רוגלה מסוכנת תקפה יעדים בעולם – ביניהם רוסיה וסין

קבוצת האקרים בלתי ידועה, המכונה Strider או ProjectSauron, ביצעה מתקפות ריגול-סייבר נגד מטרות נבחרות ברוסיה, סין, איראן, שבדיה, בלגיה ורואנדה. כך חשפה אמש (ב') סימנטק (Symantec).

הקבוצה, אשר פועלת לפחות מאז 2011, עשויה להיות עם קשר לסוכנות ביון של מדינה, אולם זהות המדינה לא צוינה על ידי חוקרי ענקית אבטחת המידע. ההנחה כי מדינה עומדת מאחורי קבוצת ההאקרים, מתבססת על יכולות הריגול של התוכנות הזדוניות שלה ועל אופי המטרות הידועות שלה.

הרוגלה, Remsec, חיה לה בהסתר בתוך הרשתות של הארגון המותקף, ואיננה מותקנת על מחשבים שונים. בדרך זו היא מאפשרת להאקרים שליטה מלאה על מחשבים נגועים, אמרו החוקרים. היא מאפשרת מעקב אחר רישומי מחשב, וכן גניבה של קבצים ונתונים אחרים.

מעריצי שר הטבעות

הקוד של הרוגלה מכיל גם אזכור של סאורון, דמותו של האויב הראשי, רואה-הכל ב'שר הטבעות של ג'.ר.ר. טולקין, אמרו חוקרי סימנטק. סטריידר הוא הכינוי של אראגורן, מהדמויות הראשיות בספר. יעדי המתקפות שנחשפו הם ארגונים ויחידים ברוסיה, חברת תעופה בסין, ארגון בשבדיה ושגרירות בבלגיה.

לדברי אורלה פוקס, מנהלת צוות התגובה לאיומים בסימנטק, "למרות ריבוי הדיווחים על מתקפות סייבר הצצות חדשות לבקרים, הרי פה מדובר בקמפיין ריגול מיוחד, מהסוג שתעשיית האבטחה מגלה כמוהו אחד-שניים בשנה".

אבי זריהן, מנהל אזורי, ישראל רוסיה וארצות ברית המועצות לשעבר, סימנטק, אמר לאנשים ומחשבים כי "קבוצת מפעילי הרוגלה סטריידר מאד סלקטיבית בבחירתה את היעדים למתקפה. נכון לעכשיו, חוקרי סימנטק מצאו עדויות להדבקה של 36 מחשבים בשבעה ארגונים נפרדים. מטרות הקבוצה כוללות, בין השאר, כמה ארגונים ויחידים הממוקמים ברוסיה, חברת תעופה בסין, ארגון בשוודיה ושגרירות בבלגיה".

במקביל ובנפרד, גם חוקרי קספרסקי (Kaspersky Lab) חשפו את הקבוצה. על פי חוקרי ענקית האבטחה הרוסית, נמצאו 30 ארגונים שנפגעו עד כה, ברוסיה, איראן ורואנדה, ואולי ישנם קורבנות נוספים במדינות דוברות-איטלקית. יעדי Remsec כללו משרדי ממשלה, מרכזי מחקר, גופים צבאיים, ספקיות הטלקום ומוסדות פיננסיים, אמרו חוקרי קספרסקי.

חוקרי קספרסקי ציינו כי קבוצת ההאקרים אימצו, ככל הנראה, כלים וטכניקות ריגול ידועים אחרים – כולל Flame, אולם למרות זאת החוקרים לא מאמינים כי יש זיקה ישירה בין שתי המתקפות.

המשחקים האולימפיים

חוקרי קספרסקי גילו את הרוגלה Flame בשנת 2012ומאוחר יותר אותה שנה גילו כי יש קשר בינה ובין התולעת סטוקסנט (Stuxnet). על פי החוקרים, מודול מגרסה של סטוקסנט מתחילת 2009 היה, למעשה, רכיב של Flame.

סטוקסנט הייתה נשק הסייבר הראשון שתוכנן לתקיפת מתקני תעשיה. סטוקסנט, שפגעה במערכות ההפעלה של הסרקזות (צנטריפוגות) בכורים האטומיים באיראן, פותחה במשותף על ידי ארצות הברית וישראל – כך דווח בעיתונות בחו"ל.

סטוקסנט פותחה כחלק מתוכנית מסווגת שכונתה "המשחקים האולימפיים". הפיתוח החל בתקופת הנשיא האמריקני ג'ורג' בוש הבן וממשיכו, ברק אובמה, הורה להאיץ אותו. על פי הנטען, יחידה 8200 של צה"ל הייתה שותפה מלאה בתוכנית.

לשגר נתונים שגויים

הישראלים עבדו עם ה-NSA ועיצבו במשותף את סטוקסנט, שהוחדרה למתקן בנתאנז דרך התקני USB על ידי מרגלים שעשו זאת בכוונה ועובדים שעשו זאת בלי כוונה. עם זאת, שגיאות שהיו בקוד הביאו ב-2010 להתפשטותו מחוץ למתקן בנתאנז, ובאותו שלב החלה התולעת להדביק מחשבים אישיים ברחבי העולם.

סטוקסנט היוותה שיא חדש בפיתוח תולעים, בשל המורכבות הרבה בפיתוחה והמשימה הבלעדית ש"הוטל" עליה לעשות: חבלה באופן הפעולה של הסרקזות ושיגור הוראות שגרמו להן להסתובב במהירות גבוהה מזו שהן היו בנויות לעמוד בה. הווירוס היה מתוחכם מספיק כדי לשגר למפעילי הסרקזות נתונים שגויים לפיהם אין כל תקלה במערך. ואולם, הטכנאים האיראנים נדהמו מדי יום לגלות סרקזות נוספות מפורקות או מקולקלות.

על פי הערכות של פקידי ממשל בארצות הברית, סטוקסנט הצליחה להביא לדחייה של תוכנית העשרת האורניום של איראן בשנה וחצי עד שנתיים. מומחים אחרים העריכו שמדובר בפרק זמן קצר יותר.