مروری بر همکاری رژیم صهیونیستی و ایالات متحده جهت آسیب به فرآیند های هسته ای جمهوری اسلامی

مقدمه

در ژوئن 2010 ، یک کمپانی ناشناخته بلاروسی [1] فعال در زمینه امنیت نرم افزار  از طریق یکی از مشتریانش در ایران تصاویر و کدهائی را بدست آورد که نشان میداد یک ویروس جدید در حال سوء استفاده از چند آسیب پذیری گزارش نشده ( اصطلاحا ZeroDay ) در ویندوز میباشد و اعلام کرد که این ویروس سامانه های صنعتی را هدف قرار داده است . این شرکت اطلاعات ذکر شده را برای مایکروسافت ارسال میکند .

مایکروسافت گزارش این شرکت را جدی نگرفت و این امر باعث انتشار جزئیات آن توسط این شرکت روی اینترنت گردید [2] . کمی بعد مشخص شد که این بدافزار ، برای محافظت و تقویت خود ، از گواهی­های الکترونیکی صادر شده برای دو شرکت چینی سوء استفاده کرده ( احتمالا گواهی­ها که در عمل فقط چند فایل هستند مدتها قبل از شرکتهای چینی سرقت شده اند ) و توسط رسانه های قابل حمل موسوم به USB Flash بین رایانه ها منتشر میگردد . این اخطار بلافاصله مورد توجه قرار نگرفت شاید چون نه بهره مندی از گواهی های الکترونیکی سرقت شده مسئله جدیدی بود و نه استفاده از فلش برای انتشار ویروس .

اما پس از مدت کوتاهی این ویروس – که بنام استاکس­نت مشهور شده است – توسط کارشناسان شرکتها و گروههای امنیتی مختلف به عنوان پیشرفته ترین قطعه بدافزار و کد مخربی که تا کنون مشاهده کرده اند معرفی شد چون هدف اصلی آن آلوده کردن رایانه ها به منظور سرقت اطلاعات یا توقف سرویس دهی نیست بلکه با طراحی بسیار هوشمندانه ، فقط به نوع خاصی از سامانه های موسوم به اسکادا ( SCADA ) آسیب میرساند .

 از این سامانه های سخت افزاری- نرم افزاری جهت نظارت ، مدیریت و کنترل زیرساختهای صنعتی مانند شبکه برق ، چرخه های مدیریتی نفت و گاز و .. استفاده میگردد.

متاسفانه به دلیل عدم واگذاری شفاف وظیفه و تصدی­­گری نا متمرکز مسائل امنیتی حوزهء سایبری در داخل کشور که انتقاد واردی به مسئولین محترم ذی ربط میباشد ، پس از حدود یکسال از انتشار اولیه این ویروس ابتدا برخی مسئولین طی چند مصاحبه اعلام کردند که حدود 30 هزار رایانه ایرانی به این بدافزار آلوده شده اند ولی آسیبی به زیرساختهای صنعتی کشور وارد نشده است اما کمی بعد ریاست محترم جمهوری حملهء نرم افزاری دشمن به قطعات بکار رفته در چرخهء هسته ای را تائید کردند و اعلام شد ” آنها ( دشمنان ) کار بدی کرده اند ” و این مسائل کوچک جلوی پیشرفت ما را نخواهد گرفت . علیرغم آنکه در انتهای جمله حق با ریاست محترم جمهوری است و تجربه نشان داده است که اقدامات تخریبی دشمن همواره فرزندان این نظام را مقاومتر و همت آنها را راسختر کرده است اما بد نیست  فقط با دید فنی بدون تعارف نگاهی به حقایق این “پرونده” بیندازیم . آنچه در ادامه میخوانید فقط مبتنی بر اطلاعات آشکار و موجود در دسترس عموم تدوین شده است :

