היורשת של סטוקסנט: זוהתה נוזקת-על חדשה שתוקפת מחשבי מדינות

נוזקה ששימשה לתקיפת מטרות מדיניות ברחבי העולם זוהתה לאחרונה בידי קספרסקי וסימנטק. העקבות שהשאירה מראים דימיון מחשיד לנוקות Flamer וסטוקסנט, שפותחו, על פי דיווחים זרים, בידי ישראל וארה"ב

הכירו את Remsec, Strider ו-ProjectSauron, שלושה שמות לפרויקט נוזקה אחד שהתגלה לאחרונה במקביל על ידי חברות אבטחת המידע סימנטק האמריקאית וקספרסקי הרוסית. על פי דיווח שפורסם היום (ג') באנגדג'ט, עולה שהנוזקה זוהתה במספר מחשבים של לקוחות החברות. בשלב זה היא נמצאה על כ-36 מחשבים של כ-7 ארגונים מדינתיים ברחבי העולם.

בין הארגונים שנפגעו ניתן למצוא אזרחים רוסים, חברת תעופה סינית, ארגון לא מזוהה בשוודיה, שגרירות זרה בבלגיה, מתקנים צבאיים, מרכזי מחקר ופיתוח, חברות טלקום וארגונים פיננסיים. החוקרים מצאו שהנוזקה הייתה פעילה מאז 2011 לפחות ולטענם היא לא זוהתה קודם בגלל שהמפתחים עיצבו את פעולתה כך שלא תעורר חשד בקרב אנשי אבטחת מידע, על ידי טשטוש דפוסי הפעולה שבדרך כלל משמשים לזיהוי נוזקות.

קספרסקי הצליחה לזהות אותה רק לאחר שהתבקשה לבדוק רשת של לקוח ארגוני מדיני לאחר שהרשת שלהם עוררה חשד. החוקרים גילו שהנוזקה יודעת לדלג בין רשתות ומחשבים - ואפילו להגיע למחשבים שאינם מחוברים פיזית לרשתות (Air Gap) - תוך שהיא גונבת סיסמאות, שמות משתמשים, כתובות IP, קבצים ועוד מהמחשבים הנגועים.

עד כה סירבו בקספרסקי או בסימנטק להצביע על מקור הנוזקה, אך מבדיקה שערכו הסכימו החוקרים שמדובר בפיתוח שבוצע בידי גורם מדינתי ולא על ידי האקרים פליליים או פרטיים. בדיקה של מבנה הנוזקה מצא שהיא מזכירה מאוד את הנוזקות Flamer וסטוקסנט שפיתוחן יוחס על ידי מומחים בתחום לישראל וארה"ב וששימשו לתקיפת מתקני הגרעין האיראניים בין השאר.

עם זאת סימנטק וקספרסקי לא הסכימו על המקור לנוזקה, כאשר בחברה האמריקאית נטו לייחס אותה לקבוצה שקשורה לפיתוח שלהן, אך בקספרסקי נטו לא לראות קשר בין הנוזקה ה"חדשה" לפליים. עם זאת, שתי החברות הסכימו שמדובר בנוזקה שפיתוחה עלה מיליונים רבים ושדרשה מעורבות של מספר צוותים במקביל, יכולת שכיום יש רק למדינות מסויימות מאוד, ביניהן ישראל וארה"ב.