Tal Pavel

טרור קיברנטי: החזיתות מתחממות גם בזירה המקוונת

/ב , /על ידי

ב-9 באוגוסט, שוב נתבשרנו על כלי מקוון חדש שתקף מחשבים ברחבי המזרח התיכון. בחודשים האחרונים הדבר הפך לשגרה של ממש; הכל החל עם גילוי ה-Stuxnet בספטמבר 2010 – אותה נוזקה שנועדה לשבש מחשבים בתעשיית הגרעין האיראנית. בהמשך נחשפנו לשמות דוגמת ה-Duqu, ה-Stars שהאיראנים מיהרו להכריז באפריל 2011 כי פגע במחשביהם, ה-Flame שנחשף במאי השנה ובהמשך ה-AC/DC וביולי – ה-Mahdi.

הדו"ח של קספרסקי היטיב למקם את השמות על מקלדת המחשב, בציר שלמרבה העניין הוא גם כרונולוגי (מעניין שגם AC/DC ממוקמת על אותו ציר אותיות אך לא כרונולוגית, ומקום ה-Mahdi נפקד).


אז מה יש לנו הפעם ? להבדיל מהעבר, עת נתגלו מרבית מופעי הנוזקות באיראן וחלקן בישראל, הרי שכעת נראה כי מרבית הפעילות כוונה דווקא לעבר לבנון.

ייחוד נוסף הוא באוכלוסיית המטרה של כלי זה, אשר נראה כי הפעם כוון כלפי תעשיית הבנקאות כפי שצויין בטוויט רשמי של מעבדות קספרסקי;

גם הפעם נטען כי מאחוריו, בשל מורכבותו, עומדת מדינה וכי הוא אף מורכב יותר מחלק מהקודמים לו, כפי שהעיד יוג'ין קספרסקי עצמו בטוויטר שלו;

כבעבר, שם הנוזקה ניתן לה בשל מודולים או עקבות שנמצאו בה. כאלו אשר יכולים להעיד על כוונת מכוון, אולי מעין משחק בלשי של מחבריו. הפעם מדובר במספר מודולים בנוזקה הנושאים את שמות משפחתם של מתמטיקאים ופילוסופים מפורסמים. כאשר Gauss, המודול הנושא את שמו של Carl Friedrich Gauss, הוא החשוב מביניהם;

The modules have internal names which appear to pay tribute to famous mathematicians and philosophers, such as Kurt Godel, Johann Carl Friedrich Gauss and Joseph-Louis Lagrange.

The module named “Gauss” is the most important in the malware as it implements the data stealing capabilities and we have therefore named the malware toolkit by this most important component.

כמו במקרים קודמים, ההד התקשורתי נוצר כעת עם פרסום הדבר, אולם דו"ח מקיף, בן 48 עמודים, של חברת קספרסקי מגלה כי ההדבקה הראשונה בכלי זה התרחשה כבר בספטמבר 2011. ביוני 2012 הוא התגלה וחודש לאחר מכן הוא חדל מלפעול. כאשר בתקופה זו תועדו בו מספר שינויים. בהקשר זה אציין כי שמתי לב שכמו ב-Mahdi, כך גם במקרה של ה-Gauss, העדכונים שחלו בכלי זה התבטאו בין השאר בעדכון כתובת שרת הפיקוד על כלי זה.

לעת עתה התקשורת הערבית עדיין בוחנת את הנושא; רשת LBC הלבנונית פרסמה ידיעה בנושא ללא פרשנות תוך ציון העובדה כי הנפגעות העיקריות הן לבנון ומדינות נוספות, תוך התייחסות לישראל רק בגוף הכתבה.

לסיכום, העיסוק התקשורתי כעת הוא סביב כלי לאיסוף מידע אשר החל פעילותו בספטמבר שעבר (בדומה ל-Mahdi אשר התגלה ביולי אך החל פעילותו בדצמבר אשתקד) ולמעשה חדל מלפעול לפני חודש. פריט הסטורי. אולם לא מין הנמנע כי קיימים אחרים ואולי אף רבים הפעילים בימים אלו ממש, אשר יתגלו ויקבלו שמות אקזוטיים ברבות הימים והחודשים. ואולי לא.

