Kaspersky Lab publica analiza asupra lui Wiper, un malware foarte periculos, care a atacat mai multe sisteme in aprilie 2012

In luna aprilie 2012, o serie de atacuri informatice initiate de un program foarte periculos (numit Wiper) au avut ca tinta computerele conectate la mai multe platforme petroliere din Asia de Sud-Vest. In mai 2012, la cererea Uniunii Internationale a Telecomunicatiilor (ITU), echipa Kaspersky Lab a inceput o investigatie asupra evenimentelor, pentru a determina potentialul de atac al acestui malware, care ameninta securitatea globala. 

 Astazi, expertii Kaspersky Lab au publicat rezultatele analizei digitale („forensic”) a imaginilor hard-disk-urilor, pe care le-au obtinut de pe masinile atacate de Wiper. Acestea ofera informatii importante cu privire la metoda foarte eficienta a Wiper de a distruge sistemele, precum si la capacitatea unica a acestuia de a sterge datele. Cu toate ca cercetarea asupra Wiper a dus la descoperirea lui Flame, Wiper nu a fost detectat in timpul analizei si este, inca, neidentificat.

Intre timp, metoda eficienta de a distruge sisteme a incurajat alti infractori cibernetici sa copieze Wiper si sa creeze un alt malware distructiv, precum Shamoon. Acesta din urma a aparut in August 2012.

Sumar:

  •  Kaspersky Lab confirma faptul ca Wiper este responsabil pentru atacurile lansate impotriva sistemelor IT din Asia de Sud-Vest, in perioada 21 – 30 Aprilie 2012.
  • Analiza imaginilor de hard-disk ale computerelor distruse de Wiper dezvaluie un tipar specific de stergere a datelor, impreuna cu numele unei componente malware, care incepe cu ~D. Aceste descoperiri aduc aminte de Duqu si Stuxnet, care contineau, de asemenea, fisiere ale caror nume incepea cu ~D, ambele programe periculoase fiind construite pe aceeasi platforma de atac, cunoscuta sub numele de Tilded.
  • Prin intermediul Kaspersky Security Network (KSN), Kaspersky Lab a inceput sa caute fisiere care incepeau cu ~D, pentru a incerca sa identifice alte componente Wiper, pe baza legaturii cu platforma Tilded.
  • In timpul procesului de cautare, Kaspersky Lab a identificat, in Asia de Sud-Vest, un numar semnificativ de fisiere numite ~DEB93D.tmp. Analiza ulterioara a demonstrat faptul ca acest fisier apartinea lui Flame. Asa a fost descoperit Flame de catre Kaspersky Lab.
  • Cu toate ca Flame a fost identificat in timpul cautarii lui Wiper, echipa de cercetare a Kaspersky Lab este de parere ca Wiper si Flame sunt doua programe periculoase distincte.
  • Desi Kaspersky Lab a analizat urme ale infectiilor cu Wiper, malware-ul propriu-zis ramane, inca, necunoscut, deoarece nu au mai avut loc alte incidente care sa repete tiparul folosit de acesta, iar modulul de protectie proactiva nu a detectat prezenta ulterioara a malware-ului.
  • Wiper a fost foarte eficient si poate stimula alti infractori cibernetici sa creeze copii ale acestuia, cum este cazul lui Shamoon.

Analiza in profunzime a imaginii hard-disk-urilor

 Analiza imaginii hard-disk-urilor de pe masinile distruse de Wiper dezvaluie faptul ca programul periculos a sters complet informatiile de pe sistemele-tinta si a distrus toate datele ce puteau fi folosite pentru identificarea malware-ului. Fisierele de sistem infectate de Wiper nu permiteau computerelor sa reporneasca si cauzau o functionare necorespunzatoare. Asadar, pe fiecare computer analizat, nu se mai afla nimic, iar sansa de a recupera orice fel de informatie era nula.

Cu toate acestea, analiza Kaspersky Lab a scos la lumina informatii valoroase, inclusiv tiparul special de stergere folosit de Wiper, precum si numele unor componente malware si, in anumite situatii, numele fisierelor de tip registru care au fost sterse de pe hard-disk. Acestea din urma directionau catre fisiere ale caror nume incepea cu ~D.

Tiparul unic de stergere a datelor

 Analiza acestui tipar arata ca, pe fiecare computer in parte, era initiata o metoda consistenta de stergere a datelor. Algoritmul Wiper a fost creat pentru a distruge rapid si eficient cat mai multe fisiere cu putinta, situatie ce presupunea chiar eliminarea a mai multi gigabytes o data. Aproximativ trei sau patru computere-tinta au avut datele sterse complet, operatiunea fiind concentrata pe distrugerea primei jumatati de hard-disk si apoi pe stergerea sistematica a fisierelor ramase, care ar fi permis sistemului sa functioneze corespunzator.

In plus, atacurile Wiper tinteau si fisiere de tip PNF, cunoscute pentru faptul ca erau folosite si de Duqu si Stuxnet, care aveau structurile principale codate in astfel de fisiere. Descoperirea este interesanta, intentia Wiper fiind de a acoperi urmele altor componente malware din sistem.

Cum a condus analiza Wiper la descoperirea lui Flame

 Fisierele temporare (TMP), care incepeau cu ~D, erau utilizate si de Duqu, malware construit pe aceeasi platforma ca si Stuxnet: Tilded. Pe baza acestui indiciu, echipa de cercetare a utilizat KSN – infrastructura cloud a produselor Kaspersky Lab, folosita pentru a oferi protectie instant in fata celor mai noi amenintari, pe baza analizei euristice si a listelor cu programe periculoase (blacklists) – pentru a cauta nume de fisiere potential necunoscute, care ar fi putut avea legatura cu Wiper. In timpul acestui proces, echipa de analiza a descoperit ca o serie de computere din Asia de Sud-Vest contin numele de fisier „~DEF983D.tmp”. Astfel a fost identificat Flame. Cu toate acestea, Wiper nu a fost gasit prin aceasta metoda ramane, inca, neidentificat.

„Analiza asupra tiparului lasat de Wiper pe hard-disk-urile examinate, confirma ca nu exista niciun fel de dubiu cu privire la prezenta malware-ului pe computerele din Asia de Sud-Vest, atacate in aprilie 2012 si, probabil, chiar mai devreme – in decembrie 2011”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Cu toate ca am descoperit Flame in timpul cautarilor lui Wiper, suntem de parere ca Wiper nu este Flame, ci reprezinta un alt tip de malware. Comportamentul distructiv al acestuia, combinat cu numele fisierelor lasate in urma indica un program periculos, ce foloseste platforma Tilded. Arhitectura modulara a lui Flame este complet diferita, acesta fiind creat pentru a desfasura o campanie de spionaj cibernetic. De asemenea, in timpul analizei lui Flame, nu am identificat un comportament distructiv, similar lui Wiper”, incheie Gostev.

Analiza completa asupra lui Wiper poate fi accesata aici:

https://www.securelist.com/en/blog/208193808/What_was_that_Wiper_thing

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply