Wiper, un malware foarte periculos
În luna aprilie 2012, o serie de atacuri informatice iniţiate de un program foarte periculos (numit Wiper) au avut ca ţintă computerele conectate la mai multe platforme petroliere din Asia de Sud-Vest.
În mai 2012, la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), echipa Kaspersky Lab a început o investigaţie asupra evenimentelor, pentru a determina potenţialul de atac al acestui malware, care ameninţă securitatea globală. Astăzi, experţii Kaspersky Lab au publicat rezultatele analizei digitale („forensic”) a imaginilor hard-disk-urilor, pe care le-au obţinut de pe maşinile atacate de Wiper. Acestea oferă informaţii importante cu privire la metoda foarte eficientă a Wiper de a distruge sistemele, precum şi la capacitatea unică a acestuia de a şterge datele. Cu toate că cercetarea asupra Wiper a dus la descoperirea lui Flame, Wiper nu a fost detectat în timpul analizei şi este, încă, neidentificat.
Între timp, metoda eficientă de a distruge sisteme a încurajat alţi infractori cibernetici să copieze Wiper şi să creeze un alt malware distructiv, precum Shamoon. Acesta din urmă a apărut în August 2012.
Sumar:
Kaspersky Lab confirmă faptul că Wiper este responsabil pentru atacurile lansate împotriva sistemelor IT din Asia de Sud-Vest, în perioada 21 – 30 Aprilie 2012.
Analiza imaginilor de hard-disk ale computerelor distruse de Wiper dezvăluie un tipar specific de ştergere a datelor, împreună cu numele unei componente malware, care începe cu ~D. Aceste descoperiri aduc aminte de Duqu şi Stuxnet, care conţineau, de asemenea, fişiere ale căror nume începea cu ~D, ambele programe periculoase fiind construite pe aceeaşi platformă de atac, cunoscută sub numele de Tilded.
Prin intermediul Kaspersky Security Network (KSN), Kaspersky Lab a început să caute fişiere care începeau cu ~D, pentru a încerca să identifice alte componente Wiper, pe baza legăturii cu platforma Tilded.
În timpul procesului de căutare, Kaspersky Lab a identificat, în Asia de Sud-Vest, un număr semnificativ de fişiere numite ~DEB93D.tmp. Analiza ulterioară a demonstrat faptul că acest fişier aparţinea lui Flame. Aşa a fost descoperit Flame de către Kaspersky Lab.
Cu toate că Flame a fost identificat în timpul căutării lui Wiper, echipa de cercetare a Kaspersky Lab este de părere că Wiper şi Flame sunt două programe periculoase distincte.
Deşi Kaspersky Lab a analizat urme ale infecţiilor cu Wiper, malware-ul propriu-zis rămâne, încă, necunoscut, deoarece nu au mai avut loc alte incidente care să repete tiparul folosit de acesta, iar modulul de protecţie proactivă nu a detectat prezenţa ulterioară a malware-ului.
Wiper a fost foarte eficient şi poate stimula alţi infractori cibernetici să creeze copii ale acestuia, cum este cazul lui Shamoon.
Analiza în profunzime a imaginii hard-disk-urilor
Analiza imaginii hard-disk-urilor de pe maşinile distruse de Wiper dezvăluie faptul că programul periculos a şters complet informaţiile de pe sistemele-ţintă şi a distrus toate datele ce puteau fi folosite pentru identificarea malware-ului. Fişierele de sistem infectate de Wiper nu permiteau computerelor să repornească şi cauzau o funcţionare necorespunzătoare. Aşadar, pe fiecare computer analizat, nu se mai afla nimic, iar şansa de a recupera orice fel de informaţie era nulă.
Cu toate acestea, analiza Kaspersky Lab a scos la lumină informaţii valoroase, inclusiv tiparul special de ştergere folosit de Wiper, precum şi numele unor componente malware şi, în anumite situaţii, numele fişierelor de tip registru care au fost şterse de pe hard-disk. Acestea din urmă direcţionau către fişiere ale căror nume începea cu ~D.
Tiparul unic de ştergere a datelor