واقعیت­ها

1. پس از آزمایشهای گستردهء استاکس­نت توسط چند شرکت امنیتی ، این مسئله محرز شده است که هدف استاکس­نت آسیب رساندن به سامانه های خاصی است که بر اساس نرم افزارهای شرکت زیمنس ( WinCC و PC7 ) کار کرده و از دو نوع قطعهء سخت افزاری خاص استفاده مینمایند [3] که فقط در ایران و فنلاند استفاده میشود . دولت فنلاند تا کنون عکس العملی نسبت به این مسئله نشان نداده و گزارشها نیز این کشور را به عنوان محل آلودگی گسترده معرفی نمیکنند در حالیکه ایران در تمام بازهء 2009-2010 که استاکس­نت در حال انتشار بود همواره در کنار هند و اندونزی یکی از 3 کشور بالای فهرست آلودگی بوده است تا سرانجام در اواخر 2010 فاصله ایران با بقیه بیشتر شده و بالاترین میزان آلودگی به این ویروس را به ثبت رساند [4].

• تحقیقات نشان میدهند که هدف اصلی استاکس­نت از آلوده کردن رایانه های صنعتی ، دسترسی به قطعه سخت افزاری موسوم به PLC است که مستقیما با تجهیزات صنعتی در ارتباط است و ضمن دریافت فرمان از رایانه و انتقال آن به دستگاه ، وضعیت دستگاه را به رایانه گزارش میدهد . هدف استاکس­نت ، فقط نوع خاصی از PLC است که توسط شرکت زیمنس و شرکای آن به برخی از شرکتهای واسط ایرانی فروخته شده است و به همین دلیل ، آلودگی رایانه ها در سایر نقاط دنیا به این کد مخرب چندان مسئلهء مهمی نیست چون در نهایت به تخریبی منجر نخواهد شد . هدف استاکس­نت مشخصا شبکه های صنعتی ایران بوده است [5] .

• استاکس­نت پس از آلوده کردن رایانه صنعتی متصل به PLC ، به کمک آسیب پذیری های موجود در نرم افزارهای زیمنس که روی این رایانه ها نصب شده بودند ، نرم افزار سطح پائین کنترلگر داخل PLC را دستکاری میکند . هدف این دستکاری ، گزارش غلط بسامد و دامنهء چرخش یکی از قطعات داخلی یک سخت افزار خاص میباشد تا هم این سخت افزار بیش از حد بچرخد و هم اپراتورهای سیستم از این واقعیت مطلع نشوند .

بررسی های بعدی نشان داد که ترکیب رایانه های صنعتی مورد نظر ، PLC خاص مذکور و سایر تنظیماتی که توسط استاکس­نت به آنها دست اندازی میشود فقط در چرخه غنی سازی اورانیم کشور کاربرد دارند . به بیان دیگر ، هدف اصلی استاکس­نت ، ضربه زدن به سانتریفیوژها به منظور تخریب چرخهء غنی سازی هسته ای است . سانتریفیوژ تنها عنصر چرخهء هسته ای است که قطعات سخت افزاری داخل آن با بسامد بالا میچرخد و از PLC و Convertor های خاص مورد نظر استاکس­نت استفاده میکند . در صورت بالا رفتن بی رویهء بسامد و عدم نظارت صحیح ( که هر دو از اهداف استاکس­نت میباشند ) سانتریفیوژ به احتمال زیاد از کار خواهد افتاد گرچه یک رخداد الکترومکانیکی برنامه ریزی نشده ( که در نیروگاهها و بطور کل سیستمهای کنترلی امر نادری نیست ) حتی ممکن است به انفجار و تخریب کامل منجر شود . در نتیجه هدف استاکس­نت کند کردن چرخهء هسته ای از طریق از کار انداختن سانتریفیوژها و امیدواری به انفجار کل مرکز غنی سازی بوده است .

• به همین دلیل ، باید توجه کرد که هدف استاکس­نت مراکز غنی سازی اورنیم میباشند و نه مراکز استفاده از سوخت هسته ای مانند بوشهر . همزمانی افتتاح نیروگاه بوشهر با اخبار مرتبط با استاکس­نت باعث شد که تحلیل گران غیر فنی با دیدی سیاسی مسئلهء این بدافزار را به بوشهر مرتبط کنند که بطور کل فاقد توجیه فنی لازم است در حالیکه مراکز غنی سازی مانند نطنز هدف اصلی و شاید تنها هدف این بدافزار پیچیده بودند .