Tal Pavel

מהדי – גלגוליה של נוזקה

/ב , , /על ידי

ה"להבה" שנחשפה בסוף מאי 2012, זכתה להד תקשורתי בן מספר ימים ותוארה כ"דבר האמיתי" וכ"כלי הריגול המקוון האולטימטיבי". זאת בשל מורכבותו הרבה של כלי זה ושלל היכולות אשר לפי הפרסומים נכללו בו לשם איסוף מודיעין ממחשבי היעד להם הוא חדר. כעבור חודשיים, ב-17 ביולי, דיווחה מעבדת קספרסקי (לצד מחקר של חברת Seculert) על גילויה של נוזקה חדשה בשם מהדי (Mahdi או Madi).

סקירות מפורטות ומקיפות אלה גילו כי למעשה מדובר בנוזקה אשר התגלתה מספר חודשים קודם לכן והיתה פעילה ככל הנראה לפחות מדצמבר 2011, מתקפה שפגעה בכ-800 אתרים ובכללם חברות תשתית, שרותים פיננסיים ושגרירויות. נתון מרתק מגלה כי התקשורת, לצד מספר רכיבים בשרת, כללו מחרוזות בשפה הפרסית ובכלל זה תאריך במבנה המתאים ללוח השנה הפרסי. עוד נמסר כי נוזקה זו פנתה לשרת הממוקם בקנדה ובתחילת דרכה נעשתה הפניה לשרת בטהראן. שמה ניתן לה בשל קובץ בשם Mahdi.txt.

המחקר חושף את היכולות של הכלי בתחום איסוף המודיעין ובכלל זה; Keylogging; צילום מסכים בזמנים קבועים ומוגדרים או כאלה שהן תוצר של ארוע שהוגדר מראש דוגמת התחברות לשרותי דואר רשת; הקלטת אודיו ושמירתו; איסוף מידע אודות מבנה הדיסק במחשב ועוד.

למרות הדימיון בין שתי המתקפות האחרונות, קובע המחקר של Seculert כי אין ביכולתו לקשור בין השתיים. עוד נטען כי לא ניתן לקבוע בוודאות כי מדינה עומדת מאחורי התקפה זו, אולם מורכבות הפעילות במהלכה מעידה, כי היה צורך בהשקעה נרחבת ובגב פיננסי לפעילות זו;

It is still unclear whether this is a state-sponsored attack or not. The targeted organizations seem to be spread between members of the attacking group by giving each victim machine a specific prefix name, meaning that this operation might require a large investment and financial backing.

מנגד, המחקר של קספרסקי לא רואה בהתקפה זו פעילות מתוחכמת יתר על המידה. המחקר מגלה כי בבסיס נוזקה זו עומד נושא ה"הנדסה החברתית", באמצעות הטמנת הנוזקה בשני קבצי מצגות מסוג PowerPoint, אשר בחלקן היו תמונות ובהן כיתוב בעברית קלוקלת מעשה ידי מחשב. זאת לכדי התקפה המתבררת כלא מתוחכמת מידי לדברי מחקר זה;

Like many pieces of this puzzle, most of the components are simple in concept, but effective in practice. No extended 0-day research efforts, no security researcher commitments or big salaries were required. In other words, attacking this set of victims without 0-day in this region works well enough.

גם לא מבחינת בחירת שפת הפיתוח;

"The backdoors that were delivered to approximately 800 victim systems were all coded in Delphi. This would be expected from more amateur programmers, or developers in a rushed project".

כמו במקרה של ה"להבה", פרסם ה-CERT האיראני הודעה בעניין זה, יום למחרת פרסום הפרשה ברחבי העולם. לאחר המידע הכללי אודות גילוי וירוס זה, מפרטת ההודעה את מסקנות צוות הבדיקה האיראני:

  • "המקור הראשון שזיהה תוכנה זו היא חברת seculert, חברת אבטחה ישראלית.
  • וירוס זה נחשב לפשוט וזול, ולא הכיל בתוכו חולשות מיוחדות שנועדו להתגלות. ולכן, על-אף ההשוואות שנעשו עם איומים כדוגמת Flame, לא סביר כי וירוס זה מהווה איום סייברי.
  • בעזרת חיפוש פשוט באינטרנט, ניתן להבין בקלות כי תוכנה זו התגלתה כבר בעבר (ראה טבלה למטה). חברת Sophos (חברת Anti-Malware) תיארה את אופן פעילות הווירוס כבר לפני חמישה חודשים.

