כיצד אותרה Flame, נוזקת העל שהיא גם סוס טרויאני, גם תולעת וגם וירוס? איך היא פועלת ומה מבדיל אותה מנוזקות על אחרות כמו Duqu ו-Stuxnet? מומחי מעבדת קספרסקי מסבירים. מעבדת קספרסקי חשפה אמש את גילויה של Flame, נוזקה מתוחכמת במיוחד שהיא נשק סייבר פעיל – שתוקף ארגונים ומוסדות במספר מדינות. המורכבות והפונקציונליות של הנוזקה החדשה הן ברמה שעולה בהרבה על של כל איומי הסייבר שהתגלו עד עתה.
נוזקת Flame תקפה מערכות באיראן, לבנון, סודן, סוריה, בישראל, ברשות הפלסטינית ובצפון אפריקה בשנתיים האחרונות. היא התגלתה על ידי מומחי מעבדת קספרסקי במהלך חקירה שנעשתה עבור התאחדות הטלקומוניקציה הבין לאומית ITU. התוכנה הזדונית, שאותרה בתור Worm.Win32.Flame על ידי מומחי האבטחה של מעבדת קספרסקי, תוכננה למשימות ריגול מקוון ברמה שטרם אותרה בעבר.
מהי בעצם Flame? מה היא עושה?
נוזקת Flame היא ערכת תקיפה מתקדמת בהרבה מ-Duqu. יש לה מאפיינים של סוס טרויאני, של תולעת ושל נוזקה שמתבססת על פרצות במערכות. ביכולתה לשכפל את עצמה לרשתות מקומיות ולפעול גם מהתקני USB.
נקודת הפריצה הראשונית של Flame אינה ידועה. מומחי קספרסקי חושדים שהיא פורצת על ידי התקפות ממוקדות על מחשבים ספציפיים. עם זאת, עדיין לא אותר דפוס ההפצה המקורי של הנוזקה. מומחי קספרסקי איתרו קשר אפשרי לנקודת התורפה MS10-033, אולם נקודת הפריצה המדויקת של Flame טרם אותרה. לאחר שמהערכת נגועה, Flame מתחילה לבצע סדרה של פעולות, ביניהן ניטור תעבורת רשת, צילומי מסך, הקלטת שיחות אודיו, תיעוד כל מה שמקליד המשתמש ועוד. כל המידע הזה עובר אל מפעילי Flame דרך שרתי השליטה והבקרה בנוזקה. מאוחר יותר, המפעילים יכולים להטעין מודול שמרחיב אף יותר את יכולות הריגול של Flame. למפעילים יש 20 מודולים שונים, ככל הנראה כדי להתמודד עם מטרות שונות – יכולות המודולים עדיין נחקרות.
עד כמה מתוחכמת Flame?
ראשית, יש להבין שלנוזקה יש חבילת מודולים גדולה מאוד, בגודל של כמעט 20 מגבייט לאחר פתיחת הקבצים. מתוך כך, זוהי נוזקה קשה מאוד לניתוח שכוללת מספר ספריות לדחיסה ותמרון מסדי נתונים. נוזקת Flame מתבססת בחלקה על שפת התכנות LUA שהיא מאוד אדפטיבית – ותחתיה פעולות משנה שנכתבו בשפת C++. הנוזקה כוללת גם מסדי נתונים פנימיים שבהם שיטות הצפנה, אלגוריתמים לדחיסת מידע, סקריפטים לפעולות השתלטות על כלי ניהול במערכת ההפעלה Windows ועוד. נוזקת Flame היא ללא ספק אחת הנוזקות המורכבות ביותר שאי פעם אותרו על ידי תעשיית אבטחת המידע.
קוד LUA ב-Flame
נוזקת Flame שונה מנוזקות על אחרות בכמה דברים. ראשית, השימוש בקוד LUA הוא לא שגרתי וכמותו גם הבחירה לעצב ערכת פריצה גדולה יחסית. בעוד נוזקות מתקדמות מתבססות על גודל קטן בהרבה כדי להימנע מגילוי, מתבססת Flame על הסתרה באמצעות קוד גדול, עשיר ומורכב.
בנוסף, היכולת להקליט את המתרחש בסביבת המחשב באמצעות שעבוד תוכנת המיקרופון המובנה שיש בכל מחשב נייד היא חריגה. לא משום שלא אותרו בעבר נוזקות בעלות יכולת זו – אלא משום שבמקרה של Flame, זהו רק עוד אחד מכלי הריגול שהיא מפעילה בו זמנית בכל התקפה.
עוד תכונה מעניינת שמבדילה את Flame מקודמותיה היא היכולת להשתמש בהתקני בלוטות’ ולאסוף מידע על מכשירים תומכי בלוטות’ שנמצאים בסביבת המחשב שנפרץ. בנוסף, הנוזקה יודעת לבצע צילומי מסך כשמופעלות תוכנות ספציפיות במחשב – כמו למשל, תוכנות מסרים מידיים, אימייל, שירותי אחסון ועוד.
איזה סוג של מידע מחפשת הנוזקה?
ניתוח ראשוני של ההתקפות הראה שמפעילי Flame חיפשו מידע מודיעיני רגיש – מיילים, מסמכים, הודעות דיונים במתקנים מסווגים ועוד. היות ואין מגמת התמקדות במטרה ספציפית (כמו למשל, בתשתיות אנרגיה ועוד). מתוך כך מעריכים מומחי קספרסקי שמדובר בנוזקה רב שימושית.
