קספרסקי חושפת את המיני פליים

הקוד הזדוני תוכנן לפעולות ריגול ממוקדות לאחר שהתבצע איסוף ראשוני. ניתן להגדירו כמתקפת הגל השני

(shutterstock.com)

מעבדת קספרסקי הכריזה היום על חשיפת miniFlame, קוד זדוני גמיש במיוחד שנועד לגנוב מידע ולשלוט במערכות נגועות לצרכי פעולות ריגול מקוונות ממוקדות במיוחד. ה- miniFlame, אשר גם ידוע כ- SPE, נחשף על ידי מעבדות קספרסקי במהלך יולי 2012, ונועד במקור לשמש כמודול של פליים. עם זאת, במהלך ספטמבר 2012, ביצע צוות המחקר של קספרסקי מחקר עומק של מערכות השליטה והבקרה (C&C) של ה-Flame, ממנו עולה כי מודול ה- miniFlame הוא למעשה כלי אשר יכול לפעול כקוד זדוני עצמאי, או לפעול במקביל כתוסף ל- Flame ול- Gauss.

הניתוח של ה- miniFlame חשף מספר גרסאות שנוצרו בשנים 2010 ו- 2011, כשחלק מהן עדיין פעילות. הניתוח גם חשף עדויות לשיתוף פעולה בין יוצרי ה-Flame וה-Gauss, כששני היישומים הזדוניים עושים שימוש ב- miniFlame כסוג של תוסף במסגרת פעולתם. הממצאים העיקריים: miniFlame מתבסס על פלטפורמה כשל הפליים. הוא יכול לפעול ככלי ריגול סייבר עצמאי או כרכיב בגאוס או בפליים. כלי הריגול פועל כדלת אחורית לצרכי גניבת מידע וגישה ישירה למחשבים נגועים. פיתוח ה- miniFlameהחל ב-2007 והמשיך עד סוף מרץ 2011, כשעל פי ההערכות, נוצרו לו גרסאות רבות. נכון להיום, זיהו חוקרי מעבדת קספרסקי שש גרסאות, רובן מדור רביעי וחמישי. שלא בדומה לפליים ולגאוס, שרשמו מספר גבוה של הדבקות, מספר ההדבקות המיוחס ל- miniFlame נמוך יותר. על פי נתוני מעבדת קספרסקי, מדובר ב-10-20 מחשבים נגועים, כאשר המספר הכולל של מחשבים נגועים ברחבי העולם מוערך ב-50-60. 

מספר ההדבקות בשילוב יישומי הריגול המיוחדים שלו ועיצובו הגמיש מרמזים כי הוא נועד לטרגט מטרות ריגול ממוקדות, וככל הנראה הופעל על מחשבים נגועים בפליים או גאוס. גילוי חשיפת ה- miniFlame התרחש במהלך חקירת עומק של הפליים והגאוס. ביולי 2012 זיהו חוקרי מעבדת קספרסקי מודול נוסף של גאוס, בשם הקוד "ג'ון" וגילו התייחסות למודול הזה בקצבי הקונפיגורציה של פליים. ניתוח שרתי השליטה והבקרה של פליים שבוצע בספטמבר, תרם להבנה כי מדובר למעשה בתוכנה זדונית נפרדת, שניתן להשתמש בה גם כמעין תוסף. יכולתו של ה- miniFlame לפעול כתוסף היא זו שקושרת אותו למעשה ליוצרי הפליים והגאוס.

מאחר והקשר בין יוצרי הפליים וה- Stuxnet/Duqu כבר נחשף, ניתן להסיק כי כל האיומים המקוונים המתקדמים הללו מגיעים למעשה מאותו "מפעל" לייצור נשק סייבר. דרך ההדבקה המקורית של המיניפליים עדיין לא נקבעה, אך אם לוקחים בחשבון את הקשר הוודאי בין ה-miniFlame, הפליים והגאוס, אפשר להניח כי ה- miniFlame הותקן על מכונות שכבר נפגעו על ידי השניים האחרים.

ברגע שהותקן, ה- miniFlame פועל כדלת אחורית ומאפשר למפעילי קוד זדוני גישה לכל קובץ במחשב הנגוע. בנוסף, התוסף מתגאה גם במספר יכולות גניבת מידע נוספות, כגון יצירת צילום מסך של המחשב הנגוע בזמן הרצת יישומים מסויימים - דפדפנים, יישומי אופיס, אקרובט רידר, תוכנות מסרים מידיים ויישומי FTP. ה- miniFlame משדר את המידע הגנוב באמצעות חיבור לשרתי הפיקוד והשליטה (אשר יכולים להיות ייחודיים לתוסף או משותפים עם אלה של הפליים).

בנוסף, על פי בקשה ממערכת הפיקוד והשליטה של הפליים, ניתן לשלוח למחשב הנגוע מודול נוסף לגניבת מידע, המדביק את כונני ה-USB ומשתמש בהם כדי לאחסון נתונים הנאספים, ללא צורך בקישור לאינטרנט. "ה- miniFlame הוא כלי התקפה מדויק במיוחד. סביר להניח כי זהו נשק סייבר ממוקד שניתן להגדירו כהתקפת גל שני. בגל הראשון, נשלחים הפליים או הגאוס כדי להדביק מספר קורבנות גדול ככל שניתן ולאסוף כמות גדולה של מידע. לאחר שהמידע נאסף ונבדק, מוגדרים ומזוהים יעדיי התקיפה המעניינים שיש לטרגט במיוחד, ובגל התקיפה השני נשלח ה- miniFlame לצורך מעקב וריגול עומק. הגילוי של מיניפליים מספק לנו עדות נוספת באשר לשיתוף הפעולה בין היוצרים של התוכנות הזדוניות המשמעותיות ביותר בלוחמת הסייבר: Stuxnet, Duqu, Flame ו- Gauss", אומר אלכסנדר גוסטב, מומחה אבטחת מידע ראשי בקספרסקי.

You might be interested also

Photo courtesy of Ametrine

Ametrine Technologies - Advanced Camouflage for the Modern Battlefield

Ametrine Technologies develops solutions for camouflage from thermal and night vision sensors. "We estimate that within a decade, all soldiers and platforms on the battlefield will be equipped with some form of multi-spectral camouflage," said Amiram Levinberg, co-founder of JAL Ventures and chairman of Ametrine. This article is sponsored by Ametrine Technologies