המגה וירוס הבא: מסתובב פה כבר שנתיים, ואף אחד לא יודע

תוכנה זדונית חדשה בשם Flame התגלתה על ידי מספר חוקרי אבטחה לאחר שנתיים שבה היא מפיצה עצמה ברשת. חשד: מאחורי הפיתוח עומדת מדינה

תמונה: flickr, cc-by, Patrick Hoesly

מספר חברות אבטחה גדולות, בינהן סימנטק וקספרסקי, הודיעו לפני דקות אחדות כי גילו תוכנה זדונית, מתוחכמת במיוחד שרצה ברשת במהלך השנתיים האחרונות, אך זוהתה רק כעת. את התוכנה גילו החוקרים בטעות במהלך מחקר על וירוס אחר לחלוטין וככל שהתעמקו בה הצטיירה תמונה קודרת על רוגלה שהופכת את Stuxnet לאיום מזערי באופן יחסי.

נועד ככל הנראה לצרכי ריגול

במהלך עבודת המחקר של קספרסקי על תוכנה זדונית בשם Wiper, נתקלו החוקרים בתוכנה זדונית חדשה לחלוטין, שקיבלה את שם הקוד פליים (Flame) והתגלתה כמסובכת ומסוכנת במיוחד – במידה ואתם מקור לגניבת מידע.

פליים הסתובבה בחופשיות במהלך השנתיים האחרונות ברחבי הרשת, מאז מרץ 2010 ונחשבת לתוכנה כה זדונית, שאף תוכנת אבטחה לא הצליחה לזהות אותה – עד היום. המטרה העיקרית של פליים היא למעשה לשמש ככלי ריגול הפוגע רק במחשבים מסויימים, על פי בחירת המפעילים המרוחקים. במידה והמחשב אכן נפגע, אותם מפעילים יכולים לחלץ ממנו מגוון רב של מידע כמו צילומי מסך, מסמכים, ליירט את תעבורת הרשת ואת שמות המשתמש והסיסמאות העוברות בה ואפילו לקלוט את האודיו הנשמע בסביבו של המחשב – ולשלוח את המידע לרשת פיקוד ובקרה כמו גם לשרתים הממוקמים באיזורים שונים ברחבי העולם.

קספרסקי מסבירה כי בעקבות היכולות המתקדמות של התוכנה, מדובר למעשה בכלי הריגול המתקדם ביותר שנתגלה עד היום ואשר הספיק במהלך השנתיים שרץ ברשת, להדביק בעיקר מערכות באיראן, לבנון, סוריה, סודן, איזורים בישראל ומספר מדינות נוספות במזרח התיכון ובצפון אפריקה.

עוד מוסיפה החברה כי להערכתה, הירוס פגע עד היום בכ-1,000 מחשבים בסך הכל, ללא התמקדות בתעשייה או במערכות ספציפיות. למעשה, קספרסקי מאמינה כי מדובר בתוכנה זדוניות “רב תכליתית” שנועדה לשימוש רחב יותר ולמציאת מגוון גדול של קורבנות. נכון לעכשיו, מבין לקוחות קספרסקי שנפגעו ניתן למצוא משתמשים ממוצעים, חברות פרטיות, מוסדות לימוד וארגונים ממשלתיים.

מקור: אתר קספרסקי, צילום מסך

מסובך וקשה לפענוח

מומחי האבטחה בקספרסקי נמצאים בתהליכי ניתוח של הוירוס ועתידים לעדכן פרטים נוספים במהלך הימים הקרובים, בבלוג הרשמי של החברה. קספרסקי מסבירה כי מדובר בקוד כה זדוני שהופך את התולעת הידועה לשמצה, Stuxnet למזערית. כרגע החברה מעידה כי מדובר בשני מתכנתים שונים ואין שום קשר בין פליים לבין Stuxnet, כמו גם שנדמה כי לתוכנה הראשונה יש מטרות אחרות על הכוונת.

