וירוס, תולעת וסוס טרויאני: כל מה שרציתם לדעת על "להבה"

מומחי אבטחה מסרו אתמול (ב') כי וירוס מחשבים מתוחכם במיוחד תקף מחשבים באיראן ובמדינות נוספות במזרח התיכון, בהן ישראל. על פי הממצאים של חברת אבטחת המידע הרוסית קספרסקי, הווירוס פועל כבר כחמש שנים לפחות ומשמש ככל הנראה למטרות ריגול בינלאומי.

הווירוס, שנקרא 'להבה' (Flame), פותח, כפי הנראה, בידי אותה מדינה או אותן מדינות שפיתחו את תולעת סטוקסנט שתקפה את מחשבי תוכנית הגרעין האיראנית ב-2010.

אנשי קספרסקי מסרו כי הם עדיין לא יכולים לקבוע האם ללהבה יש מטרה מסוימת, כפי שהייתה לסטוקסנט. בעבר האשימה איראן את ישראל וארה"ב בפיתוח ושילוח תולעת המחשבים סטוקסנט והיום נשמעו האשמות דומות (ראו מסגרת).

חברת אבטחת מידע איראנית פרסמה הודעה שבה נאמר כי להבה מתאפיין ב"קשר קרוב" לסטוקסנט.

גורמים בממשל האירני טענו כי ללהבה עשוי להיות קשר להתקפות סייבר שאירעו לאחרונה במדינה והביאו לאובדן מידע בהיקף גדול במספר רשתות מחשבים במדינה.

מקספרסקי נמסר כי להבה התגלה לאחר שסוכנות הטלקומוניקציה של האו"ם ביקשה מהחברה לנתח מידע אודות תוכנות זדוניות שפועלות באזור המזרח התיכון, בעקבות תלונות שהתקבלו מאירן על וירוס מוחק מידע הפועל במחשבים בתחומה.

חברת קספרסקי פרסמה היום שורה של שאלות ותשובות אודות הווירוס להבה:

■ מהו בדיוק להבה? מה הוא עושה?

"להבה הוא ערכת תקיפה מתוחכמת. יש לו מאפיינים הן של וירוס, הן של סוס טרויאני והן של תולעת, שמאפשרים לו להשתכפל ברשתות מקומיות וכן על חומרה ניידת במידת הצורך.

"נקודת הכניסה של להבה למערכת אינה ידועה לנו. ברגע שהוא נמצא בתוכה, להבה מתחיל לבצע שורה של פעולות מורכבות, הכוללות מעקב אחר תנועת המידע ברשת, צילומי מסך, התערבות בפעולת המקלדת ועוד. בשלב מאוחר יותר של פעולתו, המפעילים של להבה יכולים להרחיב את מגוון הפעולות שהוא מסוגל לבצע".

■ כיצד שונה להבה מסוס טרויאני רגיל? יש דברים מסוימים שהוא עושה שלא נראו קודם לכן?

"באופן כללי, תוכנות זדוניות מודרניות הן קטנות יחסית ונכתבות בשפות תכנות קומפקטיות על מנת לסייע בהסתרתן. היכולת להסתרת כמויות קוד עצומות הוא אחד מהחידושים של להבה. גם היכולת להקלטת אודיו באמצעות המיקרופון של המחשב הנגוע היא חדשה יחסית. כאמור, החידוש הגדול של להבה הוא היכולת שלו לגנוב מידע בכל כך הרבה דרכים במקביל.

"תכונה מעניינת נוספת של להבה הוא השימוש שהוא עושה במכשירי בלוטות'. הווירוס מסוגל, במידה והבלוטות' פועל, לאסוף מידע ממכשירים הסמוכים למחשב הנגוע".

■ מתי נוצר להבה?

"יוצרי הווירוס שינו בכוונה תחילה את תאריך יצירת הקבצים כך שחוקרים לא יוכלו לדעת במדויק את הזמן בו הם נוצרו. הקבצים מתוארכים לשנים 1992, 1993, 1994 ואילך, אך ברור שזהו מידע שגוי.

"אנו מעריכים כי להבה נוצר לכל המוקדם ב-2010, אבל הוא עדיין נמצא בתהליכי פיתוח גם בימינו. יוצריו מעדכנים אותו ללא הרף, תוך שהם ממשיכים להשתמש באותה ארכיטקטורה ושמות קבצים. על פי הממצאים שברשותנו, שימוש בלהבה נעשה כבר באוגוסט 2010, ואנו משוכנעים כי הווירוס כבר חדר למערכות מחשבים בפברואר או מארס באותה השנה. ייתכן שלפני כן פעלו גרסאות מוקדמות יותר שלו, אבל אי אפשר לאשש סברה זו".

