האם ישראל מאחורי מתקפת הריגול Duku 2 על שיחות הפסגה בנושא הגרעין האיראני

הוול סטריט ג'ורנל מייחס את הפרסומים אודות פעילות הגרסה החדשה של Duku 2 לישראל. לפי פרסומים שונים, בין היתר דיווח של מעבדת קספרסקי, הקוד הזדוני שימש כדי לרגל אחר מנהיגים פוליטיים בשיחות פסגה בנושא הגרעין האיראני. החשד לעמידתה של ישראל מאחורי הפעילות הזדונית מגיע לאחר שגם פעילות הגרסה הקודמת של Duku, שנחשפה  בספטמר 2011, יוחסה לישראל ונקשרה לסטוקסנט. עם זאת, יש לזכור שעולם הריגול יכול לעבוד בשני הכיוונים, ויש סבירות גבוהה כי מדינה אחרת אימצה את הקוד של Duku ועושה בו שימוש כדי לפגוע בתדמית ישראל.

מעבדת קספרסקי, שנפגעה בעצמה מהקוד הזדוני, פרסמה היום פרטים ראשונים שהעלתה חקירתה את הנושא. על פי פרסומי החברה, קורבנות נוספים התגלו  במדינות מערביות נוספות, במדינות במזרח התיכון וגם באסיה. יש לציין כי חלק מהמתקפות החדשות של 2014-2015 קשורות לאירועי ומתחמי  המשא ומתן עם איראן בנושא הגרעין (P5+1). גורם האיום מאחורי דוקו שיגר מתקפות על אתרי השיחות והפגישות בהם התקיימו שיחות ברמה המדינית הגבוהה. בנוסף לארועי 5+1P קבוצת דוקו 2.0 פתחה במתקפות דומה כנגד הארוע לזכר 70 שנה לשחרור אושוויץ-בירקנאו. בפגישות אלה נכחו דיפלומטים  ופוליטיקאים מכל העולם.

בתחילת אביב 2015 גילתה מעבדת קספרסקי פריצות סייבר שהשפיעו על כמה מהמערכות הפנימיות שלה. בעקבות הגילוי, פתחה החברה בחקירה מקיפה שהביאה לגילויה של פלטפורמה זדונית חדשה של אחד האיומים המשפיעים, החזקים והמסתוריים בעולם ה-APT וריגול הסייבר, ושמו: Duku.

במעבדת קספרסקי מאמינים שהפורצים היו בטוחים שבלתי אפשרי לגלות את מתקפת הסייבר שלהם. במתקפה נכללו מאפיינים מיוחדים שלא נראו מעולם ואשר כמעט שלא השאירו עקבות. המתקפה ניצלה פרצות יום אפס, ולאחר שהסירה הרשאות לניהול דומיין, הקוד הזדוני התפשט ברשת דרך קבצי ה-MSI (Microsoft Software Installer), שבהם משתמשים מנהלי הרשת כדי להתקין תוכנה במחשבי Windows מרוחקים. המתקפה לא השאירה מאחוריה שום קבצים בדיסק ולא שינתה הגדרות מערכת, והדבר גרם לגילוי להיות קשה במיוחד. הפילוסופיה ודרך החשיבה של קבוצת דוקו 2.0 הן דור אחד קדימה מכל מה שנראה עד כה בעולם ה-APT.

הנשיא ברק אובמה ואנגלה מרקל בשיחת פסגה באוויר הצח. (תמונה רשמית של הבית הלבן – צלם: פיט סאוזה)