מלחמת הסייבר נמשכת: איראן אישרה שווירוס נוסף תקף אותה

סטוקסנט (Stuxnet) לא לבד: איראן הודיעה אמש (א'), כי פיתחה תוכנה המונעת יכולת תקיפה אל מול נוזקה חדשה – תולעת בשם דוקו (Duqu).

בכירים איראניים מסרו לסוכנות הידיעות הרשמית של המדינה, כי הווירוס דומה מאוד לסטוקסנט וציינו שהם הצליחו להתגונן מפניו. דוקו התגלתה ב-1 בספטמבר השנה, ומעריכים שהיא קשורה לסטוקסנט. מנהל מחלקת ההגנה של איראן, גולאם רזא ג'לאלי, מסר ש-"כל המתקנים והציוד שנפגעו מהווירוס תוקנו והם נקיים ומטוהרים. לתולעת אין כל השפעה עליהם. הווירוס נמצא כעת תחת שליטה. אנשי ה-IT שלנו עבדו קשה וממשיכים במרץ במאמצי הנטרול שלהם מול הווירוס".

דיווחים מהעולם העלו, כי הווירוס אותר בצרפת, בבריטניה ובהודו. נמסר, כי ייחודו הוא ביכולתו להגיע ללב מערכת ההפעלה של המחשב. מדובר באופן פעולה הדומה לזה של סטוקסנט, שהייתה כאב הראש של האיראנים בשנתיים האחרונות, לאחר שהצליחה לפגוע במערכות המיחשוב של כמה מאתרי האטום באיראן.

דברי ג'לאלי מגיעים יממה לאחר הפיצוץ המסתורי בבסיס ליד טהרן, ששימש, בין השאר, לאיחסון טילי שיהאב – פיצוץ שיוחס בפרסומים זרים למוסד.

דוקו – פרי פיתוח של יותר מארבע שנים

חברי הכנופיה שהפיצו את הסוס הטרויאני דוקו שקדו על פיתוח הקוד שלו במשך יותר מארבע שנים, כך על פי דו"ח שפרסמה במוסקבה ענקית האבטחה הרוסית קספרסקי ( Kaspersky Lab) בסוף השבוע. החוקרים של קספרסקי בדקו דגימות של הסוס הטרויאני שהתקבלו מסודן ומצאו, כי אחד הקבצים שנכללים בקוד הודר (עבר ההדרה – compilation) באוגוסט 2007. מכאן עולה שהפיתוח החל עוד קודם לכן.

"גם התאריכים של שאר הקבצים תואמים לציר זמן זה", אמר רואל שובנברג, חוקר בכיר בקספרסקי. "איננו יכולים להיות בטוחים ב-100%, אך סביר להניח שתאריכים אלה מדויקים".

שובנברג הוסיף, כי הקובץ שנושא את התאריך אוגוסט 2007 פותח, ככל הנראה, במיוחד עבור דוקו על ידי חברי הכנופיה שאחראים למתקפות ומקורו אינו בתוכנת מדף כלשהי, משום שעד כה הוא לא נמצא באף מזיק אחר. חוקרים אחרים דיווחו על קבצים בסוס הטרויאני שנושאים את התאריך פברואר 2008, אך המתקפות בפועל החלו באפריל 2011.

על פי קספרסקי, המתקפה בסודן אירעה בשני תאריכים – ב-17 באפריל וב-21 באפריל – ובשני המקרים נעשה ניסיון לשתול קוד זדוני במחשבי PC עם מערכת ההפעלה חלונות (Windows). היעד המדויק של המתקפה אינו ידוע. הניסיון הראשון שלה נכשל משום שמסנן דואר הזבל של תוכנת הדואר חסם את ההודעה שאליה צורף הקובץ. לעומת זאת, הניסיון השני הצליח.

מיקרוסופט (Microsoft) אישרה שבמתקפה של דוקו נוצלה פרצה בגרעין של חלונות ובמנגנון המשמש לעיבוד גופנים כדי להשיג הרשאה להתקנת הקוד הזדוני במחשב. עדיין לא יצא תיקון לפרצה והחברה קוראת למשתמשים לחסום את המנגנון לעיבוד גופנים עד שישוחרר טלאי מתאים.

קספרסקי מסרה, כי בכל אחת מתריסר המתקפות של דוקו שפרטים אודותיהן פורסמו עד כה הותאם מערך נפרד ומיוחד של קבצים, במיוחד עבור היעד של כל מתקפה. "ההבדלים קטנים מאוד, אך מדובר בקבצים שהותאמו במיוחד לכל מתקפה", אמר שובנברג. "לכל מתקפה הוקצה שרת מיוחד לפיקוד ובקרה, וכתובת השרת צוינה בקבצים. זו הייתה מתקפה מאוד תכליתית, מקצועית ומלוטשת".

שובנברג התייחס גם לסתירות לכאורה בין הדיווחים על המתקפה מצד קספרסקי לבין דיווחים של חברות אחרות, ובהן סימנטק (Symantec), שהייתה הראשונה שדיווחה על דוקו. הוא אמר, כי "לכל חברת אבטחה לקוחות משלה, אנשי קשר אחרים ודגימות אחרות", ומכאן נובעים ההבדלים.