וירוס חדש וברמה טכנולוגית שאינה מוכרת עד כה תוקף את המחשבים בישראל כך טוענת חברת האבטחה הרוסית Kaspersky. הווירוס, המוכר בשם Flame, התגלה לאחרונה ובין היתר הוא שואב צילומי מסך מהמחשב המודבק בו, מפעיל ללא ידיעת המשתמש את המיקרופון המובנה במחשב, וכן מקליט שיחות. כמו כן, הוא גונב מידע באשר למוצרים נלווים המחוברים למחשב באמצעות Bluetooth.
בשלב זה לא ברור מי עומד מאחורי הווירוס החדשני, אך המדינה בה נמצא מספר המחשבים המודבקים הגבוה ביותר היא אירן, ושנייה לה ישראל.
הוירוס החדש, שנראה כי מגיע מאותו בית היוצר של סטוקסנט ודוקו שני הווירוסים שתקפו את אירן בשנתיים האחרונות מתואר כוירוס חדשני ומתוחכם ברמה בה טרם נתקלו ב-Kaspersky. מטרתו של Flame היא לגנוב מידע, והוא עושה זאת במספר רב של דרכים, כשהוא משתמש במספר פרצות שלא היו ידועות עד כה לחוקרי אבטחה. "זו דלת אחורית, סוס טרויאני והוא כולל גם מספר תוכנות שמאפיינות וירוסי תולעת", נכתב בבלוג של Kaspersky.
"189 מחשבים באירן, חמישה במצרים"
ברגע שהמחשב מודבק, הווירוס מתחיל לעקוב אחר תעבורת הרשת של המחשב, מעתיק צילומי מסך, מפעיל את המיקרופון המובנה של המחשב (אם יש כזה) ומקליט שיחות, מקליט את הקשות המקלדת ושואב מידע נוסף, אותו הוא מעביר למפעילי הווירוס דרך שרתי שליטה ובקרה. המפעילים לאחר מכן יכולים לבחור ולהעלות חלקים נוספים של הווירוס למחשבים ספציפיים, במטרה להתאים את התקיפות לאותם המחשבים. ב-Kaspersky מצאו כ-20 רכיבי משנה של Flame, ותפקיד רובם עדיין נחקר.
מי עומד מאחורי הוירוס? מוקדם לומר. ב-Kaspersky מצאו את Flame על 189 מחשבים באירן, 98 מחשבים בשטחי ישראל והרשות הפלסטינית, 32 בסודן, 30 בסוריה, 18 בלבנון, 10 בערב הסעודית ו-5 במצרים. החוקרים עדיין מנסים להתחקות אחר דרך הפצת הוירוס, אך בדיקה ראשונית מרמזת על כך שמדובר בהדבקה מכוונת של מחשבים ספציפיים. מטה הסייבר הממשלתי של אירן כבר פרסם הודעה, בה הוא טוען כי הווירוס הוא גרסה חדשה של סטוקסנט ודוקו, ומאשים אותו בכך שמקרים אחרונים של איבוד מידע מאסיבי ברשתות אירניות היו עשויות להיגרם בעקבות הפעלתו. לטענת האירנים, כבר בתחילת מאי התגלה הווירוס, ומטה הסייבר אף הפיץ כלי לנטרולו למספר ארגונים במדינה.
"סטוקסנט" ויורשיה
לפני כחצי שנה הודתה אירן כי וירוס תקף את רשתות המחשבים שלה. ראש מערך ההגנה על העורף האירני, תת-אלוף קולזמרזה ג'לילי, אמר עם גילוי הווירוס כי המערך הצליח לזהות ו"להשיג שליטה" על וירוס מחשבים חדש, בשם "דוקו", ש"שאף לתקוף ארגונים ותאגידים שונים באירן". ג'לילי הוסיף כי "התוכנה שנועדה לשלוט על הווירוס פותחה, וסופקה לארגונים השונים שהותקפו. תהליך ההשתלטות על הווירוס הושלם, והארגונים שנפרצו השיגו שוב שליטה על רשתותיהם".
ג'לילי ציין עוד כי "יחידת ההגנה הקיברנטית פועלת יומם וליל כדי להילחם בתולעי ריגול", אלא שמומחה לאבטחת מידע בענקית האנטי-וירוס "סימנטק" אישר לסוכנות הידיעות הצרפתית כי אירן ממש לא לבד. מלבדה, חברות וגופים בלמעלה מ-12 מדינות דיווחו על התפשטות הווירוס אליהן, וביניהן גם צרפת, בריטניה והודו. מאפייניה של התולעת דומים לתולעת מחשבים אחרת שכבר תקפה את אירן - "סטוקסנט", כמובן. היא מנצלת חולשות במערכת ההפעלה WINDOWS, ועל פי יצרנית המערכת MICROSOFT, לאחר החדירה היא מסוגלת לשלוח קוד זדוני שפוגע בליבת מערכת ההפעלה.
לא דווח האם התולעת החדשה כוונה (והאם הצליחה) לפגוע בגופים הקשורים לתכנית הגרעין. קודמתה, "סטוקסנט", תקפה את אירן בקיץ 2010, ובמשך כמה חודשים הצליחה לחדור לשורה של מערכות מחשוב באירן, בהן גם מערכות של תכנית הגרעין, כגון צנטריפוגות העשרת האורניום בנתנז, להן גרמה נזק ניכר. רק כעבור כמה חודשים הצליחו האירנים להתאושש מהנזק, ולהשיב את הצנטריפוגות לעבודה מלאה. פרשנים רבים ברחבי העולם העריכו כי מאחורי המתקפה עומדים המוסד הישראלי והמודיעין האמריקאי.
לקריאה נוספת
מלחמת האקרים: מי פרץ למחשבי מסוף הנפט האירני?
האם ישראל אחראית לווירוס החדש שפגע באירנים?
אירן מודה: וירוס חדש תקף אותנו, אבל השגנו שליטה
אירן: "וירוס נוסף חדר לרשת האינטרנט שלנו"