הווירוס Flame הצליח להתחזות לתוכנה של מיקרוסופט

הגורמים העומדים מאחורי הווירוס המתוחכם הצליחו לגלות פירצה באלגוריתם ישן של החברה; מומחה אבטחה: מדובר בשיטה מתוחכמת בהרבה מזו ששימשה בסטוקסנט

עודד ירון
שתפו בפייסבוק
שתפו כתבה במיילשליחת הכתבה באימייל
עודד ירון

מיקרוסופט הודיעה כי הווירוס המתוחכם להבה (Flame או Flamer) הצליח לזייף תעודות שלה באופן שגרם לו להיראות כמו תוכנה לגיטימית של החברה.

מיקרוסופט כתבה כי גילתה כי Flame ניצל שירות התחברות מרחוק לארגונים, שהשתמש באלגוריתם הצפנה ישן. על ידי השימוש בפגם באלגוריתם הזה הווירוס הצליח לגרום לתוכנה להיראות כאילו היא תוכנה של מיקרוסופט.

כזכור גם Stuxnet השתמש בזיוף כדי להתחזות לגורם לגיטימי, אולם הוא ניצל תעודות SSL מזויפות שהושגו על ידי חדירה לחברה שמנפיקה אותן. כך גם קרה במקרה של הפריצה האיראנית לחברת Diginotar ההולנדית, שבה נוצרו תעודות מזויפות של אתרי הסי-איי-אי, המוסד וה-MI6.

תעודות SSL מאפשרות לדפדפן ליצור תקשורת מאובטחת עם שרתי ה-Web של אתרים שאליהם נכנס הגולש. תעודות ה-SSL נוצרות על ידי חברות המספקות שירות אימות של התעודות ונחשבות בד"כ לגורם אמין, כמו וריסיין.

מטה ה-NSA בפורט מיד, מרילנד. בארה"ב טוענים כי רק הם יכלו ליצור את Flameצילום: מוויקיפדיה, NSA

רביב רז, מנכ"ל חברת האבטחה הייבריד סקיוריטי, הסביר ל"הארץ" כי מה שנעשה ב-Flame מתוחכם פי כמה מהאירועים ב-Diginotar. זיוף, או גניבת תעודות כפי שזה מכונה, מצריך בסך הכל שימוש בווירוס כדי לחדור ולדאוג שהחברה תייצר לו תעודות. אבל במקרה הנוכחי מדובר בזיהוי פגם באלגוריתם ההצפנה -  מה שמוכיח כי היו מעורבים בעניין אנשי מקצוע בעלי ידע מתקדם בקריפטוגרפיה והבנה מעמיקה של מערכות מיקרוסופט.

כזכור, מומחים רבים אמרו כי לא ייתכן שווירוס להבה נוצר על ידי גורם מלבד מדינה מתקדמת. גורמים אמריקאיים אף טענו כי לא ייתכן ש-Flame נוצר במדינה מלבד ארה"ב.

הדיווח של מיקרוסופט מגיע כחלק מהמבול של הדיווחים המתגלגלים ככל שיותר ויותר חברות וארגונים חוקרות את הווירוס. קספרסקי למשל, שהיתה מהראשונות לדווח על הווירוס, חשפה היום פרטים נוספים על אופן פעולתו של Flame, ששימש לריגול באיראן, והיה מעורב בשיבוש  מסופי הנפט של איראן.

בין היתר התברר כי הווירוס חיפש אחר קבצים של תוכנת השרטוט אוטוקאד (AutoCAD) המשמשת גם ליצירת שרטוטי תכנונים תעשייתיים. זאת נוסף לקובצי טקסט ו-PDF.

קספרסקי ציינה עוד כי תשתית השליטה והבקרה של Flame, שהיתה פעילה במשך שנים, ירדה מן האוויר באופן מיידי לאחר חשיפת קיומה של Flame בשבוע שעבר. היא היתה מורכבת מכ-80 דומיינים שנרשמו בין 2008 ל-2012. השרתים של הווירוס היו ממוקמים במדינות שונות ברחבי העולם, ובהן הונג קונג, טורקיה, גרמניה, פולין, מלזיה, לטביה, בריטניה ושווייץ.

עוד ציינה החברה כי נראה שגירסת ה-64 ביט של חלונות 7, היתה עמידה יחסית נגד הווירוס.

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