מומחים: הווירוס גרם להשבתת מסופי הנפט האיראניים - ברשת - הארץ

מומחים: הווירוס גרם להשבתת מסופי הנפט האיראניים

האיראנים מודים כי התוכנה הזדונית גנבה כמויות גדולות של מידע מגופים שונים, אבל לטענתם הצליחו לפתח אנטי וירוס

עודד ירון
שתפו כתבה במיילשליחת הכתבה באימייל
עודד ירון

איראן הודתה הלילה כי וירוס Flame (להבה), הצליח לחדור לארגונים במדינה ולגרום נזקים. לפי הדיווח במרכז אבטחת אבטחת המידע במדינה, מאהר, התוכנה גנבה כמויות גדולות של מידע מגופים שונים במדינה. חברת סימנטק, שהיתה בין החברות שדיווחו על כך אתמול, הודיעה כי ישנן ראיות שהווירוס היה מעורב בפעולות מחיקה של דיסקים קשיחים במחשב, פעולה שגרמה לכיבוי של מסופי הנפט האיראני, עליו דווח לפני כמה שבועות.

מאהר מסרה עוד כי התוכנה הצליחה לחמוק מ-43 תוכנות אנטי וירוס שונות למרות גודלה הרב (20 מגה בייט, לעומת כמגה בייט, של Stuxnet), אולם האיראנים טוענים כי הצליחו בסופו של דבר לפתח תוכנה החוסמת את הווירוס.

במאהר, כמו גם בחברות האבטחה סימנטק וקספרסקי שדיווחו על הווירוס אמש, ציינו כי רמת התחכום שלו דומה לזו של דוקו וסטוקסנט שפגעו, לדברי איראן, בתוכנית הגרעין במדינה. כמו כן, על פי מאהר, יש לווירוס קווי דמיון מסוימים לאותן תוכנות, שאיראן האשימה את ארה"ב וישראל באחריות להן.  גם קספרסקי ציינה כי הווירוס השתמש בשיטת חדירה שזוהתה אך ורק בסטוקסנט. לדברי חברות האבטחה השונות, הווירוס פעל במשך לפחות שנתיים אם לא שנים ארוכות יותר.  במחקר של המעבדה לקריפטוגרפיה ואבטחה של אוניברסיטת בודפשט (CrySyS) נמסר כי ייתכן שהוא פעל אף חמש עד שמונה שנים.

להבה או Flamer, כפי שכונה בסימנטק, כולל יכולות רבות, ובהן אפשרויות להדבקה באמצעות אתרים נגועים או ברשת הארגונית, גניבת צילומי מסך, ומידע נוסף ממחשבים, כולל האזנה באמצעות המיקרופונים.

הבוקר אמר השר משה (בוגי) יעלוןבראיון בגלי צה"ל כי המאבק לעצירת הגרעין האיראני מצדיק שימוש בכל האמצעים כולל בווירוסים מתוחכמים. בעיני רבים באיראן ובעולם ההודעה הזו התפרשה כקבלת אחריות לווירוס שהתגלה. אולם, בשעות הצהרים יעלון מיתן את הדברים בהודעה בחשבון הטוויטר שלו. "יש לא מעט מדינות עתירות טכנולוגיה במערב שרואות באיראן, ובעיקר בגרעין האיראני, איום משמעותי, וכנראה יכולות לעסוק בתחום לוחמת הסייבר", כתב.

גם חברות האבטחה הסבירו כי הן מאמינות כי מאחורי הווירוס עומדת מדינה, בין היתר בשל התחכום הרב של התוכנה. קספרסקי ציינה גם כי הגיעה למסקנה זו מפני שלא מדובר בהתקפות שנועדו כדי לצבור כסף, כמו במקרים של פושעים מקוונים או להשחתת אתרים כמו במקרי האקטיוויזם.

למרות  הכתרים שחברות האבטחה קשרו לתוכנה, שמוליק אנג'ל, מנהל הפעילות של סימנטק ישראל, ביקש לצנן מעט את ההתלהבות. "כולם מפארים ומשבחים את הדבר הזה, אבל יש פה כמה דברים שהם טיפה פחות מבריקים ביחס למציאות. זה קוד שעושה הרבה דברים מצד אחד. מצד שני אף אחד מהדברים האלה זה לא משהו שלא עשו בעבר". בנוסף הוא מציין שיחסית קל להתגונן בפני וירוס כזה. גם אם הוא לא היה מוכר בעבר. בנוסף, הוא לא הסתיר את עצמו במקומות במערכת, שהוצאה שלו מהם עלולה לגרום נזק.

גם שי צלליכין, סמנכ"ל טכנולוגיות בקבוצת קומסק, הסביר אתמול להארץ כי הקובץ היה ענק, בניגוד לנוהג של כותבי וירוסים שמנסים להישאר מתחת לרדאר. סטוקסנט למשל הוא בגודל של כמגה. מצד אחד גודל הקובץ עשוי להצביע על חוסר זהירות של התוקף. מצד שני, בניגוד לסטוקסנט שהתפשט הרבה יותר מאסיווית משתוכנן, פה מנגנון ההתפשטות היה מבוקר יותר". לכן ככל הנראה הוא נמצא בשטח מעל שנתיים, ויש רק אוכלוסייה נמוכה של נדבקים, בסדר גודל של כאלף.

בסופו של דבר, אומר צלליכין, הווירוס חדר לכל מיני ארגונים המצוידים בתוכנות הגנה ובהקשחות שונות, ולמרות גודלו החריג, שהיה אמור להקל על הגילוי, הוא הצליח להישאר נסתר מעין במשך לפחות שנתיים. זה אומר שבסופו של דבר התוכנות הללו לא תמיד עובדות, כפי שצויין גם בידי האיראנים. לדברי CrySyS מהונגריה, המבנה הקשה על הגילוי דווקא מפני שהוא מאוד שונה ממה שחברות ותוכנות אבטחה מצפות למצוא בווירוסים.

צלליכין ציין כי בעקבות הגילוי הטכנולוגיות, שהיו משולבות בו עלולות להגיע לידיים נוספות. "כמו שהקוד של סטוקסנט הגיע לביטורנט גם הקוד הזה יגיע במוקדם או מאוחר". וכך הוא ייפול גם לידיים של מדינות הרבה פחות מתקדמות, שייקח להן עוד שנים להגיע לרמת מורכבות כזאת".

איראן אישרה בעבר כי סטוקסנט אכן הצליח לפגוע בתוכנית הגרעין האיראנית. לדברי סימנטק ומומחים אחרים, סטוקסנט תוכנן כדי לגרום לנזק כבד לסרכזות (צנטריפוגות) של האתר להעשרת אורניום בנתאנז, כך העריכו בסימנטק ומומחי אבטחה נוספים. איראן האשימה את ישראל ואת ארה"ב בפיתוח Stuxnet.

דוקו, שפגע אף הוא באיראן, אמנם התגלה לאחר סטוקסנט, אולם מומחי אבטחה העריכו כי היה למעשה כלי מודיעיני בשירות יוצרי כלי התקיפה. איראן הודתה בשנה שעברה כי נפגעה גם בידי דוקו וטענה כי הצליחה להשתלט עליו.

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