דיווחים: Flame נוצרה על ידי ארצות הברית וישראל – ופעלה חמש שנים

הגרסה הנוכחית אינה הראשונה של Flame אלא החמישית – כך גילו חוקרים של ענקיות אבטחת המידע סימנטק (Symantec) וקספרסקי (Kaspersky). לדבריהם, קדמו לגרסה הנוכחית, שנתגלתה במאי האחרון, ארבע גרסאות דומות של הנוזקה. עוד גילו החוקרים, כי Flame פעלה משך זמן ארוך מהידוע עד כה, כחמש שנים, וגנבה נתונים מיותר מ-1,000 מחשבים במזרח התיכון, לרבות ממערכות מיחשוב מסווגות באיראן. על פי דיווחים שלא לציטוט, ארצות הברית מקושרת לפיתוח ארבע הגרסאות הללו ודיווח נוסף קישר את ישראל לפיתוח הנוזקה. בנוסף, ראש סוכנות הגרעין האיראנית טען במהלך החג, כי ב-17 באוגוסט אירע פיצוץ בכור הגרעיני בפורדו, שלטענתו נועד לפגוע בקווי החשמל המובילים המספקים אנרגיה לכור.

אנשי ענקיות אבטחת המידע ביצעו חקירה מעמיקה של Flame, שבמסגרתה גילו את ארבע הגרסאות המוקדמות, לאחר שעלו על עקבות שהותירה אחריה Flame, בין השאר בפגיעות במתקני נפט באיראן. העקבות הובילו את חוקרי סימנטק וקספרסקי לגילוי ארבע נוזקות מסוג רוגלה שפותחו על מנת לפגוע ברשתות המיחשוב והתקשורת באיראן, במטרה לגרום נזק לתוכנית הגרעינית שלה. הנוזקות שאבו את המידע ממחשבים במדינות שונות במזרח התיכון, רובן באיראן, סודאן וסוריה.

חוקר של קספרסקי מסר, כי הוא ועמיתיו גילו את ארבע הנוזקות לאחר טעות שבוצעה באחת מהמתקפות של Flame במאי השנה. החוקרים מצאו עקבות של כלל הגרסאות של Flame – זו שנתגלתה במאי האחרון ואלה שדבר גילוין מתפרסם עתה – בשני שרתי פיקוד ושליטה באירופה. דמיון בין חמש הנוזקות הוביל את החוקרים למסקנה, כי כולן נועדו לפגוע ברשתות תקשורת ומחשבים איראניות.

קספרסקי וסימנטק ביצעו את החקירה אחר הנוזקות יחד עם השותפות הבינלאומית נגד איומי סייבר IMPACT (ר"ת International Multilateral Partnership Against Cyberthreat)  וצוות התגובה לאירועי חירום מיחשוביים בגרמניה  CERT-Bund (ר"ת German computer emergency response team).

לדברי ויקראם ט'אקור, מנהל צוות התגובה של סימנטק, מידע שנלקח מהשרתים מהם שוגרו הגרסאות השונות של Flame מעלה, כי הן יכולות היו לתקשר ביניהן לבין עצמן וביניהן לבין מחשבים אחרים. עובדה זו מאששת את החשד שמטרתן של הנוזקות הייתה ריגול. הוא ציין שלא ברור אם הנוזקות ממשיכות לרגל גם כיום, או שהוצאו מכלל שימוש.

ט'אקור הוסיף, כי התחכום בנוזקות הללו, ובכללן הגרסה הנוכחית של Flame, הוא בהיותן בעלות "חתימה נמוכה", מה שגרם לכך שהיה קשה לגלות שהן ריגלו ושאבו מידע. "המפתחים היו מאוד זהירים בפיתוח ובהפעלת הנוזקות", אמר. הוא אף ציין שאופן הפעולה של הנוזקות תואם פיתוח שבוצע על ידי ארגון ביון של מדינה או מודיעין צבאי.

ענקיות אבטחת המידע סירבו להתייחס לסוגיית זהות מפתחי הנוזקות. עם זאת, בכירים בשירותי ביון במערב, חלקם לשעבר וחלקם עדיין מכהנים, אישרו לרויטרס (Reuters), כי לארצות הברית "היה חלק" ביצירת Flame. בדיווח שפורסם בוושינגטון פוסט (The Washington Post) נטען שגם ישראל השתתפה בפיתוח הרוגלה.