כפי שארע בעבר, תוכנות ריגול מתקדמות מסוגלות גם לטעון מודולי תקיפה למערכות הפרוצות, לשליטה בבקרי SCADA (בקרים לוגיים שמפעילים מתקנים פיזיים. למשל – בקרת טמפרטורה בתחנת כוח), מה שיכול להשפיע על תשתיות חיוניות. להתקפות אין דפוס אחיד – נפרצו מערכות של גופים במדינות, מוסדות אקדמיים ואפילו מחשבים פרטיים.
מי פיתח את Flame?
ישנם שלושה גורמים שמפתחים נוזקות ותוכנות ריגול בעולם – האקרים פוליטיים, פושעי סייבר ומדינות. נוזקת Flame אמנם יכולה לשמש לגניבת כסף מחשבונות בנק, סיסמאות ומידע פרטי אולם היא לא תוכננה לכך. מדובר בנוזקה מתוחכמת ומורכבת בהרבה מאלו בהן משתמשים פושעי סייבר והאקטיביסטים ולכן רק גורם מדיני יכול לעמוד מאחורי Flame. בנוסף, מפת הפעילות המאותרת של Flame מעידה על אינטרסים של מדינות ולא של האקרים. מי עומד מאחורי Flame? אין מידע בקוד עצמו שיעיד על מקורה של Flame, בדומה ל-Stuxnet ו-Duqu, לא ניתן לדעת בשלב זה.
עם זאת, Flame שונה מהותית מנוזקות העל הקודמות שאותרו: היא גדולה פי 20 מ-Stuxnet, למשל, אינה משתמשת בקוד Tilded – שפת התכנות הייחודית שבעזרתה נכתב Duqu. לפיכך, אפשר להניח שמדובר בפרויקט שבוצע במקביל ל-Duqu ו-Stuxnet.
ישנן מספר ראיות שמראות שליוצרי Flame היתה גישה לטכנולוגיה בה נעשה שימוש בכתיבת Stuxnet, כמו למשל רכיב ההדבקה autorun.inf וניצול אותן נקודות תורפה שמתמקדות במדפסות. מצד שני, לא ניתן לשלול את קיומן של גרסאות נוספות של Flame שפותחו לאחר גילוי Stuxnet. יתכן שהמידע שנחשף על נוזקה זו השפיע על פיתוח גרסאות מאוחרות יותר של Flame. לפי הערכת מומחי קספרסקי, Flame ונוזקות Duqu ו-Stuxnet פותחו על ידי קבוצות נפרדות. יתכן שהנוזקות פעלו במקביל (Flame החלה לפעול במרץ 2010, בסמוך לגילוי Stuxnet) נגד חלק מהמערכות שנפרצו.
איך אותרה Flame?
המחקר העצמאי נערך ביוזמת ה-ITU ומעבדת קספרסקי לאחר סדרת תקריות בהן לקחה חלק נוזקה מסתורית והרסנית אחרת, שזכתה לשם Wiper – ומחקה מידע ממספר גדול של מחשבים באיראן. במהלך ניתוח המקרים גילו מומחי קספרסקי וה-ITU סוג חדש לחלוטין של נוזקה – Flame. בגלל מורכבותה ואופי פעולתה, Flame לא אותרה על ידי אף תוכנת אבטחה בעולם.
על אף שמאפייני Flame שונים מאלו של נשקי סייבר מתוחכמים קודמים כמו Sruxnet ו-Duqu, האזור הגאוגרפי בו פעלה, ההתמקדות בנקודות תורפה ספציפיות והעובדה שרק מערכות ספציפיות נפגעו מראים ש-Flame משתייך לאותה קטגוריית “סופר נשקי סייבר”.
מהי Wiper?
הנוזקה הספציפית הזו טרם התגלתה במלואה, אולם מידע מהמערכות שהותקפו נמחק לחלוטין ללא יכולת שחזור. למעשה, Wiper מוחקת את המידע בצורה כזו שלא מאפשרת אפילו לחקור אותה בצורה סטנדרטית ולאתר עקבות. כרגע אין מידע שמקשר בין Flame ו-Wiper, אולם מורכבותה של Flame מאפשרת, עקרונית, שימוש ברכיב מחיקת מידע מתקדם. נוזקת Wiper תקפה מערכות באיראן בלבד, בעוד שנוזקת Flame אותרה גם במערכות במדינות אחרות במזרח התיכון.
בתגובה לחשיפת Flame, אמר יוג’ין קספרסקי, מנכ”ל ומייסד מעבדת קספרסקי: “איום מלחמת הסייבר הוא אחד הנושאים החשובים ביותר בתחום אבטחת המידע מזה מספר שנים. Stuxnet ו-Duqu השתייכו לאותה רשת מתקפות, שהעלתה את המודעות לנושאי מלחמת הסייבר בעולם. נוזקת Flame נראית כמו שלב אחר במלחמה וחשוב להבין שנשק סייבר כזה יכול להיות מופעל בקלות נגד כל מדינה. שלא כמו לוחמה קונבנציונלית, דווקא המדינות המפותחות ביותר הן אלו שהכי רגישות להתקפה”.
אלכסנדר גוסטב, מומחה אבטחה בכיר במעבדת קספרסקי, אמר: “הממצאים הראשוניים של המחקר שנעשה בעקבות בקשה דחופה של ITU, מאשרת את אופי ההתקפה הממוקד של Flame. אחת מהעובדות המטרידות ביותר היא שהתקפת Flame נמצאת כעת בשלב פעיל – ומי ששולט בה מנטר את המערכות הנגועות, אוסף מידע ומאתר מערכות חדשות להגשמת מטרותיו”.
מומחי מעבדת קספרסקי עורכים כעת ניתוחים מעמיקים של Flame. במהלך הימים הקרובים יתפרסמו ממצאים נוספים ברשת הבלוגים של קספרסקי.
