יהונתן גד, אינוקום: "Flame עושה לעולם הריגול, מה שסטוקסנט עשתה לעולם התשתיות הפיזיות"

"כעת, כאשר האבק שקע מעט לאחר הפרסומים הרבים, ניתן לומר כי Flame עושה לעולם הריגול, את מה שסטוקסנט (Stuxnet) עשה לעולם התשתיות הפיזיות. השאלה הנשאלת כעת היא, מה ניתן לעשות כדי למנוע את האיום הגדול הבא", כך אמר יהונתן גד, יו"ר ומנכ"ל משותף של אינוקום (InnoCom) מקבוצת אמן.

גד ציטט את ממצאי התחקיר שערכה פייר-איי (FireEye), אותה הוא מייצג בארץ, העוסקת בעצירת מתקפות הסייבר הממוקדות (APT). לדבריו, טכנולוגית פייר-איי זיהתה וחסמה את Flame והיא מספקת מענה מלא לו ולאיומי Zero-Day אחרים, ללא צורך בהמתנה לחתימות. "מוצרי פייר-איי ברחבי העולם זיהו כבר בעבר פעילות חשודה בעלת מאפיינים שונים, אשר אחר כך נתגלתה כ-Flame", אמר גד. "האנליזה המפורטת עוקבת אחר כל מהלך ההתקפה ומראה כיצד Flame מריץ את עצמו במחשב המותקף ומבצע את המטלות המצופות ממנו על ידי מפעיליו".

"הדבר החשוב כעת, יותר מאשר להתחקות אחר מקורותיו של האיום הנוכחי, הוא להבין שכלי אבטחת מידע היקפיים ומבוססי-חתימות והיוריסטיקה, איבדו את היכולת והלגיטימיות להגן על הנכסים החשובים בארגון מפני מספר הולך וגובר של איומי אבטחה מודרניים ומתוחכמים – איומים שעושים את דרכם לעולם העסקי-פרטי. האיום אינו ברמה של גניבת מידע שולי, או אפילו גניבת כרטיסי אשראי – אלא הרבה מעבר לזה".

"העובדה ש-Flame התחמק מזיהוי במשך זמן כה רב ממערכות אבטחת המידע המסורתיות", הסביר גד, "מעידה שהאיום שונה ומתוחכם בהרבה, נתון שאינו מוזכר על ידי חברות האנטי-וירוס המסורתיות, ולא בכדי".

"המגמה הבאה באבטחת IT הינה ריגול קיברנטי, Cyber Espionage", קבע גד, "בשל הרווחים הגדולים והמיידים שהוא יכול לספק להאקרים העוסקים בו. זה בעיקר תקף למקרים בהם האקרים חודרים למערכות IT ארגוניות ומשיגים מידע רגיש על מדיניות, פטנטים ותוכניות פיתוח של חברות.-Flame הוא דוגמה אחת מני רבות להתקפות Zero-Day ואנו מבחינים בהתקפות נוספות, גם בישראל, בהן נפגעות חברות".

"ההישענות על חתימות והיוריסטיקה בלבד הינה הרסנית", סיכם גד, "כי את הארגון הנחדר, ממנו נגנב כעת מידע רגיש ובעל ערך, לא מעניין ולא עוזר שלאחר מכן תוציא חברת אבטחת המידע חתימה חדשה, שתסייע לקורבנות פוטנציאליים אחרים – הנזק לארגון שלהם כבר נגרם".

כבר לא מדע בדיוני
שי קידר, מנכ"ל VSECURE, העוסקת בייעוץ אבטחת מידע וניתוח התקפות סייבר, אמר כי "Flame בוערת וממשיכה לבעור ולהראות לנו שהתקפות סייבר הן כבר מזמן לא מדע בדיוני. קיימת חשיבות רבה להיערכות מוקדמת וליכולת גילוי".

לדבריו, "Flame שונה מהתולעים שקדמו לה. היא התקפת סייבר משולבת ומתוחכמת המורכבת מכמה תכונות המשלבות מספר סוגי התקפות. היא שילוב של סוס טרויאני, וירוס, קוד זדוני ותולעת, במידת תחכום כזו שהאחד יודע לתת הוראה לשני, מתי וכיצד לעבוד. היא הנוזקה המורכבת ביותר שראינו עד היום. היא יודעת לתקוף בסיסי נתונים בצורה מתוחכמת וגם מערכות וירטואליזציה. מאפיינים אלה שונים מאוד מתוכנות הריגול, התולעים, הקודים, הזדוניים והסוסים הטרויאניים שראינו עד כה. תוכנות זדוניות ותולעים נכתבו עם 'חסכון' בשורות קוד, כדי לייצר תוכנה קטנה שניתן להסתירה".

קידר ציין, כי "הרוגלה הזו פועלת באופן שונה ומצליחה להסתיר עצמה יחד עם המון שורות קוד ונוכחות במחשב".

"אין ספק שאנו מתמודדים עם זן חדש ומתוחכם יותר של הנוזקה", סיכם קידר, "אשר מציב את התקפות הסייבר ברמה אחת גבוהה יותר. בקרוב נגלה עד כמה הלהבה חמה, ומהן היכולות הנוספות שלה שטרם נחשפו".