استاکس­نت محصول کجاست ؟

در روزهای آغازین اظهار نظر و تحلیل ، به دلیل وجود برخی از عبارتهای خاص لاتین و عبری در متن باینری کد استاکس­نت ( مانند واژهء myrtus موجود در متن ویروس که به ” استر” اشاره میکند ) تقریبا همه متحد القول بودند که استاکس­نت کار اسرائیل است . البته در اینکه رژیم صهیونیستی مایل به آسیب رساندن به پیشرفتهای هسته ای جمهوری اسلامی است نیز شکی وجود نداشت و ندارد و مقامات این رژیم آشکارا در مورد این اهداف صحبت میکنند.

اما شاید مهمترین “توجیه” ، تولید عددی در رجیستری ویندوز توسط استاکس­نت است که معادل میلادی زمان اعدام فردی بنام حبیب القانیان از یهودیان ثروتمند حامی حکومت منحوس پهلوی و رژیم صهیونیستی و مالک وقت ساختمان پلاسکو در روزهای ابتدائی انقلاب اسلامی است . در صورت وجود این عدد در رجیستری ویندوز ، استاکس­نت با این فرض که رایانه قبلا آلوده شده دیگر آن رایانه را آلوده نمیکند . وجود این عدد نمیتواند کاملا تصادفی باشد .

به عنوان مثال شرکت F-Secure از تولید کنندگان مشهور نرم افزارهای امنیتی در “سوال و جواب”ی دربارهء استاکس­نت چنین مینویسد :

تحلیلهائی از این دست باعث شد در سمینارهای مختلف ، موساد و همچنین واحد 8200 آمان ( یگان فنی – اطلاعاتی دستگاه امنیتی ارتش اسرائیل) را به عنوان تولید کنندگان این بدافزار معرفی نمایند و با تعریف و تمجید بسیار ، این دو ارگان را به عنوان لبه های پیکان تیز جنگ سایبری و دارای پیشرفته ترین فناوریهای نرم افزاری و سخت افزاری لازم معرفی نمایند .

نویسنده و برخی دیگر از دوستان همکار در فضای سایبری کشور ، علیرغم آشنائی با حدود توانائی های فنی رژیم صهیونیستی ، از ابتدا به این مسئله بد گمان بودیم . نوشتن یک ویروس و انتشار آن کار خارق العاده ای نیست اما اگر قرار باشد که هدف ، مراکز غنی سازی اورانیم و انگیزه ، توقف فعالیت آنها باشد ، آنگاه ، آزمایشات متعدد ، دسترسی به فناوریهای شرکتهای مختلف و لجستیک فوق العاده گسترده لازم است که این امور بعید است “به تنهائی” توسط نهادهای امنیتی کوچک مقیاس رژیم صهیونیستی قابل انجام باشند . به همین دلیل جستجو برای مستندات بیشتر آغاز گردید .

شواهدی که در ادامه ارائه میگردد نشان میدهند که به احتمال زیاد استاکس­نت یک محصول امریکائی-اسرائیلی است که محل تست و آزمایش آن داخل سرزمینهای اشغالی ( بخشی از نیروگاه دیمونا ) بوده اما عقبهء فنی این عملیات سایبری توسط ایالات متحده فراهم شده است .

1. در ابتدای سال 2008 ، شرکت زیمنس همکاری گسترده ای را با یکی از آزمایشگاه های دفاعی ایالات متحده بنام Idaho National Laboratory آغاز میکند [6] . این آزمایشگاه به وزارت انرژی دولت ایالات متحده تعلق دارد و هدف تحقیقات انجام شده در آن حفظ ایمنی زیرساختهای انرژی امریکاست .

هدف اصلی این همکاری ، ارزیابی وضعیت فعلی امنیتی سیستمهای اسکادا و اتوماسیون های صنعتی زیرساختهای انرژی به خصوص انرژی هسته ای است . لازم به ذکر است که در ایالات متحده ، وزارت انرژی یکی از 16 عضو “جامعهء اطلاعاتی” محسوب میگردد و یکی از وظایف آن ارائه مشاوره علمی و فنی به سازمانهای امنیتی اصلی مانند سیا و NSA برای مدیریت انرژی و کسب منافع امریکا در حوزهء انرژی است .

