באמצע חודש ספטמבר התגלה באינטרנט וירוס חדש. לכאורה אין זה גילוי מרעיש, שכן רבבות וירוסים חדשים מתגלים מדי יום, יחד עם גרסאות חדשות של וירוסים ישנים. אבל הווירוס הזה, שקיבל את השם Duqu, זכה כבר בתחילת תהליך הניתוח שעשו בו חברות אבטחה לתשומת לב קפדנית: חלקים ממנו הזכירו מאוד את Stuxnet, הווירוס שתקף את מתקני הגרעין האירניים בשנה שעברה.
אתמול (ראשון) גם טהרן הודתה: נפגענו מ"דוקו". אלא שהפעם, לא מדובר על חבלה במחשבים של מתקני הגרעין באירן, אלא על תשתיות אחרות. בניגוד לסטוקסנט, שנועד לפגוע במערכת שליטה ובקרה ספציפית, דוקו הוא כנראה וירוס רב-תכליתי. למעשה, זהו אפילו לא וירוס אחד, אלא מכלול שלם של תוכנות.
עוד בנושא
אירן מודה: וירוס חדש תקף אותנו, אבל השגנו שליטה
מי מתנכל לאירנים? שרשרת של אירועים מסתוריים
האם ישראל פרצה למחשבי הכור הגרעיני האירני?
מומחים: תוכנית הגרעין האירנית שבה לתפקוד מלא
התשובה לשאלת המיליון דולר היא שאנחנו לא יודעים לגמרי. דוקו, כפי שאנחנו מכירים אותו, מורכב מכמה חלקים, העיקרי שבהם משיג שליטה על המחשב. אחד מחלקיו המשניים מתעד כל לחיצה על המקלדת בקובץ נסתר. אך שני מאפיינים אלה, על פי ניתוחי חברות האבטחה קספרסקי וסימנטק, הם רק הבסיס, שעליו ניתן להדביק "ראש נפץ" חלקים ייחודיים המתקיפים מטרות ייחודיות.
בניגוד לסטוקסנט, שהדביק מיליוני מחשבים במטרה למצוא מערכת אחת ספציפית, דוקו עם ראש נפץ הוא חיה נדירה. בניתוח שעשו לו בקספרסקי לפני כמה שבועות, התגלו רק חמישה מקרים של ראש נפץ, אחד בסודן וארבעה באירן. שכל אחד מהם היה "תפור" למקום שנדבק ממנו. האירנים, בינתיים, לא מספרים איך וכיצד נפגעו המערכות שלהם, ובאילו ארגונים מדובר. בסימנטק, מאידך, גורסים כי המטרה של דוקו, כפי שזוהתה על ידם, היא לגנוב פרטים על מערכות שליטה ובקרה מיצרניות אירופאיות. בסך הכל, נראה כי לפחות כיום, דוקו הוא חלק ממערכת לאיסוף מודיעין, אך לא ברור אם זו הגרסה של הווירוס עליה מדברים האירנים. ייתכן שהם נתקלו בגרסה אחרת, לוחמנית יותר.
איך האירנים נדבקו בווירוס?
אחד הדברים המרשימים ביותר בנוגע לדוקו, הוא שהווירוס משתמש בפרצה ב-Word של מיקרוסופט שלא הייתה ידועה קודם לכן; לא בכל יום מוצאים בוורד פרצה שמאפשרת להשתלט על מחשב. למרות שלא מדובר במשהו נדיר מאוד, המשאבים הדרושים לכך בכל זאת מצביעים על התארגנות מסודרת העומדת מאחורי הווירוס. דבר נוסף שמרמז על התחכום של דוקו הוא היכולת להתאים אותו למטרות ייעודיות.
אפשר להניח שאם יש צוות ש"תופר" וירוס על פי מטרה, יש גם צוות שיחדיר אותו לאותה מטרה. מטרת צוות שכזה היא לנסות ולשלוח לאנשים מיילים אותנטיים לכאורה לאנשים בארגון שרוצים להדביק, כדי שיפתחו את הקובץ המצורף: למשל, לשלוח למחלקת משאבי אנוש של הארגון קובץ קורות חיים, ולמחלקת הכספים קובץ ובו הוראות חדשות, לכאורה, ליצירת דו"ח חודשי. אם מישהו בארגון פותח את הקובץ והמחשב שלו נדבק, המפעילים מתחילים להשתמש במייל שלו כדי להדביק משתמשים אחרים בדרגה גבוהה יותר בארגון, עד שכל המערכות נמצאות תחת שליטת הווירוס.
בשנה האחרונה רואים יותר ויותר מקרים מסוג זה. הבולט בהם התרחש בחברת האבטחה RSA; זו הובילה, על פי ההערכות, לפריצה לשרתים של ענקיות ביטחוניות בארצות הברית, כמו לוקהיד מרטין.
מי עומד מאחורי דוקו?
לא ידוע. על פניו, נראה שיש קשר תכנותי בינו לבין סטוקסנט, אך גם במקרה של התולעת המפורסמת ההיא, לא היה ידוע מי בדיוק תקף את הצנטריפוגות האירניות. מעריכים שכמה מדינות מערביות, ולפחות מדינה אחת במזרח התיכון, מחזיקות בכלים לפיתוח אמצעי לוחמת מחשב מסוג זה.
סביר להניח שלא שבזמן הקרוב לא תתקבל תשובה חד-משמעית בשאלת האחריות, אבל ניתן לצפות ליותר ויותר ידיעות על מתקפות מסוג זה. סטוקסנט ודוקו הם רק האחרונים בשורה ארוכה של ניסיונות להפוך את וירוס המחשב לכלי נשק, ניסיונות שהחלו להתגלות לפני יותר מעשור, בזמן שארה"ב האשימה את סין בניסיון לפלוש למערכות מחשוב שלה.
כיצד ניתן להתגונן מווירוסים כאלה? בזמן שהמערכות הסודיות ביותר לעולם לא יחוברו לאינטרנט, אסור להמעיט בערכה של הטיפשות האנושית, ושל האי-מודעות לנהלי אבטחת מידע. כמו במקרה של סטוקסנט, רק לפני חודש התגלה וירוס במערך המל"טים של צבא ארצות הברית: זה לא היה וירוס מיוחד שנועד לתקוף את המערך, אלא "סתם וירוס" שמישהו מהחיילים כנראה העביר למחשב מרושת, כשהביא מהבית חומרים על החסן נייד (כונן פלאש).
על כך בדיוק סומכים יצרני הווירוסים האלה. כדי להדביק מערכת שלא מחוברת לרשת, צריך קודם כל לתמרן מישהו להכניס אליה את הווירוס. אם על מחשבים אפשר להגן באמצעות פיתוחים כאלה ואחרים, במקרה של אנשים, נדרש חינוך. וזה כבר מצריך הרבה יותר זמן ומאמץ.