מומחים: הרוגלה שתקפה באיראן – "אחת המתוחכמות והמורכבות ביותר שנתגלו עד כה"

"הרוגלה, Flame, הרבה יותר מתוחכמת ממה שראינו עד כה", מסרו מומחי קספרסקי, שגילו את התוכנה ● לדבריהם, "ההיבט הגיאוגרפי, הבחירה הדקדקנית של יעדי התקיפה והשימוש המתוחכם בנקודות תורפה ממצבים את Flame כנשק-על קיברנטי, בר-שימוש על ידי גורמים במזרח התיכון" ● התוכנה החלה לפעול לפני מספר שנים ותקפה מספר מדינות באזור - כולל איראן וישראל

שלב חדש בלוחמה הקיברנטית נגד איראן? Flame (להבה), הרוגלה שתקפה מדינות במזרח התיכון, ובעיקר במדינת האייתוללות, שנתגלתה אתמול (ב') על ידי חוקרי קספרסקי (Kaspersky Lab), ולאחריהם על ידי חוקרי סימנטק (Symantec), היא "אחת התוכנות הזדוניות המתוחכמות והמורכבות ביותר שנתגלו עד כה, הרבה יותר מתוחכמת ממה שראינו עד כה", מסרו מומחי ענקית אבטחת המידע הרוסית.

חוקרי החברה ציינו, כי היכולות הפונקציונליות של הרוגלה החדשה שונות מאלה של קודמותיה – סטוקסנט (Stuxnet) ודוקו – וכי "ההיבט הגיאוגרפי, הבחירה הדקדקנית של יעדי התקיפה והשימוש המתוחכם בנקודות תורפה ממצבים את Flame כנשק-על קיברנטי, בר-שימוש על ידי גורמים במזרח התיכון".

החוקרים תמימי דעים, כי מטרת הרוגלה היא איסוף מודיעין. הם ציינו שהיא הדביקה כמה אלפי מחשבים במדינות ובישויות שונות במזרח התיכון – איראן, ישראל, הרשות הפלסטינית, סוריה, לבנון וסודן. על פי מקורות אחרים, מחשבים בכמה מדינות במזרח אירופה נפגעו ממנה אף הם. השלטונות בטהרן הודו, כי Flame תקפה אותה וציוותה בשל כך על עריכת בדיקות דחופות של מערכות ה-IT שלה. איראן היא המדינה שכמות המחשבים שנפגעו בשטחה היא הגדולה ביותר.

דבר קיומה של הרוגלה נחשף אמנם אתמול, אולם על פי החוקרים, היא החלה לפעול כבר לפני שנים אחדות. מומחי קספרסקי סבורים, כי היא פעלה בראשונה לפני יותר משנתיים – במרץ 2010, וחוקרים אחרים ספציפיים יותר ואומדים את התקופה בחמש שנים. לדברי החוקרים, הסיבה לפער בין תחילת פעולתה של Flame למועד גילוי הוא המורכבות שלה.

נתוני תפוצת Flame במזרח התיכון. מקור: מעבדות קספרסקי

מומחי ענקית האבטחה הרוסית טוענים, כי היא נוצרה בחסות מדינה ולא על ידי האקרים פרטיים או מאורגנים. הם מסיקים זאת ממורכבותה של הרוגלה. אף שלא ציינו זאת, הם התכוונו לומר שלכמה מדינות יש יכולת להשקיע משאבים שכאלה: בראשן נמצאת סין, לאחריהן רוסיה וארצות הברית ויש המצרפים לרשימה גם את ישראל.

