מומחי אבטחה: התגלה וירוס חדש שפגע באיראן, לבנון וברשות הפלסטינית

לדבריהם, התוכנה מתוחכמת לפחות כמו הווירוס סטוקסנט, שפגע בתוכנית הגרעין באיראן; היא שימשה לריגול ואף לציתות דרך המיקרופונים של המחשבים

חוקרי אבטחה בחברות קספרסקי וסימנטק הודיעו כי גילו תוכנה זדונית ששימשה לריגול אחר גופים ברשות הפלסטינית, איראן, סוריה ומדינות נוספות במזרח התיכון ובאירופה. להערכת החברות, התוכנה המתוחכמת, המכונה Flame או Flamer, פותחה בידי ארגון מדינתי ולא קבוצת האקרים עצמאית. בעוד שקספרסקי לא עשתה הבחנה בין ישראל לרשות הפלסטינית, בסימנטק קבעו כי עיקר המתקפות זוהו ברשות הפלסטינית, בלבנון ובאיראן.

קספרסקי סיפרה כי החלה בבדיקה בעקבות פנייה של איחוד התקשורת הבינלאומי של האו"ם, וכי מדובר ב"אחת מהתוכנות הזדוניות המתוחכמות ביותר שהתגלו". לדבריה, מדובר בכלי תקיפת סייבר מתוחכם יותר מ-Duqu, תוכנת הריגול ששימשה, על פי דיווחים שונים, ככלי לאיסוף מודיעין לצורך תקיפות באמצעות Stuxnet, הווירוס שפגע במתקני הגרעין האיראניים.

גוף אבטחת מידע באיראן אישר כי זיהה את התוכנה במהלך המחקרים שערך בעקבות מתקפות דוקו וסטוקסנט. סימנטק ציינה כי חלק משמות הקבצים בווירוס החדש שהתגלה היו קיימים גם בווירוס שתקף את תעשיית הנפט באיראן.

לדברי מנכ"ל החברה ומייסדה, יוג'ין קספרסקי, "סטוקסנט ודוקו היו שייכות לסדרה אחת של תקיפות, שעוררו חששות בנוגע לנושאי אבטחת סייבר בכל העולם". לדבריו, "נראה כי Flame היא שלב נוסף במלחמה זו, וחשוב להבין כי כלים כאלה יכולים לשמש בקלות נגד כל מדינה".

מפת התקיפות של Flameקספרסקי

קספרסקי ציינה כי בעוד שהיכולות של התוכנה שונות מאלה של דוקו וסטוקסנט, "הגיאוגרפיה והבחירה הזהירה של מטרות, בשילוב עם שימוש בפרצות תוכנה ממוקדות, מציב אותה בשורה אחת עם 'נשקי על' ששחקנים ידועים במזרח התיכון משתמשים בהם". כמו כן, מומחי האבטחה הוסיפו כי מאפיינים מסויימים בתוכנה מעלים את הסברה כי ליוצרי הווירוס החדש היתה גישה לטכנולוגיה ששימשה את יוצרי דוקו וסטוקסנט. היא ציינה כי אחת משיטות ההדבקה ש-Flame השתמשה בהן התגלתה בעבר אך ורק בסטוקסנט, בנוסף התוכנה השתמשה בפרצה שהתגלתה במחשבים המחוברים למדפסות, שגם סטוקסנט תוכנת לתקוף.

קספרסקי הסבירה בפוסט מפורט בבלוג שלה כי היא מאמינה שהתוכנה פותחה במקביל לדוקו ולסטוקסנט, ולא בהכרח בידי אותו צוות. החברה הסבירה כי מדובר בתוכנה ענקית במונחים של וירוסים (20 מגה בייט), שבדרך כלל מסתמכים על היותם קטנים כדי לחמוק מזיהוי. לדברי החברה, התוכנה כוללת מאפיינים של סוס טרויאני, תולעת המפיצה את עצמה, והיא אפשרה למפעיליה לפתוח "דלתות אחוריות" במערכות מחשבים, כדי לאסוף מידע ולהעביר אותו לשרתים מרוחקים - שכמה כאלה היו קיימים ברחבי העולם. בנוסף, התוכנה מסוגלת להקליט אודיו באמצעות המיקרופונים המותקנים במחשבים (אם הם קיימים). בנוסף היא מסוגלת לצלם צילומי מסך, במיוחד כאשר "יישומים מעניינים" כמו תוכנות מסרים מיידיים מופעלים, ולהתחבר למכשירי בלוטות באזור.

קספרסקי מעריכה כי ההדבקות הראשוניות בתוכנה נעשו באופן ממוקד באנשים וארגונים (מה שמכונה Spear phishing), אולם היא לא מצאה את ההוכחות המלאות לכך. החברה ציינה כי בניגוד לסטוקסנט, שכוונה באופן מיוחד נגד ציוד שליטה ובקרה מרחוק (SCADA), אי אפשר לאפיין באופן מיוחד את הגופים נגדם מופעלת התוכנה. הם כוללים בין היתר אנשים פרטיים, ארגוני חינוך וגופים שונים נוספים. לדברי חברות האבטחה וגם לדברי איראן, התקיפות הראשונות נעשו כבר ב-2010.

חברות האבטחה הסבירו כי הן מאמינות כי מאחורי הווירוס עומדת מדינה, בין היתר בשל התחכום הרב של התוכנה. קספרסקי ציינה גם כי הגיעה למסקנה זו מפני שלא מדובר בהתקפות שנועדו כדי לצבור כסף, כמו במקרים של פושעים מקוונים או להשחתת אתרים כמו במקרי האקטיוויזם.

איראן אישרה בעבר כי סטוקסנט אכן הצליח לפגוע בתוכנית הגרעין האיראנית. לדברי סימנטק ומומחים אחרים, סטוקסנט תוכנן כדי לגרום לנזק כבד לסרכזות (צנטריפוגות) של האתר להעשרת אורניום בנתאנז, כך העריכו בסימנטק ומומחי אבטחה נוספים. איראן האשימה את ישראל ואת ארה"ב בפיתוח Stuxnet.

דוקו, שפגע אף הוא באיראן, אמנם התגלה לאחר סטוקסנט, אולם מומחי אבטחה העריכו כי היה למעשה כלי מודיעיני בשירות יוצרי כלי התקיפה. איראן הודתה בשנה שעברה כי נפגעה גם בידי דוקו וטענה כי הצליחה להשתלט עליו.

Read this article in English: New computer virus hits Iran, West Bank in unprecedented cyberattack

הירשמו עכשיו כדי לקבל עדכון יומי מאתר הארץ
נא להזין כתובת מייל חוקית
ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות