Tajemnicze złośliwe oprogramowanie do zmywania prawdopodobnie połączone ze Stuxnetem i Duquem, naukowcy mówią

Naukowcy bezpieczeństwa z Kaspersky Lab odkryli informacje sugerujące możliwy związek między tajemniczym złośliwym oprogramowaniem, które zaatakowało irańskie komputery naftowe w kwietniu a zagrożeniami ze strony cyberprzestępców Stuxnet i Duqu.

Po kwietniowych raportach dane te zostały zniszczone na wielu serwerach w Iranie, prawdopodobnie za pomocą nowego szkodliwego oprogramowania, Międzynarodowa Unia Telekomunikacyjna (ITU) zwróciła się do firmy Kaspersky Lab z prośbą o zbadanie tego problemu.

Naukowcy z Kaspersky Lab nie byli w stanie znaleźć tajemniczego złośliwego oprogramowania, które nadano nazwę Wiper, ponieważ można było odzyskać bardzo mało danych z uszkodzonych dysków twardych.

[Dalsza lektura: Jak usunąć złośliwe oprogramowanie ze swojego komputera z Windows]

Jednak ich dochodzenie doprowadziło do odkrycia Flame'a, a później Gaussa, dwóch wysoce wyrafinowanych zagrożeń cyberprzestępczych, które zostały prawdopodobnie opracowane przez państwo narodowe.

Po przejrzeniu fragmenty informacji wyodrębnionych z uszkodzonych dysków twardych, naukowcy z Kaspersky Lab doszli do wniosku, że szkodliwe oprogramowanie Wipera faktycznie istniało, że używało wyrafinowanego i skutecznego algorytmu do czyszczenia danych i że najprawdopodobniej nie był komponentem Flame.

"My może teraz z całą pewnością powiedzieć, że incydenty miały miejsce i że złośliwe oprogramowanie odpowiedzialne za te ataki istniało w kwietniu 2012 r. "- powiedzieli naukowcy z globalnego zespołu badawczo-analitycznego Kaspersky w środę w poście na blogu. "Ponadto zdajemy sobie sprawę z bardzo podobnych incydentów, które miały miejsce od grudnia 2011 r."

Mimo że połączenie z Flame jest mało prawdopodobne, istnieją pewne dowody sugerujące, że Wiper może być powiązany ze Stuxnetem lub Duquem.

Na przykład na kilku analizowanych dyskach twardych naukowcy znaleźli ślady usługi o nazwie RAHDAUD64, która ładowała pliki o nazwie ~ DFXX.tmp - gdzie XX to dwie losowe cyfry - z folderu C: WINDOWS TEMP.

"W chwili, gdy to zobaczyliśmy, natychmiast przypomnieliśmy sobie Duqu, który używał nazw plików tego formatu" - powiedzieli naukowcy. "W rzeczywistości nazwa Duqu została wymyślona przez węgierskiego badacza Boldizsara Bencsatha z laboratorium CrySyS, ponieważ stworzyła ona pliki o nazwach? ~ DqXX.tmp ??".

Naukowcy z Kaspersky Lab ustalili, że zarówno Stuxnet, jak i Duqu zostały stworzone przez ten sam zespół programistów korzystających z tej samej platformy - nazwano platformę Tilded, ponieważ szkodliwe oprogramowanie używało plików o nazwach rozpoczynających się od symbolu "~" (tylda).

Naukowcom nie udało się odzyskać plików ~ DFXX.tmp, ponieważ zostały nadpisane danymi śmieci podczas procedury niszczenia danych przez Wiper.

Innym możliwym łączem do Stuxnet i Duqu jest fakt, że Wiper najwyraźniej nadawał priorytet plikom .PNF podczas procesu wymazywania danych. Zarówno Duqu, jak i Stuxnet zachowali swoje główne komponenty w zaszyfrowanych plikach .PNF, jak stwierdzili badacze Kaspersky.

Dowody znalezione do tej pory nie są wystarczająco solidne, aby stwierdzić z pewnością, że Wiper jest spokrewniony ze Stuxnetem lub Duquem i prawda może nigdy nie dojść do skutku. chyba że system zostanie wykryty, gdy rutynowe procedury niszczenia danych przez Wiper w jakiś sposób zawiodły, powiedzieli naukowcy.

Jeśli jednak jest to powiązane, to jest to kolejny element większej układanki, która wskazuje na ważną akcję sponsorowaną przez państwo i cybersabotage na Bliskim Wschodzie. Naukowcy z Kaspersky Lab ustalili już, na podstawie dowodów technicznych, że Stuxnet, Duqu, Flame i Gauss są ze sobą spokrewnieni.

Według raportu New York Times z czerwca, który cytował nienazwane źródła z administracji Obamy, Stuxnet był wspólnie opracowany przez USA i Izrael i był częścią tajnej operacji o kryptonimie Igrzyska Olimpijskie.