■ מדוע הוא נקרא להבה? מהו מקור השם?

"להבה נקרא על שם אחד המודולים המשמשים בו שתפקידו לתקוף ולהדביק מחשבים רבים ככל האפשר".

 כך פעל הווירוס להבה

■ האם מדובר במתקפת סייבר שמדינה עומדת מאחוריה, או שמדובר בקבוצת פושעי סייבר או האקרים-אקטיביסטים?

"להבה אינו מתוכנן כדי לגנוב כספים מבנקים, הוא גם אינו בנוי בצורה פשוטה שמזכירה תוכנות זדוניות של האקרים אקטיביסטים. לכן, נראה שלהבה הוא פרי פיתוח של מדינה או מספר מדינות. בנוסף, העובדה כי הוא פועל באזור גיאוגרפי מסוים (המזרח התיכון), וכן המורכבות של פעולותיו, מחזקות סברה זו".

■ אז מי אחראי ללהבה?

"אין ברשותנו כל מידע או קוד שעשוי לקשור את להבה למדינה מסוימת".

■ האם להבה פועל כנגד ארגונים מסוימים במטרה לאסוף מידע שיוכל לשמש להתקפות עתידיות? איזה מידע מחפשים התוקפים?

"מהניתוח הראשוני נראה שיוצרי להבה מחפשים כל מודיעין שהוא, כלומר, תכתובות דואר אלקטרוני, מסמכים, מסרים, שיחות המתרחשות בנקודות רגישות. כל דבר.

"לא ראינו כל סימנים המעידים על ניסיונות לאיתור מטרה מסוימת, מה שגורם לנו להאמין שלהבה נועד לצרכי ריגול כלליים. אבל, בעבר ראינו שכלים למטרות כלליות דוגמת להבה יכולים לעבור התאמה לביצוע התקפות ספציפיות".

■ אמרתם שלהבה פעיל כבר ממארס 2010, פחות או יותר באותה התקופה בה התגלה סטאקסנט. האם שתי התוכנות פעלו יחדיו?

"סביר להניח שיוצרי התוכנות לא שמו את כל הביצים בסל אחד. כך, אם תוכנה אחת מתגלה, התוכנה האחרת יכולה להמשיך לפעול באין מפריע. מסיבה זו אנו מאמינים שלהבה הוא מיזם מקביל לתוכנה אחרת, כאשר שתיהן משמשות כגיבוי הדדי".

איראן מאשימה: ישראל עומדת מאחורי הווירוס

דובר משרד החוץ בטהרן התייחס היום לנזקים שגרמה תולעת המחשבים להבה. "ישנן מדינות וישויות שאינן לגיטימיות", אמר הדובר שרמז לישראל, "אשר מנסות ליצור וירוסים רבים מסוג זה כדי לפגוע במדינות אחרות". הדובר טען שהווירוס לא גרם נזק רב ואמר כי "אין להעניק חשיבות רבה כל כך לווירוס הזה".

פארס, סוכנות הידיעות הרשמית של איראן, טענה כי דבריו של השר משה יעלון מהיום מהווים עדות לכך שישראל עומדת מאחורי הווירוס. בראיון שהעניק יעלון לתכנית "בוקר טוב ישראל" בגלי צה"ל הוא הסביר כי "מי שרואה באיום האיראני (איום) משמעותי - סביר שנוקט אמצעים שונים, כולל אלה, כדי לפגוע בו". יעלון הוסיף כי "ישראל התברכה בהיותה מדינה עתירת טכנולוגיה עילית. הכלים האלה שאנו משתבחים בהם פותחים עבורנו כל מיני אפשרויות".

בדיווח של פארס, שמזוהה עם משמרות המהפכה, נכתב עוד "גורמים בכירים בישראל הודו בחלק שלהם ביצירת התוכנה המורכבת ביותר בהיסטוריה לריגול, המכונה להבה. משה יעלון, המשנה לראש הממשלה של ישראל, אמר בראיון לרדיו של הצבא שכל מי שלוקח ברצינות את הסכנה של איראן, חייב לנקוט צעדים שונים כדי לפגוע בהם".

"המגזר התעשייתי בישראל חשוף להתקפות דומות"

גבי סיבוני, ד"ר ואל"מ (מיל') העריך היום שחברות מקומיות, לרבות חברות בתעשיית המזון והתרופות, עלולות להיות חשופות למתקפות מחשב. סיבוני, ראש התוכנית ללוחמה קיברנטית שבמכון למחקרי ביטחון לאומי (INSS), ממליץ להקים ללא דיחוי מנגנון שינהל את ההגנה על המגזר התעשייתי מפני תקיפות סייבר, בדומה להגנה שניתנת כיום לגופים ביטחוניים ולתשתיות שהוגדרו כתשתיות לאומיות.

