ראשי » עסקים » טכנולוגיה גלוש ב - nrg מעריב מהסלולר

תולעת חדשה במחשבי איראן וישראל: המהדי

שתי חברות אבטחה הכריזו על גילוי של תוכנה זדונית שכללה אזכורים בפרסית ונועדה לאסוף קבצי אופיס ו-PDF ממאות מחשבים

חיים איסרוביץ | 17/7/2012 16:42

תגיות: וירוס, תוכנה זדונית, מהדי,איראן

התפתחות נוספת במלחמה המקוונת במזרח התיכון: חברות אבטחת המידע מעבדות קספרסקי הרוסית וסקיורלט הישראלית הודיעו היום (ג') כי נחשפה תוכנה חדשה בשם מהדי, אשר נועדה לגנוב מסמכים ותמלילי שיחות במחשבים, בעיקר באיראן ובישראל. עדיין לא ברור מי עומד מאחורי החדירות.

- וירוס מחשבים חדש התגלה באיראן: הפליים
- דיווח: ארה"ב וישראל פיתחו יחד את הפליים
- האו"ם: הווירוס פליים מהווה איום תקדימי

התולעת, האחרונה בשורה של תוכנות שמהוות חלק מהלוחמה המקוונת במזרח התיכון בשנים האחרונות, זכתה לכינוי מהדי (המקביל המוסלמי למשיח) בשל שמות הקבצים שהתגלו בתוך התוכנה. תולעת המהדי התמקדה במשיכת קבצי PDF, וורד ואקסל מהמחשבים הפגועים.

הקוד של וירוס הפליים. צילום: אי אף פי

אביב רף, סמנכ"ל הטכנולוגיות של סקיולרט, סיפר כי הסימן הראשון של התוכנה התגלה בפברואר האחרון כאשר זוהה אי-מייל עם קובץ וורד מצורף בשם "מהדי". כאשר פתחו אנשי המעבדה את המייל, הם גילו כתבה של אתר הדיילי ביסט מנובמבר 2011 אשר עסקה בשימוש שעושה לכאורה ישראל בכלי נשק אלקטרוניים ומקוונים נגד איראן.

כאשר גולשים לוחצים על המסמך, מופעלת תוכנת התולעת במחשב. היא פותחת דלת אחורית, אשר מאפשרת לשרת השליטה והפיקוד לקבל הנחיות ורכיבים נוספים, אשר יאפשרו מעקב אחרי מסמכים ותעבורת מיילים.

אנשי סקיולרט ניסו לאתר את מקור התולעת, שככל הנראה החלה לפעול בדצמבר 2011, ובחנו את התקשורת בין התוכנה לבין שרת הפיקוד והשליטה. בסיוע של מעבדות קספרסקי, הם מצאו כי ישנם חמישה שרתים – אחד בטהרן וארבעה באתרים שונים בקנדה, כאשר חלק מהרכיבים כללו מחרוזות בפרסית ותאריכים מלוח השנה הפרסי.

הקורבנות: חברות תשתית, שרתים פיננסיים ושגרירויות

ניתוחי המידע זיהו כי יותר מ-800 מחשבים נדבקו בתוכנה הזדונית, כאשר הקורבנות היו חברות של תשתיות קריטיות, שרתים פיננסיים ושגרירויות. 387 מחשבים נדבקו באיראן ו-54 בישראל ומקרים נוספים נרשמו באפגניסטן ובאיחוד האמירויות.

בסקיולרט ציינו כי עדיין לא ברור אם מדובר בהתקפה שמאחוריה עומדת מדינה, אולם אופן התפשטותו של הווירוס מעיד על כך שהפעולה הצריכה השקעה גדולה ותמיכה כלכלית. בשל המילים הפרסיות והשם מהדי, גובר החשד כי מדובר בתוכנה מתוצרת איראן שנועדה לרגל אחרי מטרות בתוך המדינה, כמו גם נגד ישראל ומדינות שכנות,

אולם גם לא נפסלת האפשרות שמדובר בתוכנה ישראלית שנועדה להפליל את טהרן.

לפני כחודשיים מסרו מעבדות קספרסקי כי נחשפה תוכנה זדונית חדשה בשם "פליים" (להבה), אשר עקבה אחרי שמות ומספרי טלפון מספריות אנשי הקשר במחשב, צילמה תמונות מסך של דואר אלקטרוני ושיחות בתוכנות הודעות מידיות ואספה מסמכים.

לפי הנתונים, מרבית המחשבים נדבקו באיראן. בטהרן הודו כי זוהתה פגיעה של וירוס חדש אחרי בדיקות שנערכו בחודשים האחרונים וכי הוא בין השאר אחראי לאובדן של מידע רב בהתקפות שבוצעו לאחרונה על מחשבי חברת הנפט ומשרד הנפט.