יוג'ין קספרסקי, מייסד ומנכ"ל החברה, אמר ש-"הסיכון הטמון בלוחמה קיברנטית הוא אחד הנושאים החמורים ביותר בתחום אבטחת מידע כבר כמה שנים. סטוקסנט (Stuxnet) ודוקו (Duqu) הן שתי חוליות בשרשרת אחת של מתקפות, ונראה ש-Flame מהווה שלב נוסף במלחמה הזו. חשוב להבין שכלי נשק קיברנטיים כגון אלה יכולים לשמש בקלות נגד כל מדינה. שלא כמו בלוחמה קונבנציונלית, המדינות המפותחות יותר הן הפגיעות יותר במקרה זה".

יכולות הרוגלה
Flame טומנת בחובה כמה יכולות: פתיחת דלת אחורית, הוצאת מידע ושליחתו, שינוי הגדרות במחשבים, השגת סיסמאות לטובת גישה "עצמאית", כניסה לצ'טים והעתקת צילומי מסך, הקלטות קול ויירוט תעבורת דואר אלקטרוני. החוקרים ציינו שכמות שורות הקוד בתוכנה הזדונית גדולה פי 20 מזו שבסטוקסנט – עוד ראייה לכך שהיא תוצר מדינתי ולא פרטי. "Flame היא כלי נשק קיברנטי שדורש צוות גדול של מומחים מהשורה הראשונה, מהנדסים בעלי ניסיון רב בתחומי אבטחת המידע והסייבר", הסבירו.

על פי קספרסקי, היא גילתה את Flame לאחר פנייה שקיבלה מאיחוד התקשורת הבינלאומי של האו"ם (ITU). שמה המלא של הרוגלה הוא Worm.Win32.Flame.  לעומתם, מומחי האבטחה של סימנטק קיבלו את העדכון הראשוני אודות התוכנה הזדונית מסוכנות המחקר ההונגרית Crysys והחלו לנתח דוגמאות קוד. מומחי ענקית אבטחת המידע העריכו שמורכבות הקוד של Flame משתווה לאלה של סטוקסנט ודוקו. "בדומה לאיומים קודמים, גם הקוד הזה לא נכתב על ידי אדם אחד, אלא הוא מעשה ידיה של קבוצה מאורגנת היטב, עם כוח אדם שפועלת לפי הנחיות", אמרו.

"התפקיד העיקרי של האיום היא להשיג מידע ונתונים ממערכות נגועות", מסרו החוקרים. לצד הארצות שמחשביהן הותקפו, על פי קספרסקי, הוסיפו אנשי סימנטק את הונגריה, רוסיה, אוסטריה, הונג קונג ואיחוד האמירויות הערביות. "כרגע לא ברור אם האיום פועל גם נגד מגזרי תעשייה ספציפיים או לשיבוש ממוקד של אנשים ספציפיים", ציינו. "עם זאת, הראיות הראשוניות מראות שהמטרות לתקיפה לא יכלו להיות ממוקדות, ורבות מהמערכות שהותקפו היו מחשבים אישיים שנעשה בהם שימוש מרשת האינטרנט הביתית. רבות מההתקפות זוהו על פעולות של אנשים פרטיים, ולא על החברה שמעסיקה אותם".

"ניתוח של רכיבי האיום השונים מעלה שהוא ממשיך להתבצע בשעה זו", ציינו אנשי סימנטק.

יצוין, כי לפני כחודש פרסמה סימנטק את דו"ח איומי אבטחת האינטרנט השנתי שלה (ISTR), ממנו עולה שב-2011 נרשמה עלייה של 81% בהתקפות זדוניות. עוד צוין בו, כי מספר הגרסאות הזדוניות הייחודיות (Unique Malware Variants) צמח ל-403 מיליון ומספר התקפות הרשת שנחסמו בכל יום גדל ב-36%.

מתעניינים באבטחת מידע? הירשמו ל-InfoSec 2012 – ועידת האבטחה הבינלאומית הגדולה בישראל, בהפקת אנשים ומחשבים

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. d-f-d

    אולי כדאי שמר קרספרסקי יפסיק להגן על הכור של צ' קוריאה ושל אירן ואח"כ יטיף את משנתו....

אירועים קרובים