  • באופן כללי לא ברור מדוע וירוס פשוט זה אשר נחשף כבר בעבר על-ידי חברות אנטי-וירוס, נמצא באור הזרקורים ומקבל סיקור נרחב על-ידי כלי התקשורת".

לאחר הגילוי הראשוני של כלי זה ב-17 ביולי, נודע כי על פי מחקר במעבדות קספרסקי כי ב-25 אותרה לו גרסה חדשה, אשר נטען כי נוצרה בתאריך זה. לפי הטענה גרסה זו עודכנה וכעת פונה לשרת בקנדה לשם שליטה ובקרה. בנוסף נמסר כי הגרסה החדשה יכולה לנטר את הרשת החברתית הרוסית VKontakte ואת פלטפורמת התקשורת Jabber, כמו גם הרחבת רשימת מילות המפתח הנתונות למעקב. אלו כוללות כעת את המילים USA, Gov בכותרתן. הערכת מעבדת קספרסקי היא כי השינוי מעיד על הפנית תשומת הלב לעבר ארה"ב וישראל. בנוסף נטען כי הגרסה החדשה אינה ממתינה לפקודת טעינה משרת הפיקוד, אלא מטעינה את המידע שנגנב לשרת מיידית.

על פי מחקר ההמשך בקספרסקי נראה כי מרבית מופעי נוזקה זו מצויים באיראן ולאחריה ארה"ב וישראל;

גם המחקר של  Seculert קובע כי מרבית המופעים התגלו באיראן;

אולם מחקר דומה של חברת האבטחה סימנטק מגלה תמונה הפוכה לפיה מרבית ההתקפות התגלו דווקא בישראל;

אך גם הוא קובע כי תפוצתו התאפשרה הודות להסתמכות על "הנדסה חברתית".

האם כלי זה נועד לפגוע בראש ובראשונה באיראן ? האם בישראל ? מסתבר שגם בשאלה בסיסית זו חלוקות הדעות. אולם אין ספק כי זהו עוד כלי תקיפה, מתוחכם יותר או פחות, אשר נוצר לשם איסוף מידע בדרכים מגוונות ממחשב היעד. כאשר נראה כי אוכלוסיות היעד נבחרו מראש.

מקרה זה מלמד יותר מכל על הקלות בה ניתן להסתמך על אותה "הנדסה חברתית" והיכולת להשתמש בנו, משתמשי הקצה, לשם הפעלת קבצים שונים המצורפים למיילים, גם אם אלו מגיעים ממקורות בלתי ידועים, זאת רק בשל היותם מכילים קבצים מסקרנים. הסקרנות האנושית אולי לא הרגה את החתול, אבל את אבטחת המידע – ללא ספק.

Tal Pavel

הכירו את שדה הקרב החדש

/ב , , /על ידי

שוב נתבשרנו על תקיפה מקוונת אשר בוצעה לכאורה נגד מחשבים במספר מדינות במזרח התיכון ובדגש על אלו שבאיראן. סיפור התולעת Suxnet אשר הסעירה את התקשורת והדמיון לפני שנתיים שב ועולה ושופך בכך מעט אור על השימוש בזירה המקוונת לא רק לשם ביצוע פריצות לאתרים על ידי האקרים בודדים או בקבוצות, אלא אף לפעילות אשר כפי המתואר בפרסומים השונים, מיוחסת למדינה ככלי להשבתת מערכות מחשב וריגול אחר אחרות.

פרשה זו פרצה לתקשורת ב-28 במאי עם היוודע קיומו של כלי תקיפה חדש בשם Flame. אחד המקורות הראשונים למידע אודות מתקפה זו הגיע מניתוח שנעשה ב-CERT האיראני ופורסם באותו היום.

ייחודו של כלי תקיפה זו הוא בהיותו בראש ובראשונה כלי ריגול, זאת להבדיל מהמקרה הידוע של ה-Stuxnet אשר לפי הפרסומים מטרתו היתה לגרום לנזק למחשבים בתעשיית הגרעין באיראן. השם שניתן לכלי זה על ידי חברות אבטחה הואWorm.Win32.Flame , או W32.Flamer.

