תולעת הלהבה – The Flame Worm

0 419

מתי תולעת הלהבה?

תולעת הלהבה (פליים) היא תוכנית זדונית (Malware) מורכבת ומתוחכמת במיוחד אשר דווחה לראשונה במאי 2012 לאחר שהדביקה כמה מאות בודדות של מחשבי חברות וארגוני ממשלה במזרח התיכון ובעיקר בארצות אירן וסוריה במשך מספר שנים. מסתבר שהתולעת גרמה לנזק רב והשחיתה מידע באותם מחשבים, בעיקר אודות הכור הגרעיני של אירן. לתולעת דפוסי התנהגות של תולעת, וירוס וכן סוס טרוייאני (רוגלה), אך כאן אתייחס אליה לפי תכונת ההתפשטות שלה, כאל תולעת.

יוצרי התולעת אינם ידועים וקיימת מחלוקת לגבים. יש הטוענים כי זוהי ממשלת ישראל בעוד שלאחרונה אחרים החלו לטעון כי ארצות הברית אחראית לייצורה. הבחירה בארצות אלו נעוצה ברמת המורכבות של האיום, סוג הנזק הנגרם ממנו ומחשבי הקורבן. מעבר לכך, לאחר שהחל ניתוח הקוד של הלהבה, מסתבר שהיא איום ממשיך לתולעת הקודמת STUXNET ושהיא נכתבה ע”י אותם מהנדסים שכן היא מכילה קטעי קוד דומים עד זהים.

בנוסף, שם התולעת הוא על שם רכיב מרכזי בה בשם “פליים” האחראי על הליך הדבקת מחשבים אחרים.

הדבקות בתולעת הלהבה

התולעת תוקפת מחשבים בהם מותקנת מערכת הפעלה של מיקרוסופט. מלבד היכולת של התולעת להדביק מחשבים שאינם מוגנים מפניה, כמו אצל כל איום טרי אחר, התוכנה משתמשת גם בפירצות אבטחה שאינן מזוהות (ובטח שלא מתוקנות) של מערכות ההפעלה של מיקרוסופט כדי להדביק מחשבים נוספים. אחת הפירצות העיקרויות והיעילות ביותר להדבקה, בה משתמשת התולעת היא הפירצה ברכיב Windows Update הקיים בכל מערכות ההפעלה הנוכחיות. זהו רכיב שבקושי עבר שינויים בין מערכות ההפעלה השונות של מיקרוסופט (שבשימוש כיום) וכן הפירצה נותרה בו בכל גרסאות מערכת ההפעלה הנוכחיות של מיקרוסופט.

ההדבקות הראשונית היא דרך קבצי מסמכים כמו .doc ו-.pdf אשר הוכנס בהם קוד זדוני המנצל את פירצות האבטחה בתוכנות הקוראות את המסמכים כמו ADOBE READER ו- MICROSOFT OFFICE.

התולעת שהדביקה כבר מחשב ברשת, מנצלת את שירות העדכונים של Windows שבמחשבים אחרים על מנת להדביק אותם. העדכונים הם למעשה עדכונים מזוייפים אך הפירצה מאפשרת להקין אותם ובכך למעשה את התקנת התולעת מבלי יכולת להבחין או לחשוד בכך!

קוד מקור של תולעת “הפליים” לאחר הנדסה הפוכה

נזקים ומאפייני התנהגות

תולעת הלהבה מבצעת פעולות אלה במחשבים הנגועים:

– השחתת מידע מסויים (קוד ה-STUXNET)

– גניבת מידע וסיסמאות

– צילום מסך וציתות לשיחות דרך מיקרופונים

– רישום ותיעוד לחיצות מקלדת (keylogging)

– מעקב אחר התקנים Bluetooth

– השמדה עצמית

התנהגות הלהבה, כולל השמדתה (במאי 2012, כאשר הבחינו בה) נתונה בשליטת שרתים מרוחקים המתקשרים עימה.

מידע נוסף

מן הניתוחים עולה כי תועלת הלהבה לא נועדה לפגוע במשתמשים ביתיים, אלא בארגוני ממשלה וחברות בארצות הכור האיראני. מטרתה לא הייתה להתפשט יותר מדי וזו הסיבה למספר מחשבים מועט כל כך במשך מספר שנים. יתר על כן, גודל דגימתה של הנוזקה עומד על 20-25 MB שזהו גודל רב לנוזקה בשל מורכבותה הרבה. עם זאת, לא הייתה שום בעיה להסתירה מפני מערכות המחשב שנדבקו במשך אותן שנים.

הדרך להתגונן מפני איום זה, היא כמכל איום אחר, שימוש בתוכנת אנטי- נוזקות (ANTI-MALWARE) חזקה ועדכנית בעלת זיהוי התנהגותי ברמה גבוהה, שמירה על תוכנות עדכניות ובחומת אש חזקה.

 עדכון 22.6.12- מי באמת אחראי לפליים?

מקור מערבי רשמי אך אנונימי (פורסם ב-washingtonpost.com) מאשר כי צה”ל וארגון הריגול המודיעיני של ארצות הברית (CIA) עומדים מאחורי תולעת הפליים במטרה עיקרית של מעקב אחר תשתיות מחשבים של אתרי הגרעין האיראני.

זוהי אחת ממתקפות הסייבר, אך לא האחרונה על מתקני הגרעין של איראן. המקור מספק מידע על כך שמתקפות וירטואליות (סייבר טרור) נוספות בעיצומן.

סופית: ישראל וארה”ב מאחורי הלהבה (סרטון)

תגובות

הגב

לא נפרסם את האימייל שלך.