סיבוני, שגיבש לפני כשנה מסמך מקיף שבוחן דרכי הגנה על תשתיות חיוניות במשק מפני תקיפות מחשב, התייחס היום לדיווחים אודות תוכנת הריגול המתקדמת שנחשפה במאות מחשבים באיראן, בסוריה, בלבנון וברשות הפלסטינית. "לפי הדיווחים מדובר ביכולת טכנולוגית מתקדמת, שמשפרת את היכולת של איסוף המידע במגוון רחב של מחשבים ורשתות", אמר.

סיבוני, שהדגיש שהוא מבסס את אבחנותיו על מידע גלוי שפורסם בכלי התקשורת ביממה האחרונה, סירב להתייחס לזהות הגורם שעומד מאחורי מתקפת הסייבר, שפגעה ככל הנראה בעיקר באיראן. "בעיקרון, וירוס מסוג כזה שמוחדר למחשבים ולשרתים מסוימים יעיל וטוב עבור מפתחיו ושולחיו כל עוד הוא סמוי ולא מוכר", אמר סיבוני.

על פי הערכות של חברות אבטחה מובילות בעולם, שבחנו את הדיווחים אודות ביצועי הווירוס שמכונה Flame (להבה), מדובר ב"וירוס על" שמצליח לחדור למחשבים ספציפיים ובהם מידע רב ערך, לשאוב אותו ולהעביר למחשב התוקף: הוא מצלם את מסכי המחשב; משחזר הקלדות; מפעיל בהיחבא מיקרופונים שמחוברים אל המחשב כדי לצותת ולהאזין לנאמר בקרבת אותם מחשבים; מיירט תשדורות של מיילים ומסרים בתוכנות שונות ועוד.

בישראל, שנאבקת בשאיפה של איראן לפתח יכולת גרעינית צבאית, יכולים לחייך על רקע ההצלחות של התולעת המסתורית, אולם סיבוני מזהיר שחלק ניכר מהגופים בארץ עדיין חשופים בדיוק לאותה פגיעה: "התשתיות החיוניות מוגנות בידי הרשות לביטחון המידע שעושה עבודה מצוינת. מערכת הביטחון מקצה די משאבים כדי להגן על עצמה בעניין הזה והיא די בסדר. נותר הפלח השלישי שהוא בין השאר המגזר התעשייתי שפגיעה בו אולי לא תגרום לקטסטרופה מידית אך במאסה גדולה - עשויה להיווצר בעיה קשה", אמר.

"הסייבר הוא כלי לאיסוף מודיעין"

בקבוצת אבטחת המידע קומסק העריכו היום שמי שעומד מאחורי הווירוס להבה היא ככל הנראה מדינה. שי צלליכין, סמנכ"ל הטכנולוגיות בקבוצה התייחס היום לגודל של התוכנה, כ-20 מגה, לעומת סטוקנסט שגודלה הוערך בפחות ממגה. צלליכין מאמין שהמורכבות של Flame שוללת את האפשרות שהווירוס פותח על ידי קבוצת האקרים.

בניגוד להערכות שלפיהן צוות אחד אחראי לפיתוח של Flame ושל סטוקסנט, צלליכין מאמין שמדובר בפרויקטים מקבילים. בהתחשב בכך שלהבה נמצאת בשטח כבר שנים, צלליכין מעריך שייקח זמן רב כדי לנתח את דרכי ההפצה שלה. הוא מוסיף כי חלק מהרכיבים בתולעת הוצפנו בצורה חלשה, כך שייתכן שהיה מי שרצה שהרכיבים הללו יתגלו.

"ברמה הפרקטית, מכיוון שלא מדובר בסגמנט ברור שהותקף וההתקפה הייתה באזור הגאוגרפי שלנו, ארגונים יצטרכו לבחון בצורה קונקרטית אם הם נדבקו בתולעת. כרגע, מכיוון שאנחנו רואים את האויבים שלנו תחת מתקפה אנו נהנים מן התחושה שגם הפעם זה 'עבר לידנו'", אומר צלליכין. הוא מוסיף כי קיים חשש שגורם עוין יחליט לעשות שימוש חוזר ברכיבים או בטכניקות של התולעת.

בשורה התחתונה, מסכם צלליכין, "אירוע מסוג זה מראה לנו עד כמה ממד הסייבר חשוב ומשמעותי למדינות ומשמש ככלי פרקטי לאיסוף מודיעיני ולתקיפה ומצד שני עד כמה אמצעי אבטחת המידע המסורתיים כיום נמצאים צעד אחד מאחור".