Tal Pavel

מהדי – גלגוליה של נוזקה

/ב , , /על ידי

ה"להבה" שנחשפה בסוף מאי 2012, זכתה להד תקשורתי בן מספר ימים ותוארה כ"דבר האמיתי" וכ"כלי הריגול המקוון האולטימטיבי". זאת בשל מורכבותו הרבה של כלי זה ושלל היכולות אשר לפי הפרסומים נכללו בו לשם איסוף מודיעין ממחשבי היעד להם הוא חדר. כעבור חודשיים, ב-17 ביולי, דיווחה מעבדת קספרסקי (לצד מחקר של חברת Seculert) על גילויה של נוזקה חדשה בשם מהדי (Mahdi או Madi).

סקירות מפורטות ומקיפות אלה גילו כי למעשה מדובר בנוזקה אשר התגלתה מספר חודשים קודם לכן והיתה פעילה ככל הנראה לפחות מדצמבר 2011, מתקפה שפגעה בכ-800 אתרים ובכללם חברות תשתית, שרותים פיננסיים ושגרירויות. נתון מרתק מגלה כי התקשורת, לצד מספר רכיבים בשרת, כללו מחרוזות בשפה הפרסית ובכלל זה תאריך במבנה המתאים ללוח השנה הפרסי. עוד נמסר כי נוזקה זו פנתה לשרת הממוקם בקנדה ובתחילת דרכה נעשתה הפניה לשרת בטהראן. שמה ניתן לה בשל קובץ בשם Mahdi.txt.

המחקר חושף את היכולות של הכלי בתחום איסוף המודיעין ובכלל זה; Keylogging; צילום מסכים בזמנים קבועים ומוגדרים או כאלה שהן תוצר של ארוע שהוגדר מראש דוגמת התחברות לשרותי דואר רשת; הקלטת אודיו ושמירתו; איסוף מידע אודות מבנה הדיסק במחשב ועוד.

למרות הדימיון בין שתי המתקפות האחרונות, קובע המחקר של Seculert כי אין ביכולתו לקשור בין השתיים. עוד נטען כי לא ניתן לקבוע בוודאות כי מדינה עומדת מאחורי התקפה זו, אולם מורכבות הפעילות במהלכה מעידה, כי היה צורך בהשקעה נרחבת ובגב פיננסי לפעילות זו;

It is still unclear whether this is a state-sponsored attack or not. The targeted organizations seem to be spread between members of the attacking group by giving each victim machine a specific prefix name, meaning that this operation might require a large investment and financial backing.

מנגד, המחקר של קספרסקי לא רואה בהתקפה זו פעילות מתוחכמת יתר על המידה. המחקר מגלה כי בבסיס נוזקה זו עומד נושא ה"הנדסה החברתית", באמצעות הטמנת הנוזקה בשני קבצי מצגות מסוג PowerPoint, אשר בחלקן היו תמונות ובהן כיתוב בעברית קלוקלת מעשה ידי מחשב. זאת לכדי התקפה המתבררת כלא מתוחכמת מידי לדברי מחקר זה;

Like many pieces of this puzzle, most of the components are simple in concept, but effective in practice. No extended 0-day research efforts, no security researcher commitments or big salaries were required. In other words, attacking this set of victims without 0-day in this region works well enough.

גם לא מבחינת בחירת שפת הפיתוח;

"The backdoors that were delivered to approximately 800 victim systems were all coded in Delphi. This would be expected from more amateur programmers, or developers in a rushed project".

כמו במקרה של ה"להבה", פרסם ה-CERT האיראני הודעה בעניין זה, יום למחרת פרסום הפרשה ברחבי העולם. לאחר המידע הכללי אודות גילוי וירוס זה, מפרטת ההודעה את מסקנות צוות הבדיקה האיראני:

  • "המקור הראשון שזיהה תוכנה זו היא חברת seculert, חברת אבטחה ישראלית.
  • וירוס זה נחשב לפשוט וזול, ולא הכיל בתוכו חולשות מיוחדות שנועדו להתגלות. ולכן, על-אף ההשוואות שנעשו עם איומים כדוגמת Flame, לא סביר כי וירוס זה מהווה איום סייברי.
  • בעזרת חיפוש פשוט באינטרנט, ניתן להבין בקלות כי תוכנה זו התגלתה כבר בעבר (ראה טבלה למטה). חברת Sophos (חברת Anti-Malware) תיארה את אופן פעילות הווירוס כבר לפני חמישה חודשים.

  • באופן כללי לא ברור מדוע וירוס פשוט זה אשר נחשף כבר בעבר על-ידי חברות אנטי-וירוס, נמצא באור הזרקורים ומקבל סיקור נרחב על-ידי כלי התקשורת".

לאחר הגילוי הראשוני של כלי זה ב-17 ביולי, נודע כי על פי מחקר במעבדות קספרסקי כי ב-25 אותרה לו גרסה חדשה, אשר נטען כי נוצרה בתאריך זה. לפי הטענה גרסה זו עודכנה וכעת פונה לשרת בקנדה לשם שליטה ובקרה. בנוסף נמסר כי הגרסה החדשה יכולה לנטר את הרשת החברתית הרוסית VKontakte ואת פלטפורמת התקשורת Jabber, כמו גם הרחבת רשימת מילות המפתח הנתונות למעקב. אלו כוללות כעת את המילים USA, Gov בכותרתן. הערכת מעבדת קספרסקי היא כי השינוי מעיד על הפנית תשומת הלב לעבר ארה"ב וישראל. בנוסף נטען כי הגרסה החדשה אינה ממתינה לפקודת טעינה משרת הפיקוד, אלא מטעינה את המידע שנגנב לשרת מיידית.

על פי מחקר ההמשך בקספרסקי נראה כי מרבית מופעי נוזקה זו מצויים באיראן ולאחריה ארה"ב וישראל;

גם המחקר של  Seculert קובע כי מרבית המופעים התגלו באיראן;

אולם מחקר דומה של חברת האבטחה סימנטק מגלה תמונה הפוכה לפיה מרבית ההתקפות התגלו דווקא בישראל;

אך גם הוא קובע כי תפוצתו התאפשרה הודות להסתמכות על "הנדסה חברתית".

האם כלי זה נועד לפגוע בראש ובראשונה באיראן ? האם בישראל ? מסתבר שגם בשאלה בסיסית זו חלוקות הדעות. אולם אין ספק כי זהו עוד כלי תקיפה, מתוחכם יותר או פחות, אשר נוצר לשם איסוף מידע בדרכים מגוונות ממחשב היעד. כאשר נראה כי אוכלוסיות היעד נבחרו מראש.

מקרה זה מלמד יותר מכל על הקלות בה ניתן להסתמך על אותה "הנדסה חברתית" והיכולת להשתמש בנו, משתמשי הקצה, לשם הפעלת קבצים שונים המצורפים למיילים, גם אם אלו מגיעים ממקורות בלתי ידועים, זאת רק בשל היותם מכילים קבצים מסקרנים. הסקרנות האנושית אולי לא הרגה את החתול, אבל את אבטחת המידע – ללא ספק.