری علیه این تاسیسات دریافت کرده است.
این عملیات، شامل بارگذاری یک بدافزار پیچیده به نام استاکسنت، بهطور مستقیم روی سختافزارهای ایرانی بود. این بدافزار که سالها در حال توسعه بود، یک همکاری مشترک بین ایالات متحده و اسرائیل به شمار میرفت؛ بدافزاری که به عنوان اولین سلاح دیجیتال جهان شناخته میشود.
- استاکسنت: پیدایش
استاکسنت پدیده جدیدی در زیرساختهای هستهای ایران نبود؛ این بدافزار سالها بود که باعث اختلالاتی شده بود اما این نسخه جدید طراحی شده بود تا ضربهای قاطع وارد کند.
داستان توسعه و بهکارگیری استاکسنت سالها پیش آغاز شد. ریشه استاکسنت به اوایل دهه ۲۰۰۰ بازمیگردد؛ دورهای که تنشها بین ایران و کشورهای غربی بر سر برنامه هستهای ایران به اوج خود رسیده بود. دولت بوش که نگران قابلیت ایران برای توسعه سلاحهای هستهای بود، روشهای غیرمتعارف برای جلوگیری از پیشرفت تهران در این حوزه را مدنظر داشت. بنابراین عملیات مخفیانه به نام «بازیهای المپیک» شکل گرفت.
این ابتکار، که با همکاری نزدیک سیا، آژانس امنیت ملی آمریکا (NSA) و موساد اسرائیل انجام شد، با هدف ایجاد یک سلاح دیجیتالی صورت گرفت که قادر به اختلال فیزیکی در تواناییهای غنیسازی هستهای ایران باشد.
استاکسنت، یک بدافزار معمولی نبود. طراحی آن سطحی از پیچیدگی را نشان میداد که تا آن زمان در حوزه سلاحهای سایبری بیسابقه بود. این بدافزار به نرمافزار Siemens Step7 که برای کنترل تجهیزات صنعتی استفاده میشد، حمله کرد و به طور خاص بر سانتریفیوژهای تاسیسات غنیسازی اورانیوم نطنز ایران تمرکز داشت. این سانتریفیوژها که برای غنیسازی اورانیوم ضروری بودند، با سرعتهای بالا کار میکردند و نیاز به کنترل دقیقی داشتند تا به درستی عمل کنند.
- استاکسنت: اجرا
ایالات متحده یک نسخه شبیهسازیشده از تاسیسات هستهای ایران را در مرکز Oak Ridge در ایالت تنسی ساخت؛ جایی که با دقت سانتریفیوژها را مطالعه کردند تا بدانند چگونه میتوانند آنها را بدون شناسایی خراب کنند. در سال ۲۰۰۷، اولین نسخه استاکسنت منتشر شد. این بدافزار با جلوگیری از آزادسازی فشار از طریق شیرها، گاز اورانیوم را جامد میکند و سانتریفیوژها را به شکل نامتعادل به چرخش درمیآورد تا در نهایت خودبهخود از بین بروند.
تاسیسات هستهای ایران دارای شکاف هوایی (air-gapped) بود؛ یعنی شبکه آن آفلاین بود و به اینترنت متصل نبود. بنابراین استاکسنت باید از طریق عامل داخلی، با استفاده از یک حافظه USB وارد سیستم میشد. این بدافزار بدون شناسایی عمل میکرد و با استفاده از یک rootkit حضور خود را پنهان میساخت. همچنین با گواهیهای دیجیتالی سرقتشده، به نظر میرسید که دستورهای قانونی را اجرا میکند. با وجود اثربخشی آن، نسخههای اولیه استاکسنت، تنها پیشرفت ایران را کند کردند و به طور کامل آن را از بین نبردند.
در پاسخ به این موفقیتهای نسبی، محققان آمریکایی نسخه تهاجمیتر از استاکسنت را توسعه دادند. این نسخه با استفاده از چهار آسیبپذیری ناشناخته (zero-day) و کلیدهای خصوصی سرقتشده برای امضای دستورهای خود، توانست به سرعت حتی در شبکههای دارای شکاف هوایی (غیرمتصل به اینترنت) گسترش یابد و سانتریفیوژها را به گونهای دوباره برنامهریزی کند که به تخریب منجر شود. این در حالی است که این خرابکاری به عنوان نقصهای سختافزاری پنهان میشد.