• در این سلسله همکاری ، زیمنس اطلاعات جزئی از محصولات متفاوتی که به کشورهای مختلف فروخته است در اختیار این آزمایشگاه گذاشته و در مورد آسیب پذیری های آنها و احتمال نفوذ و تخریبهای ممکن اطلاعاتی را منتقل مینماید .

• این همکاری مشترک بین زیمنس و آزمایشگاه INL ، در چهارچوب یک برنامه همکاری بین ارگانهای جامعهء اطلاعاتی ایالات متحده به منظور افزایش توانائی پدافند سایبری ترتیب داده شده که مدیریت آن بر عهدهء وزارت امنیت داخلی امریکا بوده است . گرچه در سال 2008 هنوز تصدی گری امنیت سایبری در امریکا بر عهدهء این وزارت خانه بود ، اما در سال 2010 با تغییر مناسبات داخلی ، این مسئولیت از این وزارت خانه گرفته شده و به NSA که زیر مجموعه پنتاگون است واگذار گردید .

• در یکی از سمینارهای این برنامه همکاری ، یکی از مهندسین ارشد زیمنس بنام Todd Stauffer نتیجه تحقیقات مشترک تیم خود و INL به مدیریت فردی بنام Marty Edwards به خوبی شرح میدهند که چگونه زیرساختهای اسکادا میتوانند از طریق اینترنت مورد حمله و سوء استفاده قرار گرفته و در صورت وجود فناوری های زیمنس ، این حملات باید به چه صورتی ترتیب داده شوند تا موثر و موفقیت آمیز باشند .

• گرچه در ظاهر به نظر میرسد این همکاری به منظور “افزایش ضریب ایمنی” زیرساختهای امریکا که از محصولات زیمنس استفاده میکنند میباشد اما در عین حال دانش لازم جهت نفوذ به زیرساختهای مبتنی بر زیمنس طی این همکاری به CSSP ( واحد امنیت سامانه های کنترلی وزارت امنیت داخلی – که در زمان بحث متصدی کلیه مسائل امنیتی حوزه سایبری نیز بوده است ) منتقل شده است .

در صورتیکه قرار بود زیمنس مستقیما و بصورت مخفیانه با نهادهای اطلاعاتی امریکا کار کند نیاز به کسب مجوز از دستگاه اطلاعاتی آلمان و همچنین ارائه گزارش به کمیته امنیت ملی مجلس آلمان داشت و مشخص نیست که اگر نهادهای اطلاعاتی امریکا مستقیما چنین درخواستی را مطرح میکردند زیمنس آن را میپذیرفت یا ملاحظات مالی و به خطر نیفتادن کسب و کار پررونق اسکادای خود را با اولویت بیشتری در نظر میگرفت .

در فرآیندهای امنیتی ، استفاده از “پوشش­های آشکار” برای مخفی کردن انگیزه اصلی ( یا بقول معروف پنهان شدن در محدوده دید آشکار با بهره مندی از عوامل فریبنده ای که عادی جلوه میکنند ) یکی از روشهای متداول در کسب اطلاعات و تخلیه منابع با ارزش میباشد . چون نام یک فرآیند “همکاری امنیتی” یا “مطالعه علمی” یا “فرصت تحقیق” و ..است ضرورتا نباید باور کنیم که نیت اصلی نیز همان است به خصوص اگر ارگانهای اطلاعاتی یا بنیادهای وابسته به آنها در مسئله دخیل باشند .

• تحریمهای جدید باعث شدند که دست کم در 2 مورد انتقال “سیستمهای جدید زیمنس” به ایران متوقف شوند . در اوائل 2009 ، 2 سفارش خرید ایران شامل 116 عدد PLC و رایانه های مجهز به نرم افزار و رابط سخت افزاری لازم که از زیمنس خریداری شده بود در فرودگاه دبی متوقف شد .

