ما هو فيرس الـ Stuxnet

Cyber Attacks
أصبح استخدام الهجمات الإلكترونية بديلا عن الحروب التقليدية كما كان الحال عندما تم تخريب المفاعل النووي الإيراني عام 2010 عن طريق برنامج خبيث يسمى (Stuxnet).
Mohamed Ayman
Jan. 22, 2023, 12:32 p.m.
mohamedayman
ما هو فيرس الـ Stuxnet

أصبح استخدام الهجمات الإلكترونية بديلا عن الحروب التقليدية كما كان الحال عندما تم تخريب المفاعل النووي الإيراني عام 2010 عن طريق برنامج خبيث يسمى (Stuxnet).

مقدمة

الكثير منا يعرف أن Worm Stuxnet تعتبر اول هجمة سيبرانية استهدف فيها المفاعل النووي الإيراني، ولكن يوجد الكثير من التفاصيل وراء هذا الامر دعونا نبدأ.

ما هي Worm Stuxnet؟

Stuxnet من أنواع البرامج الضارة بالكمبيوتر يطلق عليه اسم Worm وتم اكتشافها في يونيو 2010. تم تطوير هذا البرنامج من قبل الولايات المتحدة والكيان الصهيوني وتم تطويره ليصبح كسلاح إلكتروني لمهاجمة برنامج إيران النووي. وتم تصميم هذه Worm خصيصا لاستهداف أنظمة التحكم الصناعية (ICS) والتي يتم استخدامها في محطات الطاقة النووية وأيضا نظم المياه والصرف الصحي وغيرها من أنظمة البنية التحتية الحيوية.

ماذا حدث؟

تمكنت Stuxnet worm من الانتشار عبر محركات أقراص USB وتم تصميمها خصيصا لاستهداف أنظمة سيمنز (Siemens SCADA) والتي تستخدم في العمليات الصناعية ومراقبتها وعندما تم إصابة هذا النظام ب Stuxnet Worm تمكنت من السيطرة على نظام SCADA والتلاعب بالعمليات التي كان يتحكم بها مما أدى الى حدوث ضررا كبيرا وتدمير في الأنظمة.

 

ما هي الخطوات التي تتبعها Stuxnet Worm في عملية الاختراق؟

يعد Stuxnet من البرامج المتطورة والمعقدة ويستخدم العديد من التقنيات لاختراق أنظمة التحكم الصناعية (ICS).

وفيما يلي الخطوات التي تتخذها Stuxnet Worm في اختراق الهدف:

  1. مرحلة الانتشار (Propagation): تنتشر Stuxnet Worm عبر محركات أقراص USB وأنظمة التحكم من سيمنز ويطلق عليها Siemens SCADA والتي استغلت نقاط الضعف الموجودة في أنظمة التشغيل Windows للوصول الى الأنظمة المستهدفة.
  2. مرحلة تحديد نظام ICS: بمجرد انتشار Stuxnet ووصولها الى أنظمة التشغيل تستخدم عدة تقنيات حديثة لتحديد ما اذا كان النظام يستخدم برنامج Siemens SCADA ام لا ثم يتحقق أيضا من نقاط الضعف في النسخة المحددة من هذا البرنامج ويقوم باستغلالها.
  3. مرحلة تكرار الملفات (File Replication): عندما يتم تحديد النظام المستهدف فإن Stuxnet بعدها يقوم بتكرار "استنساخ" نفسه على النظام وأيضا ينتشر للأجهزة الأخرى المتصلة بالشبكة تلقائيا.
  4. مرحلة التنفيذ (Payload Execution): وهنا تقوم Stuxnet الغرض منها والتي تم تصميمها خصيصا لاستهداف العمليات الصناعية والمسؤول عن التحكم بها نظام SCADA وقامت بالتحكم في هذا البرنامج والتلاعب بنتائجه.
  5. مرحلة الإخفاء (Concealment): وفى هذه المرحلة تستخدم Stuxnet عدة تقنيات لإخفاء وجودها على النظام المصاب بها وتجنب اكتشافه من قبل برامج الأمان. واستخدمت تقنية (Rootkit) في إخفاء ملفاتها والعمليات التي قامت بها. كما استخدمت أيضا تقنية (Slow Drop) في نشر نفسها ببطء على مدى فترة زمنية حتى لا يتم اكتشافها بسهولة.
  6. مرحلة استخراج البيانات (Data Exfiltration): تم تصميم Stuxnet لجمع البيانات المهمة من الأنظمة المستهدفة مثل تكوين النظام وحالة النظام ومعلومات عن الشبكة.

