משה ישי, קומסק: "הגילוי של גאוס מעיד שיש סדרה שלמה של נוזקות מתקדמות שנועדו לצרכי ריגול"

אחרי סטוקסנט (Stuxnet) ו-Flame, הגיע תורה של נוזקה חדשה – גאוס (Gauss): חוקרים של קספרסקי (Kaspersky Labs) חשפו בסוף השבוע את קיומה של הנוזקה, שככל הנראה חדרה למחשבים של בנקים בלבנון. על פי ההערכות של חוקרי קומסק, שבדקו אותה, מדובר באחת מסדרה שלימה של נוזקות שנועדו לריגול בין מדינות, בעיקר במזרח התיכון.

החוקרים של קספרסקי בטוחים שאלה שיצרו את גאוס יצרו גם את Flame, שנתגלתה במאי האחרון ותקפה מחשבים במדינות שונות במזרח התיכון, ובעיקר באיראן. נטען עליה, כי מדובר ב-"אחת התוכנות הזדוניות המתוחכמות והמורכבות ביותר שנתגלו עד כה, הרבה יותר מתוחכמת ממה שראינו עד כה". היא אף כונתה על ידי החוקרים "נשק על קיברנטי", עקב "ההיבט הגיאוגרפי, הבחירה הדקדקנית של יעדי התקיפה והשימוש המתוחכם בנקודות תורפה".

על פי חוקרי ענקית אבטחת המידע הרוסית, גאוס היא תוכנת ריגול, שנועדה בעיקר למגזר הבנקאי. היא נוצרה, ככל הנראה, באמצע 2011. התפוצה שלה מאוד ממוקדת ומתרכזת בעיקר בלבנון, אולם גם בישראל וברשות הפלסטינית.

החוקרים מצאו שגאוס שונה אמנם מ-Flame, אולם יש בשתי הנוזקות גם מרכיבים דומים. כך, כמו פליים, גם גאוס מסוגלת לאסוף מידע מדפדפנים, לרבות היסטוריה של גלישה באתרים וסיסמאות משתמשים. הרוגלה גם גונבת מידע ממחשבים נגועים ומידע ממשקי תקשורת.

חוקרי קספרסקי מסרו, כי גאוס גנבה מידע מ-2,500 לקוחות של בנקים לבנוניים, בהם בנק אוף ביירות (Bank of Beirut) ובלומבנק (BlomBank), כמו גם של סיטיבנק (Citibank) ו-PayPal. לגאוס עצמה יש רכיב שאוסף מידע רגיש הנוגע לזהויות משתמשי אינטרנט של בנקים בלבנון. החוקרים טענו, כי "זו הפעם הראשונה שאנחנו רואים שתוכנת ריגול ואיסוף מתקדמת (ממשפחת סטוקסנט, דוקו ו-Flame) גם מייעדת את עצמה לאיסוף מידע בנקאי-פיננסי".

"ההצפנה בגאוס – רצינית וחזקה מבעבר"
חוקרי קומסק, שכאמור – בדקו את גאוס, מסרו שהיא "מצפינה את המידע אותו היא אוספת בצורה רצינית וחזקה יותר משימושי נוזקות אותם הכרנו בעבר, והמידע נועד להיות מועבר באמצעות דיסק און קי. התוכנה ממענת את עצמה למערכת ספציפית, שטרם התגלתה, ולכן – ייתכן שכל עניין הבנקים נועד רק לצרכי הסחה".

עוד הם מסרו, כי "אף על פי שקוד המקור נחשף ונותח, מרבית הרכיבים עדיין לא פוענחו עד תום ולא ידוע מהי מטרתם של הרבה רכיבים, שכן הם תמימים לכאורה. היא ממענת את עצמה עבור מערכת ספציפית אי שם במרחב, כנראה בלבנון". לדבריהם, הנוזקה מפעילה מנגנון שאוסף מידע על כל שרתי בסיסי הנתונים SQL של מיקרוסופט (Microsoft) ולאחר מכן מנסה להצפין את המידע – פעולה שאיננה מוכרת מהנוזקות הקודמות.

אחד האלמנטים המעידים על הקשר של גאוס ל-Flame הוא, לפי אנשי קומסק, שם המשתמש של אחד מרכיבי הנוזקה – Flamer. הם ציינו, כי במהלך הפיתוח שלה, המפתחים היו משעשעים את עצמם וכינו מודולים מסוימים בה על שמות מתמטיקאים: גאוס, לה-גרנג', גודל, קורט ואחרים.

מפתח ההצפנה של המידע שמוחזר מהשרת הוא באמצעות XOR – הצפנה חלשה, שניתנת לפענוח בנקל – ומפתח במיקום 0xACDC, ציינו החוקרים. לדבריהם, "מצחיק לראות שזה המפתח, משום שזה מזכיר את הדיווח שהיה באחרונה לגבי מחשבים במעבדות באיראן שהיו נגועים בווירוס ופתאום החלו להשמיע מוזיקה של להקת AC/DC".

השרתים אליהם מועבר המידע הוקמו באחרונה – במרץ 2012, על פי אנשי קומסק. הם העריכו, כי כיוון שניתן "לערוך ולשנות" את תאריך היצירה, ייתכן שמישהו רצה שנחשוב שהמידע החל להיאסף רק אז, בעוד שבפועל הוא החל להיאסף כמה חודשים לפני כן.

לדברי משה ישי, מנכ"ל קומסק ייעוץ מקבוצת קומסק, "הגילוי של גאוס מאשש את הנחתנו מזה כמה חודשים, כי מדובר בתופעה רווחת וכי יש סדרה שלמה של נוזקות מתקדמות שנועדו לצרכי ריגול, ואולי גם יותר מכך. זו סדרה – לא תופעה חד פעמית. המבנה של הנוזקה הנוכחית מעיד על המודולריות שלה וכן על יסודות ארכיטקטוניים דומים לנוזקות המתקדמות האחרות: סטוקסנט, דוקו ו-Flame".