וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

היורש של סטוקסנט? זה מה שאנחנו יודעים על הווירוס סאורון

10.8.2016 / 7:30

תולעת הריגול הזו פותחה ככל הנראה על ידי מדינה ונראה שהושקעו בפיתוחה כמה מיליוני דולרים וכוח אדם גדול. והיא הרבה יותר מתוחכמת ממה שאתם מדמיינים

מערכת וואלה

בעולם הסייבר של השנים האחרונות היו כמה רגעים מכוננים, אחד מהם היה גילויה של תולעת המחשב סטוקסנט ביוני 2010, ששינתה את כללי המשחק. הראיות העידו שמדובר בווירוס מתוחכם ורב עוצמה, בעל תפוצה רחבה במיוחד, שתוכנן על ידי מדינה מערבית או כמה מדינות מערביות. הווירוס תקף את תכנית הגרעין האירנית והעדויות הובילו לארה"ב ולישראל. בסוף השבוע התגלה וירוס נוסף, שיתכן וייכנס גם לפנתאון של מתקפות הסייבר בתחילת המילניום החדש.

חברת האבטחה סימנטק חשפה כי קבוצת האקרים, הפעולת תחת השמות Strider ו-ProjectSauron, פיתחה רוגלה מתוחכמת שפעלה נגד סין, רוסיה, בלגיה, איראן ורואנדה. הגרסה הספציפית שהתגלתה פעלה בשנים 2011 עד אפריל 2016 בחשאי, מבלי שידעו שהיא קיימת במחשבים. התולעת הזו פותחה ככל הנראה על ידי מדינה ובהערכות זהירות, הושקעו בפיתוחה כמה מיליוני דולרים, כוח אדם גדול שכולל כמה צוותים של מפתחים ועוד.

המחשבים שנדבקו ברוגלה למעשה לא יכולים לעלות עליה מאחר והיא מוסווית בתוך מערכת ההפעלה. בנוסף אחד מההבדלים, לעומת רוגלות אחרות, היא שהרוגלה הזאת נשארת במצב רדום וברגע ששולחיה מחליטים, רק אז היא מתחילה לעבוד. מדובר בווירוס הפועל בחשאיות מוחלטת ובלי שהמערכת מזהה שהוא רץ ברקע. מטרתו העיקרית, לפי הדיווחים, הוא איסוף מודיעין.

פריצה למחשב בשידור. מערכת וואלה
ככל הנראה מדובר בעוד רוגלה מתוחכמת שיצאה מבית היוצר של מדינה./מערכת וואלה

השם סאורון, אגב, בוודאי מוכר לכל חובבי שר הטבעות של ג'.ר.ר טולקין - מדובר בדמותו של האויב הראשי, רואה הכול, בעוד שהשם השני "Srider" - שם חיבה לאחת מהדמויות הראשיות. אין ספק שמדובר בכינוי ראוי לווירוס רב-עוצמה.

ביקשנו מאמיר כרמי, מנהל טכנולוגיות בחברת אבטחת המידע ESET, שיספר לנו מה עוד אפשר להגיד על הרוגלה המסקרנת הזו. לדבריו, יש לה פוטנציאל הרבה יותר גדול, שכן היא מסוגלת לגנוב מידע מרשתות שמבודדות מהרשת. כלומר, רשתות פנימיות שאין להן כל קשר לעולם החיצון ובשפה המקצועית נקראות רשתות "Air Gapped". בדרך כלל, מדינות, ארגונים תעשיתיים ומשרדים ממשלתיים עושים שימוש ברשתות כאלו מאחר והן אמורות להיות מאובטחות יותר אך נראה שגם זו אשליה.

איך הווירוס מפיץ את עצמו?
לדברי כרמי, אם מישהו יקח דיסק און קי ויחבר אותו למחשב הנגוע ברוגלה, היא תיצור מחיצה נסתרת ומוצפנת ותגנוב את כל המידע שהיא יכולה להגיע אליו מהרשת הפנימית ישירות לכונן הנייד. לארגונים מאובטחים יש לרוב תוכנות הגנה למניעת חיבור דיסק און קי, אבל מאחר ומדובר בתיקיה נסתרת ומוצפנת, גם התוכנות האלו לא יכולות לעלות על גניבת הנתונים. המידע הנגנב נשלח אל מערכת מבוזרת של שרתים. עוד מסביר כרמי כי בדרך כלל לרוגלות יש שרת תקיפה אחד שההאקרים משתמשים בו, אבל לסאורון יש כמות גדולה מאוד של שרתי תקיפה וזו חלק מיכולת טכנית מאוד גבוהה וגם יכולת כספית.