התוכנה, השוקלת כ-20 מגהבייטים מכילה מספר ספריות, בסיס נתונים SQLite3 ורמות שונות של הצפנה – חלקן חזקות וחלקן חלשות, 20 פלאגאינים שיכולים להתחלף על מנת להעניק פונקציונליות מלאה עבור התוקפים וכוללת קוד שנכתב בשפת LUA, שאינה אופיינית לתוכנות זדוניות. כמו כן, עדיין לא ידוע מהו וקטור הפריצה המסויים, אך זה ברור שלפליים יש יכולת לשכפל את עצמה על גבי רשתות מקומיות במגוון שיטות, שאת חלקן ראינו כבר בעבר בוירוסים שונים ומזיקים הרבה פחות.

חשוב לציין כי פליים אינה משכפלת את עצמה אוטומטית, אלא בעלת מנגנון התפשטות שנמצא במצב כבוי ועל התוקפים להפעיל אותו על מנת להמשיך ולשכפל את המזיק, ככל הנראה במטרה לשלוט מלכתחילה על התפשטותה ברחבי הרשת ולהפחית את הסיכוי שיזוהה על ידי אחרים. שכן גם במקרה זה, ניכר כי התגלתה “בטעות”, בזמן שהחוקרים של קספרסקי עבדו על מזיק אחר לחלוטין.

ההתמקדות הגיאוגרפית, כמו גם המורכבות של הקוד מעידים כי מאחורי התוכנה עומדת לא אחרת מאשר מדינה, אך עדיין לא ידוע מי היא בדיוק. מנכ”ל החברה, יוג’ין קספרסקי הצהיר כי התוכנה הזדונית נראית כמו עוד שלב במלחמת הסייבר וחשוב להבין כי כלים מסוג זה יכולים לשמש כנגד כל מדינה ברחבי העולם ויש לקחת זאת בחשבון.

בעקבות גודלו של הקוד, קספרסקי הודיעה בבלוג הרשמי שלה כי היא צופה שיקחו שנים על שתצליח לפענח את כולו, שכן מדובר בוירוס המסובך פי 20 מ-Stuxnet, כך שככל הנראה יקחו לחברה 10 שנים להבין את כולו.

נכון לעכשיו, נראה שאין כל כך ממה להבהל, בעיקר בשל העובדה שמפעילי הקוד הם אלה שבוחרים איזה מחשבים להדביק ועל איזה “לפסוח”. כמו כן, קספרסקי ציינה כי לתוכנה הזדונית יש כפתור “הרס עצמי” אותו המפעילים יכולים להריץ מרחוק, בשם browse32. ברגע שהוא מופעל, הוא מחפש כל שארית של קוד זדוני על גבי המערכת ומוחק אותו לחלוטין, כמו גם את ‘פירורי הלחם’ שהושארו מאחור כדוגמת צילומי מסך וקבצי סאונד.

נקווה כי במהלך הימים הקרובים קספרסקי תדאג לעדכן את הגולשים על עוד התפתחויות, אך נראה כי בינתיים, כל עוד אנחנו לא עובדים על משהו חשאי וממשלתי, המחשבים שלנו בטוחים מפני המתקפה הזאת. לגבי אחרות, אנחנו לא יכולים להבטיח שום דבר.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

7 תגובות על "המגה וירוס הבא: מסתובב פה כבר שנתיים, ואף אחד לא יודע"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Eliran Pe'er
Guest

מה שמגניב בסטקסנט זה ממש לא הסיבוך וההצפנה, אלא הגאונויות של המנגון…

Aviel Tzanani
Guest

גיק…

Amir Simantov
Guest

איזה מזל שאני לא אריק יוסף

Amir Simantov
Guest

איזה מזל שאני לא אריק יוסף

Assaf Cohen
Guest

כשאתה חושב על זה – זה הוירוס הכי גאוני שקיים. הוא לא תוקף את הגוף שמספק לו בית, עף מתחת לרדר – ומצליח לעשות בדיוק מה שהוא רוצה בלי שיגלו אותו.
מדהים.

Amir Simantov
Guest

עובדה שכן גילו אותו. והוא תקף גם איפה שלא צריך (בישראל) אלא אם כן כולם מרגלים.

Yotam Golomb
Guest

אין ספק שמי שנרדם בשמירה ולא ראה שמדובר בחבילה של 20 מגה לערך… צריך שיכרתו לו את הראש לפי מיטב המסורת של חלק מהמדינות בהן הוירוס פגע :)

wpDiscuz

תגיות לכתבה: