ستوكسنت: أول سلاح رقمي مرعب في العالم

ستوكسنت هو دودة كمبيوتر خبيثة تم اكتشافها لأول مرة في يونيو 2010 بعد أن أدت إلى شل المنشآت النووية الإيرانية. وإلى يومنا هذا، يظل ستوكسنت يشكل تهديداً مرعباً للإنترنت العالمي.

في كثير من الأحيان يستخدم القراصنة Stuxnet لاستغلال الثغرات الأمنية في نظام التشغيل Windows. ولكن ستوكسنت لا يكتفي بالسيطرة على أجهزة الكمبيوتر المستهدفة أو سرقة المعلومات منها؛ كما تهرب الدودة الخبيثة من العالم الرقمي لتدمير الأجهزة التي تتحكم فيها فعليًا.

كيف هاجم ستاكسنت المنشآت النووية الإيرانية؟

تم اكتشاف ستوكسنت لأول مرة في عام 2010، عندما اكتشف مفتشو الوكالة الدولية للطاقة الذرية أن العديد من أجهزة الطرد المركزي في محطة نطنز (إيران)، التي تصنعها شركة سيمنز لتخصيب اليورانيوم لتشغيل المفاعلات النووية، كانت معطلة.

ومن الجدير بالذكر أن المنشآت النووية الإيرانية معزولة تماما، وليست متصلة بالشبكة الداخلية أو الإنترنت.

اكتشف فريق أمني من بيلاروسيا أن سبب عطل أجهزة الطرد المركزي جاء من أجهزة الكمبيوتر التي تشغل النظام، وكان وراء ذلك برنامج خبيث معقد للغاية. انتشر البرنامج الخبيث عبر منافذ USB وأصاب بسرعة وحدات التحكم المنطقية القابلة للبرمجة (PLCs) التي تتحكم في أجهزة الطرد المركزي، ثم قام بتخريبها.

من المقرر أن تدور أجهزة الطرد المركزي في المنشآت النووية الإيرانية بسرعات عالية للغاية، مما يخلق قوى أكبر بكثير من الجاذبية لفصل العناصر عن اليورانيوم.

بعد دخول ستاكسنت إلى النظام، قام بإغلاق صمامات الهروب على عدد عشوائي من أجهزة الطرد المركزي، مما سمح للغاز بالدخول ولكن لم يسمح له بالهروب، مما تسبب في زيادة الضغط داخل أجهزة الطرد المركزي، مما أدى إلى إهدار الوقت والغاز.

الخطر هنا هو أن ستاكسنت موجود في النظام منذ أسابيع، وبعد تسريع أجهزة الطرد المركزي لفترة وجيزة فإنه سوف يبطئها إلى المعدلات القياسية. وهذا يجعل من الصعب اكتشاف عملياتها.

بالإضافة إلى ذلك، ومن أجل إخفاء وجوده ونشاطه على النظام، يقوم ستوكسنت أيضًا بإرسال إشارات استشعار للتحكم في العمليات الصناعية.

وعلى النقيض من البرمجيات الخبيثة التقليدية، واصل ستوكسنت انتشاره حتى بعد اكتشافه. ولذلك يطلق عليه الباحثون اسم "السلاح الرقمي".

لماذا يعد ستوكسنت خطيرًا؟

وتصف شركات الأمن السيبراني ستوكسنت بأنه دودة كمبيوتر، والتي يمكن أن تكون أكثر تطوراً بكثير من فيروس الكمبيوتر النموذجي.

على عكس الفيروسات، لا تتطلب ديدان الكمبيوتر تفاعلاً بشريًا لتنشيطها، ولكنها تنتشر تلقائيًا، وفي بعض الأحيان بسرعة كبيرة بعد دخول النظام.

بالإضافة إلى حذف البيانات، يمكن أن تسبب ديدان الكمبيوتر تأثيرات ضارة أخرى مثل زيادة تحميل الشبكات، وفتح "الأبواب الخلفية"، واستهلاك النطاق الترددي، وتقليل مساحة القرص الصلب وإسقاط برامج ضارة خطيرة أخرى مثل أدوات الجذر، وبرامج التجسس، وبرامج الفدية.

أضعف فيروس ستوكسنت ما يقرب من ألف جهاز طرد مركزي إيراني في عام 2010. ويعتبر الخبراء أن هذه الدودة عبارة عن قطعة معقدة للغاية من التعليمات البرمجية، وسوف تكون خطيرة للغاية إذا تم التعامل مع تأثيرها باستخفاف.

تمكن المهاجمون في البداية من إصابة أجهزة الكمبيوتر التابعة لخمس شركات خارجية، يُعتقد أنها متورطة بطريقة أو بأخرى في البرنامج النووي، بالبرمجيات الخبيثة التي تنتشر بعد ذلك وتنقل الأسلحة داخل أقراص USB إلى المنشأة المحمية وأجهزة الكمبيوتر التابعة لشركة سيمنز.

في ذلك الوقت، لم يكن أي نظام أمني قادراً على "فحص" وجود ستوكسنت. يقول الخبراء أن الطريقة الرئيسية لانتشار فيروس ستوكسنت هي عبر USB.

بعد مهاجمة المنشآت النووية الإيرانية، تم إطلاق فيروس ستوكسنت إلى العالم الخارجي عن طريق الخطأ. تم اكتشاف ستوكسنت في وقت لاحق في ألمانيا وفرنسا والهند وإندونيسيا.

كما مهد أسلوب عمل ستوكسنت الطريق لهجمات خطيرة أخرى في المستقبل. في عام 2015، ابتكر باحثون ألمان دودة كمبيوتر أخرى، أطلقوا عليها اسم PLC Blaster. إنهم يستخدمون جزءًا من أسلوب عمل ستوكسنت، ويستهدفون بشكل محتمل سلسلة أجهزة التحكم المنطقية القابلة للبرمجة من شركة سيمنز S7.

تقول منظمة الأمن السيبراني Stormshield إن سيناريو مشابهًا لـ Stuxnet لا يزال من الممكن أن يحدث في عام 2024، حيث ستكون هناك دائمًا ثغرات Zero-Day التي تمنح مجرمي الإنترنت ميزة هجومية.