המגה וירוס הבא: flame מסתובב פה כבר שנתיים, אבל אף אחד לא ידע על כך
התוכנה הזדונית Flame, שפגעה במערכות המידע האיראניות, התגלתה על ידי מספר חוקרי אבטחה לאחר שנתיים שבה היא מפיצה עצמה ברשת. המטרה העיקרית שלה היא לשמש ככלי ריגול הפוגע רק במחשבים מסויימים, על פי בחירת המפעילים המרוחקים. חשד: מאחורי הפיתוח עומדת מדינה
וירוס בפעולה. flame פגע עד כה ב-1,000 מחשבים flickr, cc-by, Patrick Hoesly
פליים הסתובבה בחופשיות במהלך השנתיים האחרונות ברחבי הרשת, מאז מרץ 2010 ונחשבת לתוכנה כה זדונית, שאף תוכנת אבטחה לא הצליחה לזהות אותה – עד היום. המטרה העיקרית של פליים היא למעשה לשמש ככלי ריגול הפוגע רק במחשבים מסויימים, על פי בחירת המפעילים המרוחקים. במידה והמחשב אכן נפגע, אותם מפעילים יכולים לחלץ ממנו מגוון רב של מידע כמו צילומי מסך, מסמכים, ליירט את תעבורת הרשת ואת שמות המשתמש והסיסמאות העוברות בה ואפילו לקלוט את האודיו הנשמע בסביבו של המחשב – ולשלוח את המידע לרשת פיקוד ובקרה כמו גם לשרתים הממוקמים באיזורים שונים ברחבי העולם.
קספרסקי מסבירה כי בעקבות היכולות המתקדמות של התוכנה, מדובר למעשה בכלי הריגול המתקדם ביותר שנתגלה עד היום ואשר הספיק במהלך השנתיים שרץ ברשת, להדביק בעיקר מערכות באיראן, לבנון, סוריה, סודן, איזורים בישראל ומספר מדינות נוספות במזרח התיכון ובצפון אפריקה.
עוד מוסיפה החברה כי להערכתה, הוירוס פגע עד היום בכ-1,000 מחשבים בסך הכל, ללא התמקדות בתעשייה או במערכות ספציפיות. למעשה, קספרסקי מאמינה כי מדובר בתוכנה זדוניות "רב תכליתית" שנועדה לשימוש רחב יותר ולמציאת מגוון גדול של קורבנות. נכון לעכשיו, מבין לקוחות קספרסקי שנפגעו ניתן למצוא משתמשים ממוצעים, חברות פרטיות, מוסדות לימוד וארגונים ממשלתיים.
מסובך וקשה לפענות
מומחי האבטחה בקספרסקי נמצאים בתהליכי ניתוח של הוירוס ועתידים לעדכן פרטים נוספים במהלך הימים הקרובים, בבלוג הרשמי של החברה. קספרסקי מסבירה כי מדובר בקוד כה זדוני שהופך את התולעת הידועה לשמצה, Stuxnet למזערית. כרגע החברה מעידה כי מדובר בשני מתכנתים שונים ואין שום קשר בין פליים לבין Stuxnet, כמו גם שנדמה כי לתוכנה הראשונה יש מטרות אחרות על הכוונת.
נתוני ההתפשטות של flame. בינתיים במזרח התיכון מקור: קספרסקי
חשוב לציין כי פליים אינה משכפלת את עצמה אוטומטית, אלא בעלת מנגנון התפשטות שנמצא במצב כבוי ועל התוקפים להפעיל אותו על מנת להמשיך ולשכפל את המזיק, ככל הנראה במטרה לשלוט מלכתחילה על התפשטותה ברחבי הרשת ולהפחית את הסיכוי שיזוהה על ידי אחרים. שכן גם במקרה זה, ניכר כי התגלתה "בטעות", בזמן שהחוקרים של קספרסקי עבדו על מזיק אחר לחלוטין.
ההתמקדות הגיאוגרפית, כמו גם המורכבות של הקוד מעידים כי מאחורי התוכנה עומדת לא אחרת מאשר מדינה, אך עדיין לא ידוע מי היא בדיוק. מנכ"ל החברה, יוג'ין קספרסקי הצהיר כי התוכנה
הזדונית נראית כמו עוד שלב במלחמת הסייבר וחשוב להבין כי כלים מסוג זה יכולים לשמש כנגד כל מדינה ברחבי העולם ויש לקחת זאת בחשבון.
בעקבות גודלו של הקוד, קספרסקי הודיעה בבלוג הרשמי שלה כי היא צופה שיקחו שנים על שתצליח לפענח את כולו, שכן מדובר בוירוס המסובך פי 20 מ-Stuxnet, כך שככל הנראה יקחו לחברה 10 שנים להבין את כולו.
נכון לעכשיו, נראה שאין כל כך ממה להבהל, בעיקר בשל העובדה שמפעילי הקוד הם אלה שבוחרים איזה מחשבים להדביק ועל איזה "לפסוח". כמו כן, קספרסקי ציינה כי לתוכנה הזדונית יש כפתור "הרס עצמי" אותו המפעילים יכולים להריץ מרחוק, בשם browse32. ברגע שהוא מופעל, הוא מחפש כל שארית של קוד זדוני על גבי המערכת ומוחק אותו לחלוטין, כמו גם את 'פירורי הלחם' שהושארו מאחור כדוגמת צילומי מסך וקבצי סאונד.
נקווה כי במהלך הימים הקרובים קספרסקי תדאג לעדכן את הגולשים על עוד התפתחויות, אך נראה כי בינתיים, כל עוד אנחנו לא עובדים על משהו חשאי וממשלתי, המחשבים שלנו בטוחים מפני המתקפה הזאת. לגבי אחרות, אנחנו לא יכולים להבטיח שום דבר.
הידיעה פורסמה לראשונה באתר newsgeek
נא להמתין לטעינת התגובות
אקו"ם