• درست یک ماه بعد یعنی ژوئن 2009 ، اولین نسخهء استاکس­نت منتشر و به دلیل سوء استفاده از گواهی های الکترونیکی معتبر چینی که با “امضای نرم افزار” اعتبار آن را ضمانت میکنند شناسائی استاکس­نت با تاخیری تقریبا یکساله توسط شرکتهای مطرح تولید کننده ضدویروس مواجه گردید . در حقیقت ، استاکس­نت ، از یکسال قبل از زمانی که حساسیت­ها برانگیخته شد ( ژوئن 2010 ) در حال انتشار بود . مهمترین عامل انتشار استاکس­نت استفاده بی رویه و بی برنامه از رسانه های قابل حمل ( بالاخص فلش یو اس بی ) در اماکن مختلف و همچنین سوء استفاده این بدافزار از آسیب پذیریهای سیستم عامل ویندوز میباشد . البته مسئولین باید به این سوال که چگونه ما هنوز در حیاتی­ترین زیرساختهای کشور از ویندوز – آن هم بدون امکانات به روز رسانی و نرم افزارهای امنیتی و سیاستهای لازم جهت مجوز دسترسی و .. – استفاده میکنیم پاسخ دهند .

عدم وجود فناوری متناسب بومی نیز مزید بر علت گردید تا استاکس­نت متاسفانه نفوذ گسترده ای در داخل کشور پیدا نماید . علیرغم اظهار نظرهای متضاد برخی از مسئولین ، بالاخره رئیس جمهور محترم در مصاحبه ای بر شایعات حمله نرم افزاری به زیرساخت هسته ای کشور مهر تائید زدند گرچه اگر مقامات مسئول نیز موضع گیری های آشکاری نمیکردند ، اسناد منتشر شده روی وب برای درک عمق مسئله کافی بوده و رسانه های ضد انقلاب نیز از حفره های اطلاعاتی حداکثر استفاده را کردند .

• بازرسین آژانس که بارها توسط مقامات امنیتی کشور به جاسوسی از چرخهء هسته ای کشور متهم شده اند بی تردید نقش مهمی در این پازل ایفا کرده اند . اگر فرضیه وجود جاسوس را در نظر نگیریم ( که امر عاقلانه ای نیست اما بهر حال موضوع این بحث نمیباشد ) این فقط بازرسین آژانس بوده اند که به خوبی میدانسته اند جمهوری اسلامی در حال استفاده از نسخه های قدیمی نرم افزار اسکادای زیمنس میباشد . همچنین ، بازرسین میتوانستند اطلاعات مربوط به معماری شبکه ، مدل امنیتی ، روش انتقال اطلاعات بین رایانه ها و “عدم وجود سیاست امنیتی صحیح در مورد کاربرد فلش USB” را به سرویسهای امنیتی ایالات متحده منتقل کرده باشند . بدون تردید این اطلاعات در طراحی و روش عملکرد استاکس­نت موثر بوده است .

• متاسفانه مدیریت ناکارآمد امنیت IT کشور نه قابل انکار است و نه شایستهء چشم پوشی . در تصویری که یکی از عکاسان از داخل اتاق کنترل نیروگاه بوشهر منتقل کرد و لینک آن مدتی توسط رسانه ها به خصوص رسانه های ضد انقلاب مبادله میشد ، تصویر یکی از نرم افزارهای زیمنس را میبینیم که زمان قانونی استفاده از گذشته است و بدون “پروانهء کاربرد” که یعنی به احتمال قریب به یقین بدون امکان “به روز رسانی نرم افزاری” در حال استفاده بوده است . این شاهد نمونه کافی است که نتیجه بگیریم متاسفانه سوء مدیریت فنی در آسیب وارده توسط استاکس­نت موثر بوده است . نیت دشمن و تلاش او در آسیب رساندن یکی از امور دانسته و پذیرفته شده توسط ماست اما در آسیب شناسی رخدادها ، نباید به دلیل وجود دشمن از عوامل آگاه یا ناآگاه داخلی غافل شد . چه بسا این عوامل نقش فیزیکی مهمتری نسبت به عوامل دشمن ایفا کرده باشند که به نظر میرسد در مورد مسئلهء خاص استاکس­نت این امر صادق است .

