מי אתה, הווירוס דוקו?

בעוד שממשלות ברחבי העולם, וגם בישראל, מכריזות על מיזמים שונים כדי להגן על עצמם מפני לוחמת סייבר, נראה שאיראן שוב סופגת אש מהכיוון הזה: דובר הממשל האיראני הודיע אתמול (א') שהמדינה פיתחה "תוכנה מתקדמת" ללוחמה בווירוסים, אבל בו זמנית הודה בשוגג שמחשביה נפגעו מווירוס תולעת הידוע בשם דוקו (Duqu).

דוקו הגיעה לתודעה הציבורית עוד באוקטובר האחרון, כאשר חברת האבטחה סימנטק וקבוצת חוקרים הונגרים הודיעו שנמצאו עקבות וירטואליים המצביעים על דמיון בינה לבין סטוקסנט, התולעת שפגעה בחלק מהמחשבים הנמצאים בכורים הגרעיניים האיראנים, ועיכבו את תוכנית הגרעין שלה בחודשים - אם לא בשנים. באותה תקופה האצבע המאשימה הופנתה, כצפוי, כלפי ישראל וארצות הברית - שהכחישו כל מעורבות.

מומחי אבטחה הגדירו את דוקו כ"פיתוח הקיברנטי המתקדם ביותר אי פעם" ו"תחילתו של מירוץ חימוש דיגיטלי". מיקרוסופט מצידה שחררה עדכון מהיר למערכת ההפעלה המקצועית שלה על מנת לחסום ספציפית את דוקו, אבל פרצת האבטחה המקורית, שעליה מתבססת התולעת, עדיין קיימת - מערכת ההפעלה פגיעה להתקפות על ידי שתילת קבצים המתחזים לפונטים.

מערכת ההפעלה מייבאת קבצים אלה ומריצה אותם כהתקני תוכנה לכל דבר, כך שהם יכולים לעקוף את ההגנות הקיימות, ולהתקין תוכנות וקבצים בתוך ללא השארת כל סימן. מעט מאוד כלים מסוגלים לזהות את ההתקפה או את התולעת.

גונב סיסמאות, לא גורם נזק למחשב

דוקו, בניגוד לסטוקסנט, אינו מיועד לגרום נזק - אלא מנסה לגנוב מידע כגון סיסמאות ומסמכים על ידי מעקב אחר ההקשות על המקלדת. סימנטק גם העלתה את האפשרות שדוקו מיועד "להכין את הקרקע" לווירוס קטלני יותר, כגון סטוקסנט, וייתכן שההאקרים העומדים מאחורי סטוקסנט השתמשו במתקפה הדומה לדוקו כדרך ל"ריכוך השטח". הקבצים שנוצרים ונשלחים על ידי הווירוס נושאים את הסיומת DQ, ומכאן שם התולעת.

בניגוד ל"סוסים טרויאנים" רגילים, דוקו אינו מנסה להפיץ את עצמו ולהדביק מחשבים אחרים - ולפיכך הוא נשק מאוד ממוקד, המתאים לתקיפת מטרות נבחרות ומחשבים תעשיתיים. לאחר ההדבקה המקורית, הווירוס שולח את הקבצים ל"נקודה בטוחה" - שרת מרוחק ולא ניתן לזיהוי.

אחמדינג'אד. המחשבים האיראנניים תחת התקפה | צילום: בלומברג

הכתובת המקורית הובילה לשרת בהודו, אבל מאז דווח כי קבוצת ההאקרים העבירה את הפעילות שלה לבלגיה ולמקומות אחרים מסביב לעולם. קספרסקי הוסיפה: "לקבוצת ההאקרים שפיתחה את דוקו יש משהו עם ימי רביעי. הם תמיד מנסים לגנוב מידע מהמערכות בימי רביעי. זה מראה על שגרה מאוד חזקה, כמעט צבאית בחוקיות שלה".

כל הסימנים מצביעים על כך שדוקו פותח על ידי צוות מתקדם ומוכשר במיוחד, ככל הנראה מגובה על ידי ממשלה או חברה רבת אמצעים. חברת קספרסקי מצאה שחלק מהקוד עבר קימפול עוד ב-2007 - מה שמראה שהווירוס פותח במשך ארבע שנים לפחות.

לא פגע רק באיראנים

יש לא מעט סימנים המאפשרים זיהוי של מקורות וירוסים: ממקורות החדירה הראשוניים, דרך אופן התפשטות ועד לסגנון כתיבת הקוד עצמו. מומחי אבטחה קוראים לכך "החתימה הדיגיטלית", והיא ייחודית לכל האקר.

לא רק שהאקרים רבים מתגאים בהישגיהם ומשאירים סימנים מזהים בתוך הקוד, אלא שישנם גם דברים שקשה לשנות בצורה מודעת - בדיוק כמו שחוקרים פליליים מסוגלים לזהות פושעים ברשת לפי ניתוח סגנון הדיבור שלהם. חלק מהקוד של דוקו זהה כמעט לזה של סטוקסנט, ואף כולל מספר בדיחות - ה"פונט" המזויף בדוקו נקרא "דקסטר", ככל הנראה על שם סדרת הדרמה הידועה והרוצח הסדרתי המככב בה.

סטוקסנט ודוקו ייחודיות בכך שהן תולעים מדויקות מאוד - הם תוכננו על מנת לפגוע במחשבים תעשיתיים מסוג מסוים. כמובן, תוכנית הגרעין האיראנית אינה היחידה המשתמשת באותם מחשבים, שיוצרו על ידי סימנס. לפי הדיווחים דוקו פגע ושיתק מחשבים בכל רחבי העולם, אם כי 60% מהמחשבים שנפגעו היו באיראן.

מספר מחשבים בסודן נפגעו מתקיפות דומות כבר באפריל האחרון, ובאוקטובר התולעת התגלתה במחשבים תעשיתיים של תחנות כוח גרעיניות באירופה. מטבע הדברים, קשה לאמוד את היקף הנזק או את כמות המחשבים שבהם מותקנת התולעת.