Switzerland – A computer virus was used to hack into venues linked to international talks on Iran’s nuclear program, Russian computer security company Kaspersky Lab said on Wednesday.
The Wall Street Journal said the virus was widely believed to be used by Israeli spies and Kaspersky had linked it to “three luxury European hotels” used in the negotiations involving Iran and six world powers.
Kaspersky said it looked into the “cyber-intrusion” after detecting the “Duqu 2.0” malware in its own systems in early spring this year, which it said was designed to spy on its technology, research, and internal processes.
Other victims of Duqu had been found in Western countries, the Middle East and Asia, it said in an emailed statement.
“Most notably, some of the new 2014-2015 infections are linked to the P5+1 events and venues related to the negotiations with Iran about a nuclear deal,” the statement said.
“P5+1” refers to the six world powers negotiating with Iran on curbs to its disputed nuclear program—the United States, Russia, China, Britain, France and Germany.
The talks have been held in Geneva, Lausanne, Montreux, Munich and Vienna.
In February, the United States accused Israel of using selective leaks from the talks to distort the U.S. position.
Israel has denounced the diplomatic opening to Iran, saying it doubts any agreement arising from the talks will sufficiently restrain the disputed nuclear program of its arch-enemy.
During various rounds of the talks, Israeli officials said they knew what was being discussed from various sources including intelligence gathering and information relayed by allies.
The officials did not elaborate on the latter, but did assert that Israel never spied on the United States, its closest ally.
The unidentified group behind the Duqu malware, according to Kaspersky, was “one of the most skilled, mysterious and powerful threat actors in the APT (advanced persistent threat) world”. Advanced persistent threats typically refer to sophisticated software created by state-backed cyberspies.
Kaspersky said Duqu was previously used for an unspecified cyberattack in 2011 that bore similarities to Stuxnet, a computer “worm” that partially sabotaged Iran’s nuclear program in 2009-2010 by destroying a thousand or more centrifuges that were enriching uranium.
Another Duqu attack, Kaspersky said, was carried out “in relation to” the commemoration of the 70th anniversary in January this year of the liberation of the Auschwitz-Birkenau Nazi concentration camp in Poland.
That ceremony was attended by the heads of state of Germany, France, Britain and other nations.
The targets of the Duqu attacks in 2011 and more recently were not specified by Kaspersky.
וול סטריט ג’ורנל” מדווח היום (ד’) כי חברת אבטחת המחשבים “קספרסקי” מצאה שישראלים שתלו כנראה וירוסים בלפחות שלושה מלונות יוקרה באירופה שאירחו גורמים איראניים במהלך שיחות הגרעין עם שש המעצמות. בעיתון האמריקני נאמר כי “גורמים אמריקניים בהווה ובעבר ומומחים לאבטחת מידע מאמינים שהמקור לפלטפורמה הזדונית Duku 2.0 נוצר בישראל כחלק ממערך איסוף מידע רגיש”.
בשנה שעברה אירעה פריצה לחברת אבטחת המידע ובבדיקה שערכה במיליוני מחשבים בעולם שהותקפו באותה העת – היא מצאה בין היתר כמה מלונות שאירחו את הגורמים האיראניים שהיו מעורבים בשיחות הגרעין. לאחר בדיקה ממושכת מצאה החברה קשר בין המלונות – שבכולם התארחו גורמים איראניים שהיו מעורבים בשיחות הגרעין.
בהודעת חברת “קספרסקי” נאמר כי “חלק מהמתקפות החדשות בשנה שעברה ובשנה הנוכחית קשורות לאירועי ומתחמי המשא ומתן עם איראן בנושא הגרעין. גורם האיום מאחורי Duku 2.0 שיגר מתקפות על אתרי השיחות והפגישות בהם התקיימו שיחות ברמה המדינית הגבוהה. קבוצת דוקו 2.0 פתחה במתקפות דומה נגד האירוע לזכר 70 שנה לשחרור אושוויץ-בירקנאו. בפגישות אלה נכחו דיפלומטים ופוליטיקאים מכל העולם”.
חוקרי חברת אבטחת המידע ציינו כי ייתכן שהאקרים האזינו לשיחות וגנבו קבצים אלקטרוניים לאחר שהשתלטו על מערכות ממוחשבות של בתי מלון וכך השיגו מידע רב. בחברת “קספרסקי” עצמה נאמנים למדיניות שלהם ואינם מזהים את ישראל כמדינה האחראית למתקפה. עם זאת, היא סיפקה רמז לכך שמקור המתקפה בישראל באות ב’ בדו”ח המתאר את המתקפה תחת הכותרת “The Duqu Bet”.
“גורמים אמריקניים בכירים גילו שישראל ריגלה ב-2014 אחר שיחות הגרעין, דבר שעליו דיווח ‘וול סטריט ג’ורנל’ בחודש מרס”, דיווח העיתון האמריקני. לפי שעה לא ברורה מהימנות הדיווח, אולם עיתוי הפרסום שלו איננו מקרי כנראה – יותר משבועיים לפני מועד היעד להשגת הסכם גרעין סופי בין איראן לבין שש המעצמות ארצות הברית, רוסיה, סין, בריטניה, צרפת וגרמניה.
