מתקפת סייבר על איראן: 'המטרה - איסוף מודיעין'

עוד שלב במלחמה החשאית? איראן הודתה כי התוכנה הזדונית להבה (Flame) אכן תקפה אותה, והורתה לבצע בדיקה דחופה של מערכות המחשב ברשותה, לאחר גילוי הווירוס החדש. איש עדיין לא יודע בוודאות מי האחראי לווירוס "המתוחכם ביותר בכל הזמנים", אבל השורה התחתונה בהערכת מומחי המחשבים ברורה - רק מדינה הייתה יכולה ליצור וירוס על כזה. גם פרופ' ואלוף (מיל') יצחק בן-ישראל יודע: "זו תוכנת ריגול, שמטרתה אחת - איסוף מודיעין".

איך פועל הווירוס? הניתוח המלא

הקוד של להבה. מורכב פי 20 מסטוקסנט(צילום:מעבדות קספרסקי)

תוכנת הריגול שהתגלתה יכולה לאסוף מידע מקבצים, לשנות מרחוק הגדרות במחשבים, להדליק מיקרופונים במחשבים, לעשות צילומי מסך ולהעתיק שיחות

 בתוכנות מסרים מידיים. היא נחשפה על ידי מעבדת קספרסקי - מהחברות הגדולות בעולם לאבטחת מידע. החברה פרסמה שלשום (יום א') את המידע על הווירוס והצהירה כי לא הצליחה להבין לחלוטין מה היקפו, מכיוון שהקוד שלו גדול פי 100 מהתוכנה הזדונית הגדולה ביותר שהתגלתה עד כה.

איראן היא המדינה שהווירוס פגע בה באופן הקשה ביותר - 189 מחשבים בה הודבקו בווירוס. אחריה נמצאות ישראל והרשות הפלסטינית (98 מחשבים), סודן (32), סוריה (30), לבנון (18), סעודיה (10) ומצרים (5).

במעבדה שחוקרת את הווירוס מעריכים כי להבה פותח על ידי "מדינה עם תקציב משמעותי לנושא, והווירוס עשוי להיות קשור למלחמת הסייבר".

נשק הסייבר המתוחכם ביותר

בקספרסקי מצאו כי הווירוס תקף לראשונה כבר ב-2007, והחל לפעול באיראן מ-2010. "אם הווירוס הצליח לא להתגלות במשך חמש שנים, ההיגיון אומר שיש פעולות נוספות שאנחנו לא יודעים עליהן", אמר רואל שוונברג, בכיר בקספרסקי.

אחמדינג'אד. במה פגע הווירוס?(צילום: רויטרס)

הוא הוסיף כי אינו יודע מי פיתח את הווירוס, שכולל קוד שארוך פי 20 מסטוקסנט - אחד משני הווירוסים שתקפו בשנתיים האחרונות את איראן. "לקח שישה חודשים לחקור את סטוקסנט. הווירוס הזה מורכב פי 20", אמר שוונברג. בכיר אחר בחברה אמר כי להבה "הוא כנראה נשק הסייבר המתוחכם ביותר שהוצא לעולם". ל"טלגרף" אמרו מומחים כי "רק מדינה הייתה יכולה ליצור וירוס-על כזה".

בשבוע הבא יתארח בישראל, בכנס בינלאומי לאבטחת מידע באוניברסיטת תל-אביב, נשיא החברה שחשפה את הווירוס, יבגני קספרסקי. לדברי מארחו בארץ, פרופ' ואלוף (מיל') יצחק בן-ישראל, המכהן כראש סדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל-אביב, התוכנה הזדונית יכולה לחדור לכל מחשב ב"אמצעי הכניסה" הרגילים: ממייל לא מוכר ועד לכניסת USB.

"בניגוד לווירוס הסטוקסנט שתקף באיראן, פה מדובר בתוכנת ריגול שלא משבשת או משביתה מערכות", אומר בן-ישראל. "לא ידוע מה המקור של אותה תוכנה, אבל המטרה שלה ברורה - איסוף מודיעין". לדבריו, מאחר שמדובר בתוכנת ריגול שפועלת כ"תולעת", וקופצת ממחשב למחשב, לא ניתן לדעת לאיזו כתובת שודר המידע שהועתק.

"לא נכתב על ידי נער משועמם"

פרופ' אלן וודוורד מאוניברסיטת סארי אמר ל"טלגרף" כי הווירוס פולשני מאוד. לדבריו, הוא יכול לשאוב מידע בעזרת העתקת הקשות במקלדת או קולות של אנשים שנמצאים בסמוך. "זה לא נכתב על ידי נער משועמם", הבהיר מומחה המחשבים. "הווירוס הזה גדול, מורכב והמטרה הברורה שלו היא גניבת מידע בלי שניתן יהיה לחשוף זאת".

להבה הוא נשק הסייבר השלישי שהתגלה אחרי סטוקסנט - וירוס שהתקיף את תוכנית הגרעין האיראנית ב-2010, והתוכנית לכריית המידע שמשויכת אליו, דוקו. בקספרסקי טענו שישנן ראיות לכך שהקוד נכתב על ידי אותה מדינה שנמצאת מאחורי סטוקסנט ודוקו - גם להבה וגם סטוקסנט הדביקו מחשבים על ידי ניצול של אותו פגם במערכת ההפעלה "חלונות", ומשתמשים באותה דרך להפצה.

מהחברה הרוסית נמסר כי הדבר מעיד על כך שהייתה לכותבי להבה גישה לאותה טכנולוגיה. שוונברג הוסיף כי הוא מאמין שההתקפה כוונה בעיקר נגד עסקים ומוסדות אקדמיים והעריך כי 5,000 מחשבים נדבקו. עם זאת, במעבדות קריסיס, שם מבצעים חקירה לעומק של הווירוס, אמרו כי לא ברור אם יש קשר בין להבה לבין סטוקסנט ודוקו. בניגוד לקודמיו, להבה לא מפיץ עצמו אוטומטית, אלא רק כאשר מפעיליו מאפשרים זאת. 

פרשת סטוקסנט החלה ביוני 2010, אז חברה מבלארוס דיווחה על סוס טרויאני שמצאה אצל לקוח שלה באיראן. הווירוס, שככל הנראה הוחדר לתחנת כוח מקומית באמצעות דיסק USB נייד, תקף מערכות שליטה ובקרה. ב"ניו-יורק טיימס" נחשף בהמשך שהווירוס נועד לפגוע בחמישה מתקנים ברחבי איראן. העיתונות הזרה דיווחה כי ישראל וארה"ב הן שעומדות מאחורי המתקפה של סטוקסנט, אך ירושלים ו-וושינגטון מעולם לא הגיבו רשמית על הטענות.