וירוס "להבה" נחשף

וירוס מחשבים חדש בשם "להבה" (Worm.Win32.Flame) שהתגלה ביממה האחרונה ברחבי המזרח התיכון חושף פעם נוספת כי התשתיות הקריטיות ומערכות המחשוב של אף מדינה אינן חסינות בפני פריצה. כמו תולעת הסטונקס לפניו, גם וירוס הפליים פגע במחשבים במדינות ברחבי המזרח התיכון וביניהן אירן, ישראל, סעודיה, מצרים, סוריה וסודן - כך על פי דיווח ממעבדת המחשבים של חברת קספרסקי. הוירוס התגלה במהלך בדיקה שביצעה חברת קספרסקי עם איגוד הטלקומוניקציה הבינלאומי ITU ובמהלכה הסתבר כי הוירוס יכול לגנוב מידע בעל ערך, לרבות אך לא רק להציג תוכן המוצג על המסך, להשיג מידע על מערכות ממוקדות, קבצים מאוחסנים, נתונים של אנשי קשר ואף הקלטה של שיחות שמע.

משה ישי, מנכ"ל קומסק יעוץ, מקבוצת קומסק מציע מספר תובנות ביחס לתוכנה הזדונית שתקפה יעדים באיראן ובמדינות ערב ונחשפה היום:

ראשית, יש לסייג את הדברים היות ולאף אחד בארץ אין עותק של התולעת המאפשר לעשות עליה מחקר ולכן הכל פרשנויות. מדובר בתוכנה מאוד מורכבת. גודלה כ- 20 מגה בעוד שסטוקסנט מוערכת בפחות ממגה. המורכבות (יחד עם התחכום של התולעת) היא בין השאר מצביעה על מורכבות הגורם שעומד מאחורי התולעת ואשר מוערך ברמה של מדינה ולא קבוצות האקרים או קבוצות פשע קיברנטי.

מאידך, העובדה שהיא תופסת 20 מגה מהזכרון (דבר שלא מאפיין תולעים מסורתיות שמנסות להישאר מתחת לרדאר) מעידה על סוג של שגיאה או לחילופין יוהרה של התוקף, שלא חשב שיתפס בכזאת קלות. בגדול, אנו מעריכים שיקח שנים לנתח מה באמת היה שם. התולעת נמצאת לפחות כשנתיים בשטח (ישנם סימנים גם מוקדמים יותר) ועם נוכחות בעיקר במזרח התיכון (ראו תמונה מצ"ב) עם דגש על איראן, הרשות הפלסטינית וערב הסעודית (בסדר הזה).

זוהי נוזקה שממוקדת גיאוגרפית ואין לו התפלגות נורמטיבית של וירוס. זה כמובן יגרום לעיתונות זרה לנסות לשייך את זה לישראל בצורה כזו או אחרת. לא נראה שיש קשר גדול בין צוותי הפיתוח של התולעת הזו ושל סטוקסנט ומדובר בפרויקטים מקבילים (בניגוד לסטוקסנט ודוקו שהיו מאותה משפחה). הנוזקה מיועדת לריגול ואיסוף מודיעיני באמצעות ציטוט דרך המיקרופון, צילומי מסך של תוכנות מייל, מסרים מידיים וגישה מקומית למחשב / מחשבים אחרים ברשת. התוכנה לא יועדה (כפי שנראה כרגע) לבצע נזק (שוב, בניגוד לסוטקסנט). קרוב לוודאי שיש לה תפקודים נוספים שעדיין לא גילינו אותם.

מדברים כרגע על כ- 1000 מחשבים מודבקים כאשר מנגנון ההדבקה של התולעת היה מוגבל / מרוסן ע"מ למנוע התפשטות מבוקרת. אין כרגע מגזר ספציפי שניתן להצביע עליו כיעד. חלק מהרכיבים מוצפנים, חלקם מוצפנים חלש. כנראה שיש גורמים מסויימים שרצו שיגלו את הרכיבים הללו. ישנם חלקים בתוך התוכנה הזו שהם קומפוננטות שכבר מוכרות משימושים בעבר. רמת ההתקנה היא בסביבה שלא דורשת תעודות דיגיטליות: בסטקסנט השתמשו בתעודות דיגיטליות מזוייפות מה שאין כאן. השימוש בתעודות מזויפות משאיר את הנוזקה מתחת לרדאר. פה לא השתמשו בזה, מה שיכול להעיד על כך שלא חששו או שחשבו שאין צורך.

לטעמי פחות שמו לב ל"ראש הנפץ" (כמות ה- Zero Days) של אותה תולעת. כרגע, משייכים לה שני דברים שכבר נעשה בהם שימוש על ידי סטוקסנט, אבל בהחלט יתכן שחקירה נוספת תגלה דברים נוספים, מה שלבטח יצביע על כמות המאמצים שהושקעו מאחורי פרויקט המחקר והפיתוח של התולעת. ברמה הפרקטית, מכיוון שלא מדובר בסגמנט ברור שהותקף, וההתקפה הייתה באיזור שלנו - ארגונים יצטרכו לבחום בצורה קונקרטית האם הם נדבקו בתולעת.

לטעמי עוד ארוע משמעותי בסדרי הגודל של סטוקסנט, שמראה לנו מצד אחד, עד כמה מימד הסייבר חשוב ומשמעותי גם עבור מדינות ומשמש ככלי פרקטי הן לטובת איסוף מודיעין והן לטובת תקיפה, ומצד שני עד כמה אמצעי אבטחת המידע המסורתיים שנעשה בהם שימוש נמצאים כיום צעד אחד מאחור. אפשר כאמור לצאת מתוך נקודת הנחה שבכל הארגונים המותקפים היו שרשרת של הגנות מסורתיות שאף אחד מהם לא סיפקה פתרון (אנטי וירוס, חומת אש, IPS וכו').