Kaspersky confirmă că Wiper e responsabil pentru atacurile lansate împotriva sistemelor IT din Asia
Kaspersky Lab confirmă faptul că Wiper este responsabil pentru atacurile lansate împotriva sistemelor IT din Asia de Sud-Vest, în perioada 21-30 aprilie 2012, se arată într-un comnicat transmis miercuri.
În luna aprilie 2012, o serie de atacuri informatice iniţiate de un program foarte periculos (numit Wiper) au avut ca ţintă computerele conectate la mai multe platforme petroliere din Asia de Sud-Vest. În mai 2012, la cererea Uniunii Internaţionale a Telecomunicaţiilor (ITU), echipa Kaspersky Lab a început o investigaţie asupra evenimentelor, pentru a determina potenţialul de atac al acestui malware, care ameninţă securitatea globală.
Experţii Kaspersky Lab au publicat miercuri rezultatele analizei digitale („forensic”) a imaginilor hard-disk-urilor, pe care le-au obţinut de pe maşinile atacate de Wiper.
Astfel, analiza imaginii hard-disk-urilor de pe maşinile distruse de Wiper dezvăluie faptul că programul periculos a şters complet informaţiile de pe sistemele-ţintă şi a distrus toate datele ce puţeau fi folosite pentru identificarea malware-ului. Fişierele de sistem infectate de Wiper nu permiteau computerelor să repornească şi cauzau o funcţionare necorespunzătoare. Aşadar, pe fiecare computer analizat, nu se mai află nimic, iar şansa de a recupera orice fel de informaţie era nulă.
"Cu toate acestea, analiza Kaspersky Lab a scos la lumina informaţii valoroase, inclusiv ţiparul special de ştergere folosit de Wiper, precum şi numele unor componente malware şi, în anumite situaţii, numele fişierelor de tip registru care au fost şterse de pe hard-disk. Acestea din urmă direcţionau către fişiere ale căror nume începea cu ~D", se spune în raport.
Analiza acestui tipar arată că, pe fiecare computer în parte, era iniţiată o metodă consistentă de ştergere a datelor. Algoritmul Wiper a fost creat pentru a distruge rapid şi eficient cât mai multe fiţiere, situaţie ce presupunea chiar eliminarea a mai muţti gigabytes o dataă Aproximativ trei sau patru computere-ţintă au avut datele şterse complet, operaţiunea fiind concentrată pe distrugerea primei jumătăţi de hard-disk şi apoi pe ştergerea sistematică a fişierelor rămase, care ar fi permis sistemului să funcţioneze corespunzător.
Potrivit raportului, fişierele temporare (TMP), care începeau cu ~D, erau utilizate şi de Duqu, malware construit pe aceeaşi platformă că şi Stuxnet: Tilded. Pe baza acestui indiciu, echipa de cercetare a utilizat KSN - infrastructura cloud a produselor Kaspersky Lab, folosită pentru a oferi protecţie instant în faţa celor mai noi ameninţări, pe bază analizei euristice şi a listelor cu programe periculoase (blacklists) - pentru a căuta nume de fişiere potenţial necunoscute, care ar fi putut avea legătură cu Wiper.
În timpul acestui proces, echipa de analiză a descoperit că o serie de computere din Asia de Sud-Vest conţin numele de fişier „~DEF983D.tmp”. Astfel a fost identificat Flame. Cu toate acestea, Wiper nu a fost găsit prin această metodă rămâne, încă, neidentificat.
