חוקרי אבטחה מזהירים מפני יורשת אפשרית של התולעת סטוקסנט

חוקרי אבטחה גילו ראיות ליורשת אפשרית של התולעת סטוקסנט (Stuxnet), שהדליקה נורות אדומות בקרב גורמי ממשל ברחבי העולם. על פי הפרסומים מדובר היה בתולעת מתוחכמת במיוחד שתוכננה כדי לזרוע הרס במערכות הגרעין של איראן. אף גורם לא לקח על עצמו אחריות לפיתוח של התולעת סטוקסנט, אך על פי הפרסומים בזמנו ניצבו מאחוריה ארצות הברית וישראל.

התולעת החדשה זכתה לכינוי Duqu (משום שהיא יוצרת קבצים עם התחילית DQ) ועל פי החוקרים שגילו אותה היא מזכירה מאוד את המאפיינים של התולעת סטוקסנט. הראשונה שגילתה את התולעת Duqu היא חברת סימנטק (Symantec), ששלחה התראה מתאימה ללקוחותיה.

בחברת סימנטק בחנו דוגמאות של התולעת החדשה שנאספו באירופה, ומהבדיקה הראשונית עולה שחלקים מהקוד שלה זהים לחלוטין לקוד של סטוקסנט. מכאן עולה החשד שהתולעת החדשה פותחה על ידי אותם אנשים שניצבים מאחורי סטוקסנט, או על ידי אנשים בעלי גישה לקוד המקור של סטוקסנט.

עם זאת, בסימנטק הבהירו כי התולעת החדשה אינה מכילה קוד שמאפשר לתקוף מערכות בקרה של מפעלי תעשייה והיא אינה מסוגלת לשכפל את עצמה. "האיום מכוון כלפי מספר קטן של ארגונים שמחזיקים בנכסים מסוימים" על פי ההודעה שפורסמה בבלוג של סימנטק. מהניתוח של סימנטק עולה כי התולעת החדשה לא נועדה לתקוף מערכות דוגמת מפעלי הגרעין של איראן אלא לאסוף מידע על מערכות בקרה מסוימות כהכנה לקראת מתקפה עתידית.

מנהל הטכנולוגיה הראשי של סימנטק, גרג דיי, ציין כי הקוד של התולעת החדשה מתוחכם ביותר. "לא מדובר בעבודה של חובבנים, אלא בטכנולוגיה מתקדמת ביותר שמעידה על כוונה מוגדרת היטב", ציין דיי. עם זאת, לא ברור אם הפיתוח נעשה על ידי גורמים ממשלתיים או לפי הזמנה של גופים פוליטיים.

"אם הפיתוח נעשה על ידי אותם אנשים שניצבים מאחורי סטוקסנט, אזי יתכן בהחלט שהמטרה זהה. אולם, אם הקוד הגיע לידיים אחרות, יתכן שהמניעים אחרים", אמר דיי. הוא הוסיף כי נתגלתה כבר יותר מגרסה אחת של התולעת Duqu. נראה שהאנשים שניצבים מאחורי התולעת החדשה משכללים אותה באופן קבוע, על פי דיי.

לאחר 36 ימים מוחקת התולעת את עצמה מהמחשב הנגוע, ונראה שהמפתחים למדו את הלקחים ופעלו להסוות את עקבותיה של התולעת החדשה ביעילות רבה יותר. בין השאר עשו המפתחים שימוש באישור אבטחה מזויף של חברת סימנטק עצמה, ציין דיי.