דוקו (נוזקה)
דוקו (Duqu) היא נוזקה, שהתגלתה בספטמבר 2011, ונחשבת כקשורה לנוזקה סטוקסנט. מעבדת הקריפטוגרפיה ואבטחת מערכות של אוניברסיטת בודפשט לטכנולוגיה ולכלכלה בהונגריה גילתה את הנוזקה, ניתחה אותה ופרסמה דו"ח בן 60 עמודים, בו קראה לנוזקה בשם "דוקו", שנגזר מהתחילית "DQ~", אותו היא נותנת לקבצים שהיא יוצרת. דוקו מפיצה עצמה כתולעת מחשב, אוספת מידע במחשב שבו היא מותקנת, ומוחקת קבצים.
הקשר לסטוקסנט
[עריכת קוד מקור | עריכה]מומחים בחנו את התכונות הדומות בין דוקו לסטוקסנט, ומצאו מתוכן 3 מעניינות:
- היוצר מנצל פגיעוּת יום אפס של חלונות.
- הרכיבים חתומים עם מפתחות דיגיטליים גנובים.
- דוקו וסטוקסנט מאוד ממוקדי מטרות הקשורות בתוכנית הגרעין האיראנית.
מטרה
[עריכת קוד מקור | עריכה]דוקו תר אחר מידע, שיכול להועיל בהתקפה על מערכות בקרה תעשייתית. המטרה שלו היא לא להרוס, אלא לאסוף מידע. אולם, בהתבסס על המבנה המודולרי של דוקו, ניתן להשתמש במטענים ייעודיים[דרושה הבהרה] כנגד כל סוג של מערכת מחשבים. כלומר, התקפת סייבר המבוססת על דוקו יכולה להיות אפשרית. נמצא כי בשימוש במערכת מחשב פרטית, דוקו מוחק כל מידע על כניסה למערכת, ובחלק מהמקרים גורם למחיקה של כל הדיסק הקשיח. תקשורת פנימית של דוקו נותחה על ידי חברת סימנטק, אך לא ידוע עדיין במלואו, כיצד בדיוק הוא משכפל את עצמו בתוך מערכת מותקפת. דוקו משתמש בקובץ תמונה jpeg בגודל 54×54 פיקסלים ובתיקיות-דמה מוצפנות בתור מכלים (סוג של מבנה נתונים מופשט) להברחת מידע למרכז השליטה והבקרה שלו. מומחי אבטחה עדיין מנתחים את הקוד כדי לקבוע את סוג המידע שהתקשורת כוללת. מחקר ראשוני מעיד כי הנוזקה הראשונית מוחקת את עצמה באופן אוטומטי לאחר 36 ימים, דבר המקשה על האיתור שלה.
ראו גם
[עריכת קוד מקור | עריכה]- סטוקסנט
- להבה (נוזקה)
- דוקו 2 - תוכנת ריגול שהתגלתה בשנת 2015
קישורים חיצוניים
[עריכת קוד מקור | עריכה]- הודעה על דוקו באתר חברת סימנטק
- הראל עילם, מי אתה, הווירוס דוקו?, באתר כלכליסט, 14 בנובמבר 2011
- רויטרס, תולעת מחשבים חדשה מאיימת לפגוע באיראן, באתר ynet, 21 באוקטובר 2011
- גיא גרימלנד, נשק סייבר נוסף לישראל? נמצאה תולעת מחשב חדשה, באתר TheMarker, 19 באוקטובר 2011