מומחים: אין ספק שיש קשר בין Flame לסטוקסנט ודוקו - תוכנות - הארץ

מומחים: אין ספק שיש קשר בין Flame לסטוקסנט ודוקו

גילויים חדשים מגלים כי הדמיון בין הווירוסים שפגע באיראן מגיע עד רמת קוד המקור של התוכנות

עודד ירון
שתפו כתבה במיילשליחת הכתבה באימייל
עודד ירון

לאחר כשבועיים של הערכות וניחושים מושכלים, היום טוענת חברת קספרסקי כי הווירוס להבה (Flame או Flamer) אכן קשור קשר הדוק לווירוסים Stuxnet ו-Duqu. למעשה, לדברי חוקרי החברה, רכיב שנחשב עד כה כשייך ל-Stuxnet היה למעשה חלק מ-Flame.

כזכור רבים העריכו במלתחילה כי ייתכן שקיים קשר, אולם איש לא הצליח להוכיח זאת עד כה. ההבדלים בין Flame לתוכנות שהתגלו לפניה כללו בין היתר את הגודל העצום של Flame, ואת שפת התכנות LUA שאולי שימשה גם לאנגרי בירדס, אבל לא לסטוקסנט או לדוקו. בגללם רבים העריכו כי גם אם יש קשר בין שתי התוכנות, הן פותחו ככל הנראה בידי צוותים מקבילים.

כעת טוענת קספרסקי, כי הרכיב החדש המדובר, שנקרא Resource 207, מוכיח שהדמיון בין התוכנות היה ברמת קוד המקור שלהן, ועל כן אין ספק כי היה קשר הדוק בין המפתחים, לפחות בחלק מהעבודה. התפקוד המרכזי של 207 ב-Stuxnet הוא הפצת התוכנה ממחשב למחשב על ידי כונני USB וניצול נקודות תורפה בחלונות כדי להרחיב את הגישה למידע במערכת. הקוד שאחראי לביצוע הפצה זו הוא זהה לחלוטין בסטוקסנט וב-Flame.

יוג'ין קספרסקי, מנכ"ל החברה, אמר ביום חמישי בפורום סגור של בכירים בתחום הסייבר כי בבדיקות הקוד של Flame וסטוקסנט התגלו פרצות.לדבריו, הפרצות היו עשויות לשמש לריגול אחרי הגופים שהפעילו את התוכנות.

מומחי אבטחת מידע בקספרסקי, סימנטק, ובחברות רבות אחרות אמרו כי Flame וסטוקסנט הם בין הווירוסים המתוחכמים שהתגלו אי פעם. לדבריהם לא ייתכן שגורם מלבד מדינה הצליח ליצור אותן. זאת בשל העלות הגבוהה, שעשויה לדברי קספרסקי להגיע עד עשרות מיליוני דולרים. התחכום הרב של להבה הודגם בין היתר בהודאת  מיקרוסופט כי Flame ניצל אלגוריתם הצפנה ישן של החברה כדי להתחזות לתוכנה לגיטימית שלה.

על פי הערכות רוב המומחים, Flame ששימש לריגול באיראן, אך לא לתקיפה, היה מעורב בשיבושים של מסופי הנפט במדינה. בין היתר התברר כי הווירוס חיפש אחר קבצים של תוכנת השרטוט אוטוקאד (AutoCAD) המשמשת גם ליצירת שרטוטי תכנונים תעשייתיים. לדברי קספרסקי במסיבת העיתונאים ייתכן כי גם היו לו אמצעי תקיפה, אולם הם טרם התגלו.

סטוקסנט (Stuxnet) היה נשק תקיפה שנועד לשבש ציוד שליטה ובקרה תעשייתי (Scada) של חברת סימנס ששימש בין היתר בתוכנית הגרעין האיראנית, ולשם הוא כוון, אם כי הוא משמש גם לתחומים רבים נוספים. הווירוס השלישי , Duqu, שימש גם הוא ככלי ריגול, בדומה ל-Flame.

תגובות

הזינו שם שיוצג כמחבר התגובה
בשליחת תגובה זו הנני מצהיר שהינני מסכים/ה עם תנאי השימוש של אתר הארץ