וירוס מחשב. ShutterStock
התולעת פעלה נגד סין, רוסיה, בלגיה, איראן ורואנדה./ShutterStock

מי פיתח את סאורון?
"אם פותחים ומנתחים את הקוד, מאוד קשה להבין מאיפה הקוד", אומר כרמי. "במקרה הזה, האקרים שותלים סוגים שונים של מידע מטעה כדי להפליל מדינות אחרות, כך שברוב המקרים דרך ניתוח של הקוד, אי אפשר להבין את מקורו. אבל הלוגיקה הפשוטה שהיא לא טכנית היא לבדוק אילו מדינות נפגעו, למי יש אינטרס לרגל אחרי המדינות האלו וכך ניתן לשער כי מדובר ברוגלה שיכולה להגיע מהמדינות המערביות או מסין. אפשר לראות לפי הקוד שנלמדו לקחים רבים מסטוקסנט, מבחינת יכולות ההסוואה וגם מבחינת היכולת לעבוד מתחת לרדאר, אף על פי שסטוקסנט היה קיים כבר כמה שנים בתפוצה ובפיתוח מבלי שידעו על כך. במקרה הזה ניתן לראות על הווירוס שנלמד הרבה מווירוס Flame וסטוקסנט, שהם בוודאות פותחו על ידי מדינות".

כדי להבין את הקשר בין הרוגלות צריך לחזור לקיץ 2010, אז הודיעו גורמי אבטחה פרטיים על גילויה של תולעת בשם סטוקסנט (STUXNET) במתקני הגרעין של איראן. בסוף נובמבר 2010 הצהיר נשיא איראן כי התולעת הצליחה לגרום לנזק בצנטריפוגות במתקני העשרת האורניום במדינה. שנה לאחר מכן, בשלהי 2011, פורסם כי תולעת נוספת, בשם DUQU, פעלה גם במחשבים האיראניים, בעיקר נגד תשתית הגרעין. לפי הפרסומים תפקידה העיקרי היה לאסוף מודיעין ולפי גורמי האבטחה שחקרו את התוכנה גם סטוקסנט וגם דוקו הגיעו מאותו בית יוצר; אבל הם היו רק ההכנה לווירוס שהתגלה בחודש מאי 2012. מומחי חברת האבטחה הרוסית קספרסקי הודיעו שהם זיהו תולעת, אותה הם כינו FLAME (להבה), שפגעה קשות במערכות מחשבים של תשתיות אירניות וגם במערכות בלבנון ובסוריה. לפי מומחי קספרסקי, התולעת הזו הגיעה אף היא מאותו בית יוצר של סטוקסנט ודוקו.

האם למשתמש הפשוט יש סיבה לחשוש?
"הרוגלה יכולה להגיע למחשבים במגוון דרכים, קובץ מצורף למייל כלומר פישינג או אפילו ספיר-פישינג (מתקפת פישינג המכוונת נגד אדם ספציפי ולא בשיטת מצליח). כאן האקרים בודקים את הפרופילים של המטרה, לומדים עליה וגם מנסים לפרוץ לפני למייל הפרטי. המשתמש הפשוט, שלא עובד במשרד ממשלתי או בחברה ביטחונית או טכנולוגית, לא צריך לפחד מהרוגלה מאחר והוא כנראה לא סומן כמטרה וגם במידה ונדבק ומדובר בסבירות נמוכה לנזק. עובדים בחברות רגישות או בעלות חשיבות לאומית צריכים מאוד להיזהר גם בעבודה וגם בבית". לדבריו, כעת אחרי שגילו את הרוגלה, מאפייניה מופצים בכל חברות האנטי וירוס המובילות ובימים הקרובים יצאו עדכונים שיאפשרו זיהוי מלא שלה.

>> תמנון הסייבר הסיני: כך מתכננת סין להשתלט על העולם עד 2050.
בריונות סייבר: כך מפעילה רוסיה האקרים ומשגרת מתקפות בעולם.
כשאיראן כמעט הציפה את ניו יורק: הצצה לצבא הסייבר של טהראן.

>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.

טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    3
    walla_ssr_page_has_been_loaded_successfully