1. Avner Cohen نویسندهء اسرائیلی کتاب The Worse-Kept Secrets که به تاریخچهء مسائل هسته ای رژیم صهیونیستی میپردازد ( و به دلیل درگیریهای سیاسی داخلی با حزب حاکم ، نگاهی انتقادی بر این کتاب حاکم است [7] ) در مصاحبه ای اعلام کرده است از منابعی که نمیتواند به نام آنها اشاره کند شنیده است برخی از پرسنل بازنشستهء نیروگاه دیمونا جهت یک پروژهء خاص دعوت به همکاری مجدد شده اند و بخش ویژه ای داخل نیروگاه دیمونا روی این پروژهء خاص متمرکز بوده است .

1. معمر غذافی پس از “رها” کردن کامل برنامهء هسته ای خود ، تجهیزات مورد استفاده را نیز به امریکا فرستاد تا خوش خدمتی را تمام کرده باشد . این تجهیزات که شامل سانتریفیوژهای پاکستانی نسل اول موسوم به P-1 نیز میباشند به آزمایشگاهی بنام Oak Ridge National Laboratory ( که مانند INL به وزارت انرژی تعلق دارد ) منتقل شدند تا مورد “آزمایش و بررسی” قرار بگیرند [8] .

1. به گزارش برخی از منابع نیویورک تایمز [6] ، از ابتدای سال 2004 ، گروه ویژه ای در CIA روی فناوریهای هسته ای و آسیب پذیری زیرساختهای آنها متمرکز شده اند . آقای Cohen ادعا میکند این گروه ، و تیم اسرائیلی فوق الذکر گرچه اطلاعات با ارزشی از سامانه های هسته ای مختلف کسب کردند اما چون ایران از معماری اولیه نیمه بومی استفاده کرده و به سمت بومی سازی کامل پیش میرفت ، به اطلاعات منتقل شده توسط بازرسین آژانس نیاز داشتند . به همین دلیل فشار اولیه زیادی روی بازرسی از اماکن صورت پذیرفت تا بخش دیگری از این پازل تکمیل گردد . Cohen میگوید یک منبع اطلاعاتی امریکائی که به شرط ناشناس ماندن با او گفتگو کرده است ادعا کرده رژیم اسرائیل در محیط دیمونا ، تستهای لازم استاکس­نت را روی سانتریفیوژ P-1 که با اطلاعات کسب شده از آژانس خیلی به نسخهء ایرانی نزدیک شده بود انجام داده است .

اما رژیم صهیونیستی برای عملیاتی کردن ویروس نیاز به اطلاعات فنی دقیق ( زیمنس ) ، جلوگیری از ورود سامانه های جدید زیمنس به ایران ( تحریم ) و بهره مندی از جاسوسان محلی و بازرسان آژانس داشته است که این موارد بخشی از خدمات ارائه شده به آنها توسط ایالات متحده میباشد .

جمع بندی

اگر چه ارگان­ها و گروه­های مختلفی در کشور در مسائل مرتبط با امنیت سایبری مشارکت میکنند اما خلاء اطلاع­رسانی فنی ، توجیه افکار عمومی با انتشار داده های صحیح و بهره­مندی از روشهای موثر برای “پیشگیری” از وقایعی مانند این و عدم “پاسخگوئی سریع” به آنها قابل چشم پوشی نیستند . میتوانیم از استاکس­نت درسهای متعددی آموخته و در جهت بهبود رفتارهای پدافندی حوزهء سایبری از آنها استفاده کنیم اما شاید مهمترین درس این باشد که انکار یک مسئله راه حلی برای آن نیست .

امروزه با توجه به قدیمی بودن بسیاری از زیرساختهای نرم افزاری و سخت افزاری شبکه های صنعتی و همچنین تهدیدات روز افزون بکاری گیری تجهیزات و راهکارهای نوین امنیت صنعتی به شدت احساس میشود اما برندهای معتبر بین المللی کمی حاضر هستند با شرایط موجود در کشور در این حوزه حساس همکاری کنند .

اما ایا با گذشت بیش از یک دهه از حمله استاکسنت به ایران زیرساختهای صنعتی حتی نه به حساسی انرژی اتمی فکری برای جلوگیری از تکرار این نوع حملات کرده اند ؟ ایا غیر از ایزوله کردن شبکه که نوعی توهم امنیت ایجاد میکند برای هر سناریویی آمادگی دارند ؟