הראשונים לחקור כלי זה היו חוקרי חברת האבטחה Kaspersky, אשר פרסמו את ממצאיהם באותו היום. המחקר מגלה כי כלי תקיפה זה הוא חבילה גדולת מימדים של כלים שונים, בעלת נפח רב ומורכבות פנימית עצומה וכן מגוון יכולות המציבות אותו בחזית כלים אלו. זאת גם בשל האפשרויות החדשות הקיימות בו, דוגמת שימוש במכשירי Bluetooth והקלטת מידע קולי באמצעות מיקרופונים פנימיים, שלא נכללו בכלים דומים בעבר. כלומר המורכבות היא ביכולת "לגנוב מידע בכל כך הרבה דרכים שונות".

אכן, חוקר האבטחה הראשי בחברה הגדיר כלי זה כ- super-cyberweapon. לדבריו כלי זה הוא "אחד מהאיומים המורכבים ביותר אשר התגלו מעולם. הוא גדול ומתוחכם בצורה יוצאת דופן. הוא מעצב מחדש את ההכרה אודות מלחמה וריגול מקוונים".

המחקרים טוענים כי התקיפה בוצעה נגד מחשבים באיראן, ישראל (ו/או הרשות הפלסטינית), סודאן, סוריה, לבנון, ערב הסעודית ומצרים. לדברי החוקר, מחצית מ-382 ההתקפות שאותרו יועדו נגד מחשבים באיראן.

חברת האבטחה Symantec פרסמה אף היא נתונים אודות כלי זה ממנו עולה כי למרות תחכומו הרב והיותו כלי ריגול, הוא מוגדר על ידה כבעל רמת תפוצה נמוכה ורמת נזק בינונית. ככל הנראה בשל היותו כלי תקיפה ממוקד ולא כזה המתפשט באקראי ברחבי האינטרנט וכן בשל העובדה כי אין זה כלי שמטרתו לגרום לנזק, אלא לשמש לריגול ואיסוף מידע. עוד עולה מניתוח זה כי תפוצת הכלי הינה באמצעות כוננים ניידים, מטרתו היא גניבת נתונים וכי הסרתו נחשבת כקלה. בסיכומו של דבר הגדירה חברת האבטחה כלי זה כבעל רמת סיכון "נמוכה ביותר". עוד עולה מהמחקר שערכה, ציר הזמן המשוער במחזור החיים של כלי תקיפה זה ובו עדויות בדבר קיומו כבר בשנת 2007.

הדיווחים השונים מעידים על כלי יעודי, מורכב וחדשני אשר נועד לספק מידע על כל המתרחש במחשב היעד ולהעביר מידע זה לגורמים הרלבנטיים בצורה מקוונת ונסתרת. אלו מתייחסים לכלי זה כבעל תחכום רב מאוד וככזה שאף שהיה במחשבי המטרה לפחות חמש שנים בטרם התגלה. כל אלו מצביעים, על פי הפרסומים, על כך פיתוחו של כלי ריגול זה הינו תוצר של מדינה.

גילוי כלי ריגול מקוון זה מאיר את הפינה האפלה של משחקי הריגול הקיימים, ואת האפשרויות הרבות הטמונות בעולם המקוון, ליצירת נזק ולאיסוף מידע. עידן בו לשחקנים בודדים ולארגונים יכולת לגרום נזק ולפגוע בתשתיות של מדינות ואף מעצמות זאת בשל תלותנו הרבה במערכות מחשב, בכלים מקוונים ובטכנולוגיית המידע באשר היא.

להבה זו יכולה להאיר את הסכנות הקיימות למידע האישי בעידן המקוון ואת הצורך במודעות, בצעדי אבטחה והתגוננות אף ברמת הפרט ומחשבו האישי.

Tal Pavel

באש הלהבה

/ב , , /על ידי

בתחילת השבוע התבשרנו על שלב חדש בלוחמה המקוונת במזרח התיכון בדמות נוזקה חדשה אשר שמה Flame ושלפי הדיווחים נועדה למטרות איסוף מודיעין באמצעים מתוחכמים שונים ממחשבים אישיים של ארגונים וגופי ממשל ברחבי המזרח התיכון.