- استاکسنت: پیامدها
یک عامل داخلی در نطنز، این نسخه جدید استاکسنت را نفوذ داد و این بدافزار به سرعت در شبکه تاسیسات گسترش یافت. با این حال، طبیعت تهاجمی این نسخه، پیامدهای ناخواسته به دنبال داشت: بدافزار فراتر از نطنز گسترش یافت و کامپیوترهای سراسر ایران و در نهایت، سطح جهان را آلوده کرد.
سازمان سیا، با درک اینکه گسترش استاکسنت از کنترل خارج شده، به امید اینکه بدافزار همچنان در نطنز کشفنشده باقی بماند، تصمیم گرفت عملیات را تداوم دهد.
این امیدها زمانی نقش بر آب شد که شرکت امنیت سایبری Symantec، استاکسنت را کشف و گزارش مفصلی درباره این بدافزار منتشر کرد. ایران، به زودی متوجه وسعت این حمله سایبری شد و اقداماتی برای محافظت از برنامه هستهای خود انجام داد. با وجود این آسیبها که به دلیل استاکسنت به برنامه هستهای ایران وارد شده بود، ایران اعلام کرد که مصمم است کماکان برنامه صلحآمیز هستهای خود را ادامه دهد.
یکی از نخستین نشانههای وجود استاکسنت در ژوئن ۲۰۱۰ پدیدار شد؛ زمانی که یک شرکت امنیت سایبری بلاروس بدافزار غیرعادیای را روی یک کامپیوتر ایرانی کشف کرد.
با شروع تجزیه و تحلیل کد توسط کارشناسان امنیت سایبری از سراسر جهان، آنها از پیچیدگی و هدف این بدافزار شگفتزده شدند.
- تاثیر بر برنامه هستهای ایران
تاثیر استاکسنت بر برنامه هستهای ایران چشمگیر بود اما به سرعت، ویرانگر نبود. تا سال ۲۰۰۹، ایران بیش از 7هزار سانتریفیوژ در تاسیسات نطنز نصب کرده بود اما استاکسنت باعث از کار افتادن حدود هزار مورد از آنها شد. این اختلالات، ایران را مجبور به توقف موقت فعالیتهای غنیسازی و جایگزینی تجهیزات آسیبدیده کرد. این امر برنامه هستهای این کشور را از چندین ماه تا چندین سال به تاخیر انداخت.
دولت ایران که در ابتدا از علت خرابی سانتریفیوژها آگاهی نداشت، در نهایت، متوجه نفوذ سایبری شد. بهطور علنی، ایران، تاثیر استاکسنت را کماهمیت جلوه داد ولی در پشت پرده، این حمله، به سرمایهگذاری قابلتوجه در زمینه امنیت سایبری و توسعه تواناییهای تهاجمی سایبری منجر شد.
در سالهای پس از آن نیز ترور هدفمند دانشمندان برجسته هستهای ایران، ضربه دیگری به برنامه هستهای این کشور وارد کرد. بمبگذاریهای خودرو و سایر حملات، بسیاری از مدیران برنامه هستهای، از جمله مدیر تاسیسات نطنز را به شهادت رساند.
- استاکسنت: پیامدهای جهانی
اما استاکسنت تنها به ایران محدود نماند. این بدافزار به کشورهای دیگر مانند هند، اندونزی و پاکستان گسترش یافت و سیستمهای صنعتی در سراسر جهان را تحتتاثیر قرار داد.
در هند، چندین زیرساخت حیاتی آلوده شدند و گزارشهایی حاکی از آلودگی 80 هزار کامپیوتر منتشر شد. همچنین مشخص شد چندین نیروگاه و واحد تولیدی در برابر حملات مشابه، آسیبپذیر هستند.
به همین جهت در سال ۲۰۱۳، هند سیاست ملی امنیت سایبری را تصویب کرد که تمرکز آن بر «حفاظت از زیرساختهای اطلاعاتی و حفظ محرمانگی، یکپارچگی و در دسترس بودن اطلاعات در فضای سایبری» بود. سال بعد، دولت هند مرکز حفاظت از زیرساختهای اطلاعات حیاتی ملی را اعلام کرد تا از امنیت سایبری این کشور بیشتر محافظت کند.