האם המחשב שלכם נגוע בווירוס-על? תוכנה חדשה תגלה
בשבוע שעבר נחשפה הנוזקה המתקדמת גאוס שפרצה למחשבים בלבנון ובישראל. חברות אבטחה פיתחו כלי חדש שמאפשר לגלות אם המחשב שלכם נגוע - ולמנוע גניבת מידע רגיש
רוב הנוזקות, שמתוארות גם כווירוסים וגם כתולעים (למרות שתארים אלו מתאימים רק לדוקו וסטוקסנט), חודרות למחשבים על ידי פרצת אבטחה שנמצאת במערכת זיהוי ההתקנים והפונטים. במקרה של גאוס, הכלים בודקים האם הפונט Palida Narrow מופיע על המחשבים. קובץ הפונט עצמו משמש כסימן למחשבים שנפרצו על ידי הנוזקה. רואל שוונברג, חוקר בכיר בקספרסקי שהייתה שותפה לגילוי של כל הנוזקות, אמר כי הפונט עצמו אינו גורם לנזק ואינו כולל שום קוד מזיק. "אנחנו לא מבינים עדיין בדיוק למה הוא משמש", הודה שוונברג.
המטרה: הגרעין האיראני
לפי החשדות, הנוזקות המתוחכמות פותחו על ידי ממשלות מערביות כאמצעי לריגול וריסון תוכנית הגרעין האיראנית. הן מסוגלות אף לקבל עדכונים מרחוק. סטוקסנט, הנוזקה הראשונה בסדרה, התקיפה בעיקר מחשבים תעשייתים שהפעילו את הצנטריפוגות ש מעשירות בכורים הגרעיניים.
אבל שאר הנוזקות, שחולקות דרכי פעולה ואף מקטעי קוד, מיועדות לריגול ואיסוף מידע ולא גרימת נזק. בכולן, בין השאר, קבצי פונטים הם אמצעי זיהוי וחדירה וכולן מיועדות להתקפה מכוונת וממוקדת, בעיקר על ידי הדבקה פיזית של המחשבים באמצעות כונן USB או אמצעי אחר. גאוס חולקת קוד עם פליים, שנקשרה בעבר לסטוקסנט ודוקו.
גאוס התקיפה מאז ספטמבר 2011 בעיקר מחשבים פיננסיים בלבנון, ביניהם בנק ביירות, ואוספת מידע פיננסי, סיסמאות, זהויות, דואל, פרטי רשתות חברתיות, תכתובות פנימיות ופרטי חשבונות בנק. פליים חדרה בעיקר למחשבים של חברות נפט ערביות ותעדה את רוב המידע שעובר דרך המחשב, כולל שיחות סקייפ, שליחת קבצים, סיסמאות ועוד. דוקו נמצא על המחשבים של מאות חברות מסביב לעולם.
מי מאחורי הנוזקות המסתוריות?
לפי יוג'ין קספרסקי, מייסד חברת האבטחה, כל הנוזקות פותחו על ידי אותו גוף. "אפשר להגיד ברמת בטחון גבוהה כי כולם הגיעו מאותו 'מפעל'". הוא הוסיף כי ניתן להניח כי הנוזקה פותחה על ידי ממשלה מערבית,והיא כללה הומאג'ים רבים לפילוסופים, מתכנתים ומתמטיקאים מערביים.
כאשר סטוקסנט התגלתה ב-2010, מומחי אבטחה רבים טענו כי מדובר בפרויקט ישראלי, בהתחשב בכך שהוא התקיף בעיקר את תוכנית הגרעין האיראנית. בעוד שישראל מעולם לא אישרה זאת, ראש לוחמת הסייבר לשעבר בבית הלבן אישר כי מדובר בפרויקט משותף לארצות הברית וישראל, שקודם גם על ידי הנשיא אובמה.
עם זאת, גאוס חדרה גם למחשבים של מאות חברות ישראליות וכן למספר חברות אמריקאיות, ביניהם סיטיבנק ופייפל. לא ידוע אילו חברות נפרצו בישראל, אולם בהתקפה בלבנון התמקדו מפעילי הנוזקה במחשבי עובדים בגופים פיננסיים.