לעת עתה דווח על פגיעתה במספר ממדינות המזרח התיכון, כאשר נראה כי איראן מצויה במוקד פגיעתה של נוזקה זו. הדיווחים השונים טוענים כי תוכנת ריגול זו הינה מעשה ידיה של מדינה אשר הוצרכה למספר שנות פיתוח למימושה.

כזכור, אין זו הפעם הראשונה בה נודע על נוזקות הפוגעות באיראן. המקרים הקודמים היו של Stuxnet אשר נטען בספטמבר 2010 כי פגעה במחשבים הקשורים בתעשיית הגרעין באיראן וכן Duqu אשר היתה קשורה ככל הנראה בזו הקודמת והתגלתה שנה לאחר מכן.

אולם בנוסף לשתיים אלו נודע על נוזקה נוספת, Stars, אשר איראן פרסמה מיוזמתה את דבר קיומה באפריל 2011.

בשלהי אפריל השנה נודע על התקפה מקוונת אשר לכאורה בוצעה על מחשבי תעשיית הנפט באיראן – ככל הנראה על ידי האקרים סעודיים. כבעבר, כך גם הפעם, טענו המקורות האיראניים כי הרשויות במדינה הצליחו להכיל את המקרה לצמצם את הנזק לכדי השפעה שולית.

אולם, על פי הפרסומים, איראן אינה טומנת ידה בצלחת. ארה"ב הגדירה רק לאחרונה את איראן כאיום מקוון על בטחונה של ארה"ב וככזו אשר ביכולתה לגרום נזק באמצעים מקוונים לתשתיות קריטיות בארה"ב. זאת באמצעות השקעה איראנית רחבת היקף בשנים האחרונות ביכולותיה בתחום ההגנה והלוחמה המקוונים.

בשני המקרים הקודמים, של הנוזקות Stuxnet ו-Duqu, הודו שלטונות איראן בפעילות והתייחסו אליה לאחר זמן מה. ככל הנראה לאחר שהתמודדו על ההשפעות הראשונות ולמדו את היקף נזק.

למרות הדיווחים השונים בישראל, לעת עתה שומרת איראן הרשמית על שתיקה מוחלטת בהתייחסות לפרשה החדשה ולא נמצאו איזכורים לה באתריהם של אמצעי התקשורת הרשמיים במדינה. לא מין הנמנע כי לעת עתה אין ברצונה להודות בפגיעה שנעשתה בה, ולבטח לא בטרם תלמד את הנתונים לאשורם ותצליח להכיל את הפרשה.

במטרה להתמודד עם נזקי האינטרנט, הן אלו התרבותיים והפוליטיים והן אלו הטכנולוגיים, הכריזה איראן פעמים רבות בשנים האחרונות על כוונתה לממש רשת אינטרנט פנימית "כשרה" בתחומה, אשר בה ישתמשו תושבי המדינה ושתהיה מנותקת ככל האפשר מהאינטרנט המוכר לנו. אולם למרות ההגבלות השלטוניות החמורות על האינטרנט באיראן, היא רחוקה מלהדמות לזו המצטיירת בעיני רוחנו.

איראן מהווה מעצמה אזורית מבחינת מספר משתמשי האינטרנט ואף בשיעור חדירת האינטרנט לתחומה, אשר למרבה הפלא עומד על כ-47%. בנוסף, שיעור הגידול במספר משתמשי האינטרנט באיראן הוא הגבוה מבין מדינות האזור.

לאור עוצמת האינטרנט והשפעתו הרבה על חיים מודרניים, רשת אינטרנט פנימית זו תהפוך את איראן לאי מבודד עוד יותר בהיבטים רבים מחיי היום יום. ללא ספק מטרה עיקרית של ההנהגה האיראנית.

שמות הוירוסים השונים, אשר הפכו מזמן לחלק מעולם המושגים שלנו, מעלים על פני השטח וחושפים מעט מהלוחמה המקוונת המתבצעת בין מדינות בשנים האחרונות. ה"להבה" האיראנית מאירה שוב את החשיבות הקיימת בימינו למידע ולשליטה בו. מצב בו אתרי אינטרנט ישראליים נפרצים מידי יום מבלי שנהיה מודעים לכך וליכולתו של צעיר סעודי (?) לשבש במידת מה חייה של מדינה שלמה בכך שפרץ לאתרים וגנב נתונים אישיים ופרטי כרטיסי אשראי לרוב.

