קספרסקי: התגלתה ההוכחה ש-Flame קשורה לסטוקסנט

לאחר שחוקרי קספרסקי (Kaspersky Labs) גילו את הרוגלה Flame בחודש שעבר וקבעו, כי אין ראייה מוצקה שמוכיחה שמי שפיתח אותה פיתח גם את נוזקות העל הקודמות שפעלו באיראן – סטוקסנט (Stuxnet) ודוקו (Duqu) – אמש (ב') הם הציגו מסקנות חדשות. במסיבת עיתונאים מקוונת שערכו מסרו החוקרים, כי ממצאים חדשים מצביעים על כך שהצוותים שפיתחו את Flame שיתפו פעולה לפחות פעם אחת עם הצוותים שפיתחו את סטוקסנט.

המסקנה הראשונית של חוקרי קספרסקי, שמיוצגת בארץ על ידי פאואר תקשורת, הייתה שהנוזקות השונות פותחו על ידי צוותים שונים מאחר שתפיסת העיצוב של Flame הייתה שונה מהותית מזו של הנוזקות האחרות. אמש, לאחר ניתוח מעמיק של Flame, קבעו החוקרים, כאמור, כי מי שפיתח את Flame שיתף פעולה עם הגורם שפיתח את נוזקות העל האחרות, וייתכן שזהו אותו גורם.

על פי החוקרים, מודול מגרסה של סטוקסנט מתחילת 2009 היה, למעשה, רכיב של Flame. מכאן, אמרו, ניתן להסיק שכאשר סטוקסנט נוצרה, פלטפורמת Flame כבר היתה קיימת ופעילה וכי נעשה בסטוקסנט שימוש בלפחות רכיב אחד לפחות ממנה.

המודול הזה, מסרו החוקרים, שימש להפצת הנוזקה דרך דרייברים של USB. הם ציינו, כי "הקוד שמבצע את הפצת והדבקת המערכות זהה לחלוטין בסטוקסנט וב-Flame". "מודול Flame שימש בסטוקסנט לניצול נקודת תורפה שלא הייתה מוכרת באותה העת ואפשרה הרחבה של הרשאות גישה במערכות", הוסיפו. "ככל הנראה, נקודת התורפה הזו היא MS09-025. בסופו של דבר הוסר המודול מגרסת 2010 של סטוקסנט והוחלף בכמה מודולים אחרים שמנצלים נקודות תורפה אחרות".

עוד מסרו חוקרי קספרסקי, כי בתחילת 2010 התפצלו הצוותים שעבדו על נוזקות העל ועסקו בכך עצמאית. ככל הנראה, הם פעלו יחד רק בשיתוף מידע שקשור לנקודות התורפה Zero Day.

סטוקסנט הייתה נשק הסייבר הראשון שתוכנן לתקיפת מתקני תעשיה. העובדה שהנוזקה תקפה גם מחשבים אישיים היא זו שהובילה לחשיפתה ביוני 2010. זאת, על אף שהגרסאות הראשונות שלה פעלו עוד קודם לכן. הדור הבא של נוזקות העל, דוקו (Docu), התגלה בספטמבר 2011. בניגוד לסטוקסנט, דוקו תפקדה כסוס טרויאני למשימות ריגול וגניבת מידע. במהלך הניתוח של הנוזקות הללו התגלה ששתיהן משתמשות בפלטפורמת קוד חדשה לחלוטין – שפת תכנות מסתורית שנכתבה במיוחד עבורן וזכתה לשם Tilded. הרוגלה Flame נראתה במבט ראשון שונה בתכלית. מאפיינים מסוימים, כמו גודלה העצום של הנוזקה (20 מגה-בייט) והשימוש בשפת התכנות LUA הראו שהיא כלל לא קשורה לדוקו ולסטוקסנט. עם זאת, מסרו החוקרים, ממצאי החקירה החדשים מוכיחים ללא צל של ספק ששפת התכנות הייחודית קשורה גם לפלטפורמת Flame.

