דיווח: ישראל ריגלה אחר שיחות הגרעין עם איראן בעזרת וירוס מתוחכם

האם ישראל ריגלה אחר שיחות הגרעין בין איראן לארה"ב בעזרת וירוס מחשב מתוחכם? אנשי מעבדת קספרסקי, מחברות אבטחת המידע הגדולות בעולם, גילו נוזקת-על מתקדמת במיוחד שנשתלה במחשבי גורמים הקשורים למו"מ - ומאחוריה עשויים לעמוד מפתחים מישראל.

לפי דיווח של הוול סטריט ג'ורנל, מומחי החברה מצאו רכיבי קוד זדוני בעזרתו ניסו לחדור למחשבי קספרסקי עצמה. כשניסו לגלות את מקור הווירוס המסתורי, מצאו אותו במערכות של לפחות שלושה מלונות בלוזאן שבשווייץ. בשלב זה בדקו חוקרי האבטחה אם יש קשר בין המתקפות והופתעו לגלות כי בכל אחד מהמלונות התארחו נציגי משלחות ארצות הברית ואיראן, שהיו בעיר לשם קיום שיחות הגרעין בין המדינות.

שיחות הגרעין נוטרו בידי תוכנה זדונית

הקוד הזדוני התגלה כקשור לנוזקת העל Duqu - אותה חשפה קספרסקי ב-2011. הנוזקה נועדה לפריצת מערכות מחשבים ממוגנות במיוחד באיראן ולפי הערכות, פותחה בידי ארה"ב וישראל. לפי הדיווח בג'ורנל, גורמים בארה"ב רואים בישראל אחראית למבצע הריגול, מה שגם מחזק את הקשר שבינה ובין מתקפת Duqu המקורית. במרץ שעבר טענו גורמים בארצות הברית כי ישראל מצליחה להשיג מידע על מהלך הדיונים, מה שמצביע על מבצע ריגול זה או אחר - ועתה נראה שהתוכנה המתקדמת היא שהשיגה את המידע האמור.

ריגול בין חברים?

הריגול התבצע על ידי השתלת וירוסים במערכות המחשב של המלונות. מהנהלתם נמסר כי מעולם לא חשדו כי המערכות שלהם נפרצו, לא כל שכן שהם שימשו לריגול אחר האורחים. שיחות הגרעין בין איראן למערב היוו מטרה ראשונה במעלה עבור שירותי הביון הישראלים. כך שסביר להניח שכל טכנולוגיה הייתה כשרה לאיסוף המודיעין.

אחד המלונות בלוזאן בו התקיימו השיחות צילום: איי אף פי

בקספרסקי נמנעו מלנקוב בישראל באופן מפורש כעומדת מאחורי המבצע, משום שעדיין לא הוכח חד משמעית הקשר של ישראל לנוזקת Duqu ושקספרסקי עצמה נחשדת כבעלת קשרים לממשלת רוסיה ולמודיעין הרוסי, מה שעשוי להציג את האשמת ישראל כשירות לאינטרס אנטי-מערבי. מייסד החברה, יוג'ין קספרסקי, הכחיש בתוקף כל קשר פוליטי למודיעין הרוסי.

"החוקרים גילו שהחברה לא הייתה המטרה היחידה של איום הסייבר", נמסר מקספרסקי. "קורבנות נוספים התגלו במדינות מערביות נוספות, במדינות במזרח התיכון וגם באסיה. חלק מהמתקפות החדשות של 2014-2015 קשורות לאירועי ומתחמי המשא ומתן עם איראן בנושא הגרעין. גורם האיום מאחורי דוקו שיגר מתקפות על אתרי השיחות והפגישות בהם התקיימו שיחות ברמה המדינית הגבוהה".

חוקרי קספרסקי מודים שלא ברור מהו המידע הספציפי שנגנב - כך שלא ידוע אם מדובר בתעבורת רשת, הודעות, מיילים, הקלטת סביבת המחשבים (עוד אחת מיכולות נוזקת העל) או כולם גם יחד. מקורות ישראלים הכחישו שהמדינה ריגלה אחר ארה"ב או בעלות בריתה. בכירים ישראלים סירבו לבקשת תגובה על הקשר בין Duqu והפריצה למלונות.

גורמים רשמיים בארה"ב מסרו שהם לא הופתעו מהטענות או מניסיונות החדירה למלונות בהם התנהלו השיחות. גורם רשמי בכיר בקונגרס אמר שהממצאים "אמינים ורציניים".

פרשנות

על אף שלישראל יש אינטרס ברור גם לאיסוף מידע על שיחות הגרעין (כפי שהיה לה במתקפת Duqu ב-2011, לפגיעה בתוכנית הגרעין האיראנית) - לא ניתן לדעת באופן חד משמעי שמאחורי מבצע הריגול אכן עמדו גורמים ישראלים. לא ידוע מי אסף את המידע, איזה מידע נאסף ולמי הועבר. זו אחת הבעיות הגדולות ביותר בתחום אבטחת המידע: קשה להוכיח קשר מובהק בין תוקף ומתקפה.

מעבדת קספרסקי ניתחה בעבר דוגמאות קוד מנוזקות-על כ-Duqu וקודמתה סטוקסנט (שפגעה פיזית בכור גרעיני באיראן) כך שנראה שיש לה את הכלים לזהות וירוסים שאכן פותחו בידי אותו גורם, אך לא לדעת את זהותו. נוזקת-על מצריכה משאבים עצומים לפיתוחה והפעלתה, מהסוג שנמצאים רק בידי מדינות מתקדמות. אך הצירוף של אמצעי וכוונה אינו מספיק: בעוד שלישראל יש אינטרס להשיג מידע על מהלך שיחות הגרעין, יש מספיק גורמים בעולם שירוויחו מכך שארה"ב תחשוב שישראל ריגלה אחרי השיחות, בין אם זה נכון ובין אם לא. בנוסף, מקטעי קוד של וירוסים מתקדמים מועברים לעיתים בין מומחי אבטחת מידע לצרכי התייעצות ויכולים בקלות להגיע גם לידי האקרים. אלה יכולים לבצע הינדוס לאחור ולהשתמש במקטעי הקוד כבסיס לפיתוח וירוסים חדשים שיידמו לנוזקה המקורית, מה שיכול להטעות מומחי אבטחת מידע לחשוב שמדובר באותו התוקף.

לפיכך, המקרה שלפנינו לא בהכרח יוביל למשבר בין המדינות. טבעי להניח שכל גורם שבידיו כלי סייבר מתקדמים ישתמש בהם כדי לאסוף מידע על בני ברית ועל אויבים כאחד, בדיוק כפי שישתף פעולה עם בני ברית כדי לרגל בצוותא אחר אויב משותף.