פרשה זו האירה לא רק המלחמה המקוונת החשאית המתקיימת בין מדינות וארגונים, אלא גם את פניו של האינטרנט במזרח התיכון, אשר רחוק מלהיות זה המצטייר בעיני המתבונן מהצד.

Tal Pavel

האם וירוס חדש תקף את איראן?

/ב , , /על ידי

ביום שני 25 באפריל 2011 דיווחה סוכנות הידיעות האיראנית Mehr כי איראן היתה נתונה למתקפה מקוונת שניה לאחר מתקפת ה-Stuxnet. הפעם על ידי תולעת בשם Stars. לטענת הדובר האיראני – מפקד ההגנה האזרחית במדינה, מומחי המחשבים של איראן זיהו את הוירוס מבעוד מועד והם בחנו נוזקה זו ולמדוה. לדבריו, נראה כי מטרת המתקפה לפגוע במחשבים של משרדי ממשלה באיראן והוסיף כי על המדינה להתכונן למתקפות מקוונות נוספות בעתיד אשר יהיו הרסניות יותר מהנוכחית. בעניין זה ציין הדובר כשבוע קודם לכן כי איראן רואה בחברת Siemens הגרמנית כאחראית לחדירת התולעת Stuxnet למחשבים במתקני תעשיה באיראן.

אולם להבדיל ממקרה ה-Stuxnet, הרי שתולעת זו לא זכתה לכל הד תקשורתי. מומחי אבטחה במערב דווקא נטו לפקפק באמיתות הטענות, זמן קצר לאחר שפורסמו, בין השאר הואיל ובניגוד לעבר, לא הגיעו לידי המומחים כל דוגמאות של קוד התולעת ואיראן לא חשפה כל מידע אודות ההתקפה המקוונת החדשה.

הועלו מספר טענות לגבי תולעת חדשה זו ובכלל זה: התולעת שהתגלתה הינה חלק ממתקפת ה-Stuxnet ובגדר תוכנית חלופית שיצאה לפועל במסגרת מתקפה זו; ההתקפה הנוכחית הינה נסיון של מדינות נוספות ליצור נוזקות דומות; המדובר בהתקפה מקוונת שולית אשר אכן התרחשה ולאור נסיון העבר במקרה ה-Stuxnet, נופחה מעבר לכל פרופורציה; ועוד השערות.

זאת עד לכדי מצב בו מומחים לא שוללים את האפשרות בדבר הגזמה בארוע מקומי שאכן התרחש, או אף המצאה של ההתקפה לשם מטרות פוליטיות פנימיות, לאור חוסר היציבות השורר במדינה בעת האחרונה. כמובן שקיימת האפשרות כי התקפה שכזו אכן התרחשה ומקורה בתולעת חדשה, אולם במקרה זה בחרו האיראנים שלא למסור במתכוון כל מידע בנושא.

ההערכה היא כי אם ההתקפה הקודמת נועדה לפגוע במתקני תעשיה באיראן, הרי שבמידה ואכן היתה התקפה שניה, הרי שמטרתה לא היתה גרימת נזק, אלא גניבת מידע וריגול.

בתאריך 11 במאי הודיע שר המודיעין האיראני כי מוסדות הממשל הוזהרו מפני תולעת זו וננקטו הצעדים הנדרשים. אולם בראיון שערך ב-18 במאי שר התקשורת וטכנולוגית המידע של איראן לאותה סוכנות ידיעות, Mehr, הוא לא הודה ולא הכחיש את הדיווחים כי איראן הותקפה על ידי תולעת שניה, אלא אמר כי הנושא נלמד כעת וכי הפרסומים המוגזמים בנושא הינם חלק מהלוחמה הפסיכולוגית בה נתונה איראן.

אז יש או אין תולעת חדשה ? האם איראן היתה נתונה למתקפה מקוונת נוספת ? האם זו המצאה איראנית למטרות שונות ?

בינתיים נראה כי כשלושה שבועות לאחר הפרסום הראשוני, עדיין רב הנסתר על הנגלה בעניין זה. איראן אינה ממהרת לספק מידע בנושא ונראה כי למומחים במערב יש יותר השערות ממידע מוצק.