"מקטעי קוד דומים"
אלכסנדר גוסטב, מומחה אבטחה ראשי במעבדת קספרסקי, אמר ש-"הגרסה המוקדמת ביותר של סטוקסנט, שאותרה ונוצרה ככל הנראה ביוני 2009, מכילה מודול מיוחד שזכה לשם Resource 207. בגרסה המאוחרת יותר של הנוזקה, מ-2010, המודול הזה הוסר לחלוטין. מודול 207 הוא קובץ DLL מוצפן שמכיל קובץ exe (הפעלה) בגודל 351,768 בייט בשם atmpsvn.ocx. לקובץ הספציפי הזה יש הרבה במשותף עם הקוד בו השתמשו מפתחי Flame – אלגוריתמי פענוח, אובייקטים זהים, שמות קבצים ועוד". "יתירה מזאת", הוסיף, "רוב מקטעי הקוד נראים דומים, או זהים לחלוטין, במודולים הרלוונטיים בסטוקסנט וב-Flame. זה מוביל למסקנה שחילופי המידע בין מפתחי שתי הנוזקות נעשו ברמת קוד המקור. התפקוד המרכזי של 207 בסטוקסנט הוא הפצת הנוזקה ממחשב למחשב על ידי דרייברים של כונני USB וניצול נקודות תורפה בליבת חלונות (Windows) כדי להרחיב את הגישה למידע במערכת. הקוד שאחראי לביצוע הפצה זו זהה לחלוטין בשתי הנוזקות".

גוסטב ציין, כי "למרות העובדות החדשות שגילינו, אנחנו עדיין סבורים ש-Flame ופלטפורמת Tilded הן פלטפורמות שונות לחלוטין, בהן השתמשו לפיתוח כמה נשקי סייבר. כל אחת מהן יכולה להיות ארכיטקטורת תוכנה שונה ובעלת טריקים משל עצמה לביצוע משימות שונות. הפרויקטים אכן פעלו באופן עצמאי ונפרד זה מזה".

עם זאת, אמר, "הממצאים החדשים, שמראים שהצוותים חלקו את קוד המקור במודול אחד לפחות בשלבי פיתוח מוקדמים, מוכיחים שהקבוצות שפיתחו את נוזקות העל פעלו יחד לפחות פעם אחת. מה שמצאנו הוא ראייה חזקה מאוד לכך שסטוקסנט ודוקו מחד ו-Flame מאידך קשורות".

הגילויים האחרונים על סטוקסנט
לפני ימים אחדים דווח, כי סטוקסנט, שפגעה במערכות ההפעלה של הסרקזות (צנטריפוגות) בכורים האטומיים באיראן, פותחה במשותף על ידי ארצות הברית וישראל – כך דיווח הניו-יורק טיימס (New York Times). הדיווח אישש דברים של מומחי אבטחת מידע שהעריכו לפני כן, כי התולעת היא פרי שיתוף פעולה בין שתי המדינות. גורמים רשמיים מסרו, כי סטוקסנט פותחה כחלק מתוכנית מסווגת שכונתה "המשחקים האולימפיים". הפיתוח החל בתקופת הנשיא האמריקני ג'ורג' בוש הבן וממשיכו, ברק אובמה, הורה להאיץ אותו. על פי הנטען, יחידה 8200 של צה"ל הייתה שותפה מלאה בתוכנית.

בדיווח נמסר, כי הישראלים עבדו עם ה-NSA ועיצבו במשותף את סטוקסנט, שהוחדרה למתקן בנתאנז דרך התקני USB על ידי מרגלים שעשו זאת בכוונה ועובדים שעשו זאת בלי כוונה. עם זאת, שגיאות שהיו בקוד הביאו ב-2010 להתפשטותו מחוץ למתקן בנתאנז, ובאותו שלב החלה התולעת להדביק מחשבים אישיים ברחבי העולם.

סטוקסנט היוותה שיא חדש בפיתוח תולעים, בשל המורכבות הרבה בפיתוחה והמשימה הבלעדית ש-"הוטל" עליה לעשות: חבלה באופן הפעולה של הסרקזות ושיגור הוראות שגרמו להן להסתובב במהירות גבוהה מזו שהן היו בנויות לעמוד בה. הווירוס היה מתוחכם מספיק כדי לשגר למפעילי הסרקזות נתונים שגויים לפיהם אין כל תקלה במערך. ואולם, הטכנאים האיראנים נדהמו מדי יום לגלות סרקזות נוספות מפורקות או מקולקלות.

על פי הערכות של פקידי ממשל בארצות הברית, סטוקסנט הצליחה להביא לדחייה של תוכנית העשרת האורניום של איראן בשנה וחצי עד שנתיים. מומחים אחרים העריכו שמדובר בפרק זמן קצר יותר.