 

ما هي مؤشرات اختراق النظام (IOCs) ببرنامج Stuxnet ؟

أصبح استخدام الهجمات الإلكترونية بديلا عن الحروب التقليدية كما كان الحال عندما تم تخريب المفاعل النووي الإيراني عام 2010 عن طريق برنامج خبيث يسمى (Stuxnet).

مؤشرات الاختراق IOCs هي تفاصيل محددة حول هجوم الكتروني معين مثل File Hashes و عناوين IP وغيرها من المعلومات التعريفية التي يمكن استخدامها لاكتشاف الهجوم الالكتروني وأيضا الرد عليه.

فيما يلي مؤشرات اختراق النظام التي يمكن استخدامها لاكتشاف Stuxnet:

  1. File Hashes: يستخدم Stuxnet مجموعة متنوعة من الملفات المختلفة ويتم تحديد هذه الملفات عن طريق Hashes للكشف عن Stuxnet Worm الموجودة في النظام.
  2. مؤشرات الشبكة (Network Indicators): تتواصل Stuxnet مع خوادم تعرف باسم (Command & Control Servers) لتلقى التعليمات ولتسريب البيانات إليه. يمكن استخدام عناوين IP وأسماء نطاقات خوادم (C&C) لاكتشاف Stuxnet worm على الشبكة.
  3. Registry Keys: وهى مفاتيح محددة توجد على الأنظمة المستهدفة ويمكن استخدام هذه المفاتيح للكشف عن إصابة Stuxnet للنظام.
  4. AutoStart Location: تقوم Stuxnet بتعديل مواقع AutoStart على الأنظمة المستهدفة ويمكن استخدام هذه التعديلات لاكتشاف ما إذا كان النظام مصابا.
  5. العمليات المحددة (Specific Processes): تدير Stuxnet عمليات محددة على الأنظمة المستهدفة ويمكن استخدام هذه العمليات لاكتشاف اذا كان النظام مصابا ام لا.

الإجراءات التي يتم اتخاذها لتجنب الإصابة بـ Stuxnet Worm؟

هناك العديد من الإجراءات التي يتم اتخاذها لتجنب Stuxnet worm وحماية أنظمة التحكم الصناعية (ICS) من الهجمات الإلكترونية المماثلة وتشمل ما يلي:

  1. تحديث الأنظمة (Patch Management) : يعد تحديث الأنظمة والبرامج امرا ضروريا لمنع وجود نقاط ضعف في النظام وبالتالي يتم استغلالها. ويشمل التحديث كل من نظام التشغيل المستخدم وأيضا البرامج المستخدمة في أنظمة التحكم الصناعية ICS.
  2. تقسيم الشبكة (Network Segmentation): يمكن ان يساعد تقسيم الشبكة في الحد من انتشار البرامج الضارة وتقليل المخاطر الناتجة عن هذه البرامج.
  3. Antivirus and Malware Protection: يمكن ان يساعد تنفيذ برامج الحماية من وجود الفيروسات والبرامج الضارة على أنظمة التحكم الصناعية ICS وأيضا اكتشاف ومنع انتشار هذه البرامج وتتضمن Stuxnet.
  4. مراقبة عمليات الدخول (Access Control): يمكن وضع قواعد صارمة للدخول الى أنظمة التحكم الصناعية ICS وأيضا استخدام التشفير ونظام المصادقة (Authentication) لمنع الوصول غير المصرح به الى الأنظمة.
  5. التخطيط للاستجابة (Incident Response Planning): وضع خطة مسبقة للاستجابة للهجوم الإلكتروني وتتضمن أيضا طرق الكشف عن هذا الهجوم واتعافى منه وطرق تقليل الضرر الناتج عنه.
  6. تدريب الموظفين (Employee Training): يعتبر من اهم العناصر الأساسية في منع الهجمات ويشمل تزويدهم بالمعرفة حول مخاطر الهجمات الالكترونية وكيفية التعرف على النشاط المشبوه والابلاغ عنه.   

اختصارات هامة

  • ICS = Industrial Control Systems
  • SCADA = Supervisory Control and Data Acquisition
  • C&C = Command and Control
  • IOCs = Indicators of Compromise

 

في النهاية أتمنى لكم الاستمتاع بقراءة المقالة لما لها من أهمية كبيرة في الكشف عن أحد الهجمات الإلكترونية التي تمت وكيفية الحماية من تلك الهجمات وأتمنى أن أكون وفقت في توصيل المعلومة بطريقه جيدة.

stuxnet worm Mohamed Ayman 0xElshazly cyber attack