Tal Pavel

טרור קיברנטי: החזיתות מתחממות גם בזירה המקוונת

/ב , /על ידי

ב-9 באוגוסט, שוב נתבשרנו על כלי מקוון חדש שתקף מחשבים ברחבי המזרח התיכון. בחודשים האחרונים הדבר הפך לשגרה של ממש; הכל החל עם גילוי ה-Stuxnet בספטמבר 2010 – אותה נוזקה שנועדה לשבש מחשבים בתעשיית הגרעין האיראנית. בהמשך נחשפנו לשמות דוגמת ה-Duqu, ה-Stars שהאיראנים מיהרו להכריז באפריל 2011 כי פגע במחשביהם, ה-Flame שנחשף במאי השנה ובהמשך ה-AC/DC וביולי – ה-Mahdi.

הדו"ח של קספרסקי היטיב למקם את השמות על מקלדת המחשב, בציר שלמרבה העניין הוא גם כרונולוגי (מעניין שגם AC/DC ממוקמת על אותו ציר אותיות אך לא כרונולוגית, ומקום ה-Mahdi נפקד).


אז מה יש לנו הפעם ? להבדיל מהעבר, עת נתגלו מרבית מופעי הנוזקות באיראן וחלקן בישראל, הרי שכעת נראה כי מרבית הפעילות כוונה דווקא לעבר לבנון.

ייחוד נוסף הוא באוכלוסיית המטרה של כלי זה, אשר נראה כי הפעם כוון כלפי תעשיית הבנקאות כפי שצויין בטוויט רשמי של מעבדות קספרסקי;

גם הפעם נטען כי מאחוריו, בשל מורכבותו, עומדת מדינה וכי הוא אף מורכב יותר מחלק מהקודמים לו, כפי שהעיד יוג'ין קספרסקי עצמו בטוויטר שלו;

כבעבר, שם הנוזקה ניתן לה בשל מודולים או עקבות שנמצאו בה. כאלו אשר יכולים להעיד על כוונת מכוון, אולי מעין משחק בלשי של מחבריו. הפעם מדובר במספר מודולים בנוזקה הנושאים את שמות משפחתם של מתמטיקאים ופילוסופים מפורסמים. כאשר Gauss, המודול הנושא את שמו של Carl Friedrich Gauss, הוא החשוב מביניהם;

The modules have internal names which appear to pay tribute to famous mathematicians and philosophers, such as Kurt Godel, Johann Carl Friedrich Gauss and Joseph-Louis Lagrange.

The module named “Gauss” is the most important in the malware as it implements the data stealing capabilities and we have therefore named the malware toolkit by this most important component.

כמו במקרים קודמים, ההד התקשורתי נוצר כעת עם פרסום הדבר, אולם דו"ח מקיף, בן 48 עמודים, של חברת קספרסקי מגלה כי ההדבקה הראשונה בכלי זה התרחשה כבר בספטמבר 2011. ביוני 2012 הוא התגלה וחודש לאחר מכן הוא חדל מלפעול. כאשר בתקופה זו תועדו בו מספר שינויים. בהקשר זה אציין כי שמתי לב שכמו ב-Mahdi, כך גם במקרה של ה-Gauss, העדכונים שחלו בכלי זה התבטאו בין השאר בעדכון כתובת שרת הפיקוד על כלי זה.

לעת עתה התקשורת הערבית עדיין בוחנת את הנושא; רשת LBC הלבנונית פרסמה ידיעה בנושא ללא פרשנות תוך ציון העובדה כי הנפגעות העיקריות הן לבנון ומדינות נוספות, תוך התייחסות לישראל רק בגוף הכתבה.

לסיכום, העיסוק התקשורתי כעת הוא סביב כלי לאיסוף מידע אשר החל פעילותו בספטמבר שעבר (בדומה ל-Mahdi אשר התגלה ביולי אך החל פעילותו בדצמבר אשתקד) ולמעשה חדל מלפעול לפני חודש. פריט הסטורי. אולם לא מין הנמנע כי קיימים אחרים ואולי אף רבים הפעילים בימים אלו ממש, אשר יתגלו ויקבלו שמות אקזוטיים ברבות הימים והחודשים. ואולי לא.