מתקפת סייבר: הכירו את הווירוס "פליים"

ריק

מתקפת סייבר מורכבת התגלתה אתמול (ב') באיראן, והמדינה הודיעה כי במחשביה התגלה וירוס עוצמתי, אשר נועד לגנוב מידע רגיש. הווירוס נקרא "פליים", והתגלה בנוסף במדינות נוספות במזה"ת. מומחים מעריכים כי מבחינת היקפו, ניכר כי אין מדובר בעבודה של האקרים חובבנים.

המומחים אמנם סבורים כי ייקח 10 שנים לנתח את הקוד המלא של הווירוס, אולם עד אז, אספנו עבורכם את כל מה שיודעים על הווירוס "פליים": כיצד ומתי התגלה, מה הוא בעצם עושה, מי נמצא תחת איום ועוד.

ממומן על ידי מדינה

הווירוס "פליים" אינו נועד לפגוע במחשבים אלא לגנוב מהם מידע. הווירוס יודע לבצע מגוון פעולות מורכבות כמו הוצאת צילומי מסך, שיחות סקייפ, מיילים ותמונות. בנוסף הוא יודע גם להפעיל את המחשב בו הוא נמצא ולתת למיקרופון פקודה לפעול - ובכך להפוך את המחשב למעין תוכנת האזנה מתוחכמת.

הווירוס התגלה עד כה על מחשבים באיראן, לבנון, סורי, סודן, בשטחים הפלסטיניים בארץ ומדינות אחרות במזרח התיכון ובצפון אפריקה. הוירוס פועל כבר קרוב לחמש שנים, ולכן ההערכה היא שהוא כבר סיים את פעולתו ומשלחיו כבר פיתחו את הדור הבא. 

את שמו "Flame" קיבל ממתכנתי חברת אבטחת המידע הרוסית קספרסקי, שהם מי שגילו אותו. שמו נקבע על שם מודול שמצאו המתכנתים בקוד התוכנה.

רואל שוונברג, בכיר בחברת קספרסקי, אומר כי אין ספק שלא מדובר בפרי מוחם של האקרים: "כשבוחנים את היקף ואיכות הפרויקט די ברור שמאחוריו עומדת מדינה. מתקפה שכזו קרוב לוודאי ממומנת על ידי מדינה. זהו התסריט הסביר ביותר", הסביר שוונברג.

אחיו הגדול והחכם של סטוקסנט

אין זו הפעם הראשונה שאיראן ניצבת מול מתקפת סייבר, ובשנה שעברה פורסם כי על מחשבים במדינה התגלה וירוס בשם סטוקסנט. מדובר היה בווירוס מתוחכם שהתגלה במתקנים האיראנים, שנועד לפגוע בצנטריפוגות איראניות.

הווירוס החדש "פליים" נחשב עליית מדרגה ביחס לסטוקסנט, ועל פי בכירים בקספרסקי, הקוד מורכב פי 20 מהקוד שבנה את הווירוס הקודם.

יחד עם זאת, בחברת קספרסקי מאמינים כי הקוד הוא תוצר של אותו מקור. לדבריהם, ההוכחות לכך היא ששני הווירוסים מנצלים את אותה נקודת תורפה במערכת ההפעלה וינדוז של מיקרוסופט, ודרך ההפצה שלהם זהה.

לא שחקן חדש במערכה

הווירוס ה"חדש" פועל במחשבים מאז חודש מרץ 2010, אף שלא התגלה על ידי תוכנות אנטיוירוס עד עתה. בקספרסקי לא מבינים מדוע לקח כל כך הרבה זמן לגלות את הווירוס, שכן מדובר בקובץ בגודל 20 מגה, הכולל ספריות ומסדי נתונים מקודדים - חלקם בקידוד ברמה גבוהה וחלקם פחות.

על פי קספרקסי, ישנן עדויות שעל פיהן הווירוס נוצר כבר ב-2007, באותו זמן שהווירוס סטוקסנט נוצר לראשונה. המומחים טוענים כי הסיבה לאמונה זו, היא רמת המורכבות של הקוד וגודל הקובץ.

יחד עם זאת, ניתוח מלא של הקוד כולו עלול להיארך שנים. אחד המומחים אמר כי לחברה לקח חצי שנה לנתח את סטוקסנט, וכיוון שהווירוס החדש מורכב יותר פי 20 - סביר להניח שייקח כ-10 שנים כדי להבין את כל כולו.

גילוי ראשוני: לפני שבועיים

הווירוס התגלה לראשונה לפני כשבועיים, לאחר שבקספרסקי התבקשו לבדוק דיווחים מחודש אפריל השנה, שעל פיהן מחשבים ממשרדים ממשלתיים באיראן נתקלו בתוכנות זדוניות אשר מוחקות מידע ואולי אף גונבות אותו ממחשביהם. הדיווחים הראשוניים בתקשורת בנוגע לתוכנה הזדונית, התייחסו אליה בשם "וייפר".

מתכנתי קספרסקי בדקו את ארכיון הנתונים שלהם שכולל דיווחי משתמשים, וחיפשו בו שמות של קבצים חשודים שנמצאו על המחשבים הנגועים. ככל שהעמיקו בחיפוש, מצאו החוקרים מחשבים נגועים נוספים באותו אזור של הדיווחים הראשוניים, ולבסוף הוחלט כי מדובר באותו איום וירטואלי, שקיבל את השם החדש "פליים".

יחד עם זאת, בקספרסקי עדיין לוקחים בחשבון כי יתכן שהדיווחים בגין תוכנת הרוגלה וייפר מתייחסים לאיום סייבר אחר.