"מרגל על הדסקטופ": כך פועל הווירוס החדש FLAME

גורמי ביטחון רבים בארץ ובעולם מנסים להבין את יכולותיו של וירוס המחשבים FLAME שהתגלה אתמול. בעזרת מומחי אבטחת המידע של חברת "סימנטק", ערכנו עבורכם מדריך מיוחד שמסביר כיצד פועל הווירוס, מהו אופי המידע שנאסף ועד כמה הוא מסוכן

הווירוס החדש FLAME, שהצליח ככל הנראה לאסוף מידע משמעותי על מערכות המחשב באירן ובמדינות אחרות, נחשף רק כעת - אך גורמי ביטחון מספרים כי הוא קיים כבר יותר משנתיים. כדי לעשות קצת סדר בבלגן הקיברנטי ולהבין מה משמעותו של הווירוס, לפניכם מדריך מיוחד שהכנו בעזרת שמוליק אנג'ל, מנהל חברת הניהול ואבטחת המידע "סימנטק ישראל".

מהו בעצם הווירוס החדש?

FLAME הוא איום דיסקרטי ממוקד ומתוחכם ביותר, שבמרכזו יכולת לקבל מידע ממערכות נגועות. האיום כוון בעיקר לתקוף מערכות הממוקמות במזרח התיכון. הווירוס מהווה ציון דרך בהיסטוריית התקיפות הקיברנטיות, והוא נתפס כאחד האיומים המורכבים אי פעם.

תולעת הוא סוג של קובץ מחשב שמושתל באמצעות התקן נשלף USB, דיסק או דרך העברה באינטנט. ברגע שהתולעת הצליחה לחדור למערכת ההפעלה של המחשב, היא אוספת מידע על הפעילויות המתבצעות במחשב ומסוגלת לתעד את מה שכותבים במקדלת, אתרים בהם גולש המשתמש, קבצים ותוכנות בתוך המחשב ואפילו שיחות המתנהלות בסמוך לו, כל זאת מבלי שהיא תתגלה.

מהן מדינות היעד של הווירוס?

מניתוח ראשוני עולה כי המטרות של האיום ממוקמות בעיקר ברשות הפלסטינית, הונגריה, אירן ולבנון. יעדים נוספים כוללים את סוריה, אוסטריה, הונג קונג ואיחוד האמירויות הערביות.

ממפת ה"הדבקה" אפשר ללמוד שהתרחשה כאן זליגה בין מדינות כתוצאה מתקשורת בין מחשבים, אולם קשה להתרשם יותר מדי ממפת התפוצה כי מספר המחשבים שנדבקו הוא מאוד קטן. ייתכן מאד שהיה גורם בעל אינטרס שהיה מעוניין שהווירוס יגיע לאירן, והזליגה למדינות האחרות היא סוג של תופעת לוואי.

כמה זמן הווירוס פועל ואיך?

על מנת לאפשר את גילויו, יש צורך במערכות הגנה מתאימות. בשנים האחרונות פותחו טכנולוגיות חדשות ויכולות חדשות לזהות התנהגויות א-נומליות, כך שברגע שיש תעבורה בין המחשבים הנגועים למרכז השליטה של הווירוס - כלומר, העברת המידע שנאסף אל ה'מפעיל' - סביר יותר שיתעורר חשד.

לגורמי אבטחת מידע יש ראיות לפיהן הווירוס פעל במשך שנתיים לפחות. האיום מנצל גם נקודות תורפה ידועות כדי להפיץ את עצמו ברשת, ויש לו את היכולת להעריך את המיקום הגיאוגרפי של המחשב השייך לאדם, לפני ביצוע משימות מוגדרות. המשמעות: הווירוס מגלה בעצמו מחשבים "בעלי ערך" לפני שהוא תוקף.

מה הווירוס מסוגל לעשות?

הווירוס מסוגל לגנוב מסמכים וצילומי מסך מדסקטופים של משתמשים. בנוסף הוא יודע לבצע הדבקות דרך כונני USB ולהשבית הגנות אבטחה, ואם זה לא מספיק - ניתן באמצעות המיקרופון של המחשב להקליט שיחות המתנהלות בחדר בו נמצא המחשב. המידע שנאסף, כולל הקלדות, שיחות, מסמכים, קבצים וצילומי מסך, נשלחים ליעד מסוים של ה'מפעיל'.

עם גילוי הווירוס, מנתחים את פעילותו ומגדירים מחדש את מערכת ההגנה שתעזור בחסימה. עם זאת עדיין לא ברור אם באירן או במדינות אחרות הצליחו לעצור כבר את פעילות הווירוס, כיוון שזהו טיפול מורכב ומסובך מאד מבחינה טכנולוגית.

איזה מחשבים הווירוס תוקף?

רבות מהמערכות שהותקפו מזוהות כמחשבים אישיים שבהם נעשה שימוש מרשת האינטרנט הביתית, אולם ברור כי מטרת המתקפה הייתה מחשבים המשרתים גורמים בעלי עניין - אם זה מחשבים אישיים של בכירים ואם זה מחשבים המצויים במשרדי ממשלה, גופים צבאיים וביטחוניים וכד'.

האם ידוע על נזקים שהווירוס גרם?

על פי מומחי חברת אבטחת המידע סימנטק, הווירוס הצליח לגרום לכיבוי של מסופי הנפט האירני כפי שדווח לפני כמה שבועות.

*הנתונים באדיבות צוות המודיעין של חברת הניהול ואבטחת המידע "סימנטק ישראל"

רוצים לקבל עדכונים נוספים? הצטרפו לפייסבוק רשת