הפריצה לקספרסקי התאפשרה על ידי זיוף תעודות אבטחה של פוקסקון

חשיפה חדשה מספקת הצצה נוספת לאופן הפעולה של ההאקרים בפרשת דוקו 2.0. על פי דיווח של אתר Arstechnica מתברר כי הפריצה לרשת של קספרסקי, חברת האבטחה הרוסית שזיהתה את הנוזקה לראשונה, התאפשרה על ידי זיוף תעודות אבטחה של ענקית החומרה פוקסקון.

שיטת הפעולה עבדה כך: ההאקרים השתמשו בתעודות אבטחה חתומות המשמשות להורדת דרייברים חתומים על ידי פוקסקון. החתימות על התעודות היו כנראה מקוריות והושגו על ידי פריצה לפוקסקון עצמה. החברה הסינית משמשת קבלן להרכבה וייצור של חומרה עבור אפל, מיקרוסופט Dell ואחרות. היא חותמת את הדרייברים עבור התקני חומרה המורכבים במחשבים שהיא מייצרת.

המטרה של מפעילי דוקו 2.0 הייתה כנראה ריגול אחר משתתפי שיחות הגרעין עם איראן צילום: אי פי איי

על פי החשד, לא רק החתימות של פוקסקון נגנבו, כי אם של יצרניות חומרה נוספות, ביניהן של חברת Jmicron. דפוס הפעולה הזה מזכיר את פרשת נוזקת סטוקסנט, שנטען שפותחה על ידי ארה"ב וישראל ושמפעיליה השתמשו בתעודות אבטחה חתומות על ידי Realtek, עוד יצרנית חומרה אסייתית. 

התגלה גם שההאקרים לא השתמשו באותן חתימות במבצעים השונים. "זה מעיד על תחכום רב", אמר מנהל צוות המחקר של קספרסקי. הדרייברים שימשו להטמעת הנוזקה ברשת של קספרסקי ואיפשרו לנוזקה לצלוח פיירוולים בין שרתים.

דוקו 2.0 נמצאה ברחבי העולם

ההפעלה של דוקו התבצעה דרך מילות מפתח שהועברו דרך האינטרנט לדרייברים, ביטויים כגון "romanian.antihacker" או "ugly.gorilla" הפכו את דוקו לפעיל ואיפשרו לשלוט בו. חוץ מתקיפת הרשת של קספרסקי, שימשה הנוזקה גם לריגול אחר שיחות הגרעין של איראן וארה"ב.

כמו כן נמצאה שהנוזקה שימשה לריגול אחר משתתפי כנס שנערך לרגל 70 שנה לשחרור מחנה ההשמדה אושוויץ. חוקרים של סימנטק, חברת אבטחה מתחרה, מצאו את דוקו ברשתות של ספקיות תקשורת באירופה וצפון אפריקה, יצרנית אלקטרוניקה אסייתית, כמו גם בבקרים תעשייתיים (SCADA) של יצרן אסייתי נוסף.  

השימוש בתעודות אבטחה דיגיטליות ל"הלבנת" הפריצה מטילה צל על השימוש באמצעי הזה כדי לזהות בוודאות תוכנה שהורדה מהאינטרנט. "זו בעיה קשה", הסבירו בקספרסקי, "מפני שזה אומר שהמנגנון הזה שמשמש חברות כגון מיקרוסופט, אפל ויצרניות תוכנה נוספות אינו אמין ועלול להוות פרצה נוספת עבור האקרים".