Mysterious Wiper Malware, der muligvis er forbundet med Stuxnet og Duqu, siger forskere

Sikkerhedsforskere fra Kaspersky Lab har afdækket oplysninger, der tyder på en mulig sammenhæng mellem den mystiske malware, der angreb på iranske olieministeriums computere i april og Stuxnet og Duqu cyberespionage trusler.

Efter aprilrapporter Disse data blev ødelagt på flere servere i Iran, muligvis ved et nyt stykke malware, anmodede International Telecommunications Union (ITU) sikkerhedsleverandøren Kaspersky Lab om at undersøge hændelserne.

Kasperskys forskere kunne ikke finde den mystiske malware, som fik navnet Wiper, fordi meget få data fra de berørte harddiske blev genoprettelige.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Men deres undersøgelse førte til opdagelsen af ​​Flame og senere Gauss, to højt sofistikerede cyberspionage-trusler, der antages at være blevet udviklet af en nationstat.

Efter at have gennemgået de oplysninger, der blev hentet fra de berørte harddiske, konkluderede Kaspersky-forskerne, at Wiper-malware faktisk eksisterede, at den brugte en sofistikeret og effektiv datatørringsalgoritme, og at det højst sandsynligt ikke var en Flame-komponent.

"Vi kan nu med sikkerhed sige, at hændelserne fandt sted, og at malware, der var ansvarlig for disse angreb, eksisterede i april 2012, "fortalte forskere fra Kasperskys globale forsknings- og analysehold onsdag i et blogindlæg. "Vi er også opmærksomme på nogle meget lignende hændelser, der har fundet sted siden december 2011."

Selv om der ikke er nogen forbindelse til Flame, er der noget, der tyder på, at Wiper kan være relateret til Stuxnet eller Duqu.

For eksempel på nogle af de analyserede harddiske fandt forskerne spor af en tjeneste kaldet RAHDAUD64, som indlæste filer med navnet ~ DFXX.tmp - hvor XX er to tilfældige cifre - fra mappen C: WINDOWS TEMP.

"Det øjeblik vi så dette, mindede vi omgående Duqu, som brugte filnavne af dette format," sagde forskerne. "Faktisk blev navnet Duqu coined af den ungarske forsker Boldizsar Bencsath fra CrySyS-labet, fordi det oprettede filer med navnet? ~ DqXX.tmp ??."

Kasperskys forskere havde allerede konstateret, at både Stuxnet og Duqu blev skabt af samme team af udviklere, der bruger den samme platform - dubbed den tildelte platform, fordi malware brugte filer med navne der begynder med symbolet "~" (tilde).

Forskerne kunne ikke genoprette ~ DFXX.tmp-filer fordi de var overskrevet med affaldsdata under Wiper's data destruktion rutine.

En anden mulig forbindelse til Stuxnet og Duqu er det faktum, at Wiper tilsyneladende prioriterede .PNF-filer under dens datatørringsproces. Både Duqu og Stuxnet holdt deres hovedkomponenter i krypterede .PNF-filer, sagde Kaspersky-forskerne.

De fund, der er fundet hidtil, er ikke tilstrækkeligt solide til at konkludere med, at Wiper er relateret til Stuxnet eller Duqu, og sandheden kan aldrig komme til lys, medmindre et system opdages, hvor Wiper's data destruktion rutine på en eller anden måde mislykkedes, forskerne sagde. Men hvis det er relateret, så er det et andet stykke af et større puslespil, der peger på en vigtig nationalstats sponsoreret cyberspionage og cybersabotage operation i Mellemøsten. Kasperskys forskere har allerede baseret på tekniske beviser, at Stuxnet, Duqu, Flame og Gauss er relateret til hinanden.

Ifølge en New York Times-rapport fra juni, der citerede navngivne kilder fra Obama-administrationen, var Stuxnet i fællesskab udviklet af USA og Israel og var en del af en hemmelig operation med navnet Olympic Games.