În luna aprilie 2012, o serie de atacuri informatice iniţiate de un program foarte periculos (numit Wiper) au avut ca ţintă computerele conectate la mai multe platforme petroliere din Asia de Sud-Vest. În mai 2012, la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), echipa Kaspersky Lab a început o investigaţie asupra evenimentelor, pentru a determina potenţialul de atac al acestui malware, care ameninţă securitatea globală.

Ieri, experţii Kaspersky Lab au publicat rezultatele analizei digitale („forensic”) a imaginilor hard-disk-urilor, pe care le-au obţinut de pe maşinile atacate de Wiper. Acestea oferă informaţii importante cu privire la metoda foarte eficientă a Wiper de a distruge sistemele, precum şi la capacitatea unică a acestuia de a şterge datele. Cu toate că cercetarea asupra Wiper a dus la descoperirea lui Flame, Wiper nu a fost detectat în timpul analizei şi este, încă, neidentificat.

Între timp, metoda eficientă de a distruge sisteme a încurajat alţi infractori cibernetici să copieze Wiper şi să creeze un alt malware distructiv, precum Shamoon. Acesta din urmă a apărut în August 2012.

Sumar:

  • Kaspersky Lab confirmă faptul că Wiper este responsabil pentru atacurile lansate împotriva sistemelor IT din Asia de Sud-Vest, în perioada 21 – 30 Aprilie 2012.
  • Analiza imaginilor de hard-disk ale computerelor distruse de Wiper dezvăluie un tipar specific de ştergere a datelor, împreună cu numele unei componente malware, care începe cu ~D. Aceste descoperiri aduc aminte de Duqu şi Stuxnet, care conţineau, de asemenea, fişiere ale căror nume începea cu ~D, ambele programe periculoase fiind construite pe aceeaşi platformă de atac, cunoscută sub numele de Tilded.
  • Prin intermediul Kaspersky Security Network (KSN), Kaspersky Lab a început să caute fişiere care începeau cu ~D, pentru a încerca să identifice alte componente Wiper, pe baza legăturii cu platforma Tilded.
  • În timpul procesului de căutare, Kaspersky Lab a identificat, în Asia de Sud-Vest, un număr semnificativ de fişiere numite ~DEB93D.tmp. Analiza ulterioară a demonstrat faptul că acest fişier aparţinea lui Flame. Aşa a fost descoperit Flame de către Kaspersky Lab.
  • Cu toate că Flame a fost identificat în timpul căutării lui Wiper, echipa de cercetare a Kaspersky Lab este de părere că Wiper şi Flame sunt două programe periculoase distincte.
  • Deşi Kaspersky Lab a analizat urme ale infecţiilor cu Wiper, malware-ul propriu-zis rămâne, încă, necunoscut, deoarece nu au mai avut loc alte incidente care să repete tiparul folosit de acesta, iar modulul de protecţie proactivă nu a detectat prezenţa ulterioară a malware-ului.
  • Wiper a fost foarte eficient şi poate stimula alţi infractori cibernetici să creeze copii ale acestuia, cum este cazul lui Shamoon.

Analiza în profunzime a imaginii hard-disk-urilor

Analiza imaginii hard-disk-urilor de pe maşinile distruse de Wiper dezvăluie faptul că programul periculos a şters complet informaţiile de pe sistemele-ţintă şi a distrus toate datele ce puteau fi folosite pentru identificarea malware-ului. Fişierele de sistem infectate de Wiper nu permiteau computerelor să repornească şi cauzau o funcţionare necorespunzătoare. Aşadar, pe fiecare computer analizat, nu se mai afla nimic, iar şansa de a recupera orice fel de informaţie era nulă.

Cu toate acestea, analiza Kaspersky Lab a scos la lumină informaţii valoroase, inclusiv tiparul special de ştergere folosit de Wiper, precum şi numele unor componente malware şi, în anumite situaţii, numele fişierelor de tip registru care au fost şterse de pe hard-disk. Acestea din urmă direcţionau către fişiere ale căror nume începea cu ~D.

Tiparul unic de ştergere a datelor

Analiza acestui tipar arată că, pe fiecare computer în parte, era iniţiată o metodă consistentă de ştergere a datelor. Algoritmul Wiper a fost creat pentru a distruge rapid şi eficient cât mai multe fişiere cu putinţă, situaţie ce presupunea chiar eliminarea a mai mulţi gigabytes o dată. Aproximativ trei sau patru computere-ţintă au avut datele şterse complet, operaţiunea fiind concentrată pe distrugerea primei jumătăţi de hard-disk şi apoi pe ştergerea sistematică a fişierelor rămase, care ar fi permis sistemului să funcţioneze corespunzător.

În plus, atacurile Wiper ţinteau şi fişiere de tip PNF, cunoscute pentru faptul că erau folosite şi de Duqu şi Stuxnet, care aveau structurile principale codate în astfel de fişiere. Descoperirea este interesantă, intenţia Wiper fiind de a acoperi urmele altor componente malware din sistem.

Cum a condus analiza Wiper la descoperirea lui Flame

Fişierele temporare (TMP), care începeau cu ~D, erau utilizate şi de Duqu, malware construit pe aceeaşi platformă ca şi Stuxnet: Tilded. Pe baza acestui indiciu, echipa de cercetare a utilizat KSN – infrastructura cloud a produselor Kaspersky Lab, folosită pentru a oferi protecţie instant în faţa celor mai noi ameninţări, pe baza analizei euristice şi a listelor cu programe periculoase (blacklists) – pentru a căuta nume de fişiere potenţial necunoscute, care ar fi putut avea legătură cu Wiper. În timpul acestui proces, echipa de analiză a descoperit că o serie de computere din Asia de Sud-Vest conţin numele de fişier „~DEF983D.tmp”. Astfel a fost identificat Flame. Cu toate acestea, Wiper nu a fost găsit prin această metodă rămâne, încă, neidentificat.

„Analiza asupra tiparului lăsat de Wiper pe hard-disk-urile examinate, confirmă că nu există niciun fel de dubiu cu privire la prezenţa malware-ului pe computerele din Asia de Sud-Vest, atacate în aprilie 2012 şi, probabil, chiar mai devreme – în decembrie 2011”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Cu toate că am descoperit Flame în timpul căutărilor lui Wiper, suntem de părere că Wiper nu este Flame, ci reprezintă un alt tip de malware. Comportamentul distructiv al acestuia, combinat cu numele fişierelor lăsate în urmă indică un program periculos, ce foloseşte platforma Tilded. Arhitectura modulară a lui Flame este complet diferită, acesta fiind creat pentru a desfăşura o campanie de spionaj cibernetic. De asemenea, în timpul analizei lui Flame, nu am identificat un comportament distructiv, similar lui Wiper”, încheie Gostev.

Analiza completă asupra lui Wiper poate fi accesată aici:

https://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.