על פי ההסכם, איראן תפסיק בין היתר להעשיר אורניום בשטחה ותאפשר פיקוח בינלאומי על מתקניה הגרעיני ובתמורה יוסרו ממנה בהדרגה הסנקציות הכלכליות.
רמטכ”ל צבא ארה”ב, מרטין דמפסי, שמבקר בישראל, אמר אמש כי איראן ככל הנראה תשמש בכסף שייכנס לאוצרה לאחר ההקלה בסנקציות לצרכים צבאיים. בדבריו לכתבים בירושלים הוסיף דמפסי כי שב והבטיח לישראל שארצו תסייע להקל את הסיכונים שקשורים לאיראן, אם יהיה הסכם על תוכנית הגרעין או לא.
על פי “וול סטריט ג’ורנל”, המאמץ הישראלי לאסוף מודיעין על הגרעין האיראני ועל שיחות הגרעין הוא בעדיפות עליונה. מנהיגי ישראל, בראשות ראש הממשלה בנימין נתניהו, טוענים כי הסכם גרעין עם איראן יאפשר לה להמשיך להתקדם לעבר פצצה גרעינית למטרות צבאיות. טהרן מצדה מכחישה את הטענה הישראלית וטוענת כי תוכנית הגרעין שלה נועדה למטרות אזרחיות, בהן ייצור אנרגיה ותרופות.
חברה לאבטחת מידע ברשת הממוקמת במוסקבה גילתה כי “גורמים הקשורים לישראל” הפעילו וירוס לצורך מעקב אחר שיחות הגרעין באירופה. קספרסקי לאב זאו, גילתה כי נעשה נגדה שימוש בווירוס וביקשה לבדוק מי עוד משתמש בו. בדיקה של החברה במיליוני מחשבים בכל העולם העלתה כי נעשה שימוש בתוכנה בשלושה בתי מלון באירופה שאירחו את שיחות הגרעין בין איראן למעצמות.
דו”ח של החברה, שהגיע לידי הוול סטריט ג’ורנל ומומחי אבטחה חיצוניים, גורס כי תוכנת הריגול היא גרסה משופרת של “דוקו”, וירוס שזוהה בתחילה על ידי מומחי סייבר בשנת 2011. גורמים רשמיים בארצות הברית בעבר ובהווה ומומחי סייבר רבים סבורים כי “דוקו” פותחה לצורך פעילות איסוף המודיעין הרגישה ביותר של ישראל.
על פי הפרסום, הממצאים של החברה צפויים לשפוך אור על אופן השימוש של הווירוס החשאי במאמצי הריגול וכן לספק לראשונה הוכחה ממשית לכך ששיחות הגרעין היו תחת מעקב.
בקספרסקי לא טענו מפורשות שמדינת ישראל אחראית למעקב, אך חוקרים בחברה רומזים כי יש חשד שקיים קשר ישראלי לעניין. בדיווח בג’ורנל ציינו כי מומחי קספרסקי אמנם נמנעו מהפניית אצבע מאשימה, אולם הם קראו לדו”ח הרשמי “Doku Bet” שעשוי להתפרש כמשחק מלים בעברית – “דוקו ב'” – החלק השני של פרשת תוכנת הריגול הקודמת.
החוקרים מודים כי ישנן שאלות רבות שנותרו ללא מענה בנוגע לאופן פעילות הווירוס ולשאלה אם נגנב מידע. הם מציינים כי ייתכן שהתוכנה אפשרה לצותת לשיחות ולגנוב קבצים אלקטרוניים באמצעות השתלטות על מערכות המלון המחוברות למחשבים, לטלפונים, למעליות ולאזעקות. בדרך זו הם יכלו לאסוף את המידע ואף להדליק ולכבות את המכשירים. גורמים רשמיים בישראל סירבו להתייחס לטענות.
הבולשת הפדרלית של ארה”ב (אף-בי-איי) בוחנת אף היא את הדו”ח של קספרסקי, אבל הארגון סירב להגיב רשמית לטענות. עם זאת, גורמים המעורים בדיונים בממשל האמריקאי אמרו לג’ורנל כי הם לא הופתעו לגלות על החדירות למחשבי המלון בזמן השיחות.
רק בחודש מארס האחרון דיווח הג’ורנל כי ישראל ריגלה אחר שיחות הגרעין של ארה”ב והמעצמות עם איראן המתנהלות מאחורי דלתיים סגורות. לפי הדיווח, שציטט בכירים בעבר ובהווה בממשל האמריקאי, הריגול היה חלק מניסיון רחב יותר של ראש הממשלה בנימין נתניהו “לחדור” לשיחות כדי לבסס את טיעוניו נגד תנאי העסקה המתגבשת. בנוסף להאזנות, ישראל השיגה מידע מתדרוכים אמריקאים חשאיים, מודיעים ואנשי קשר באירופה.
ב-30 ביוני אמור להיחתם הסכם הגרעין בין שש המעצמות לאיראן, כפי שסוכם בהסכם המסגרת בלוזאן. אחרי פגישה בין נציגים מטעם המדינות בסוף השבוע, השיחות אמורות להתחדש עוד השבוע. שרי החוץ של שבע המדינות צפויים להצטרף למגעים לקראת סופם.