Malupit na Wiper Malware Maaaring Nakakonekta sa Stuxnet at Duqu, Sinasabi ng mga mananaliksik

Ang mga mananaliksik ng seguridad mula sa Kaspersky Lab ay nagbukas ng impormasyon na nagmumungkahi ng isang posibleng link sa pagitan ng mahiwagang malware na sinalakay ang mga computer sa Ministri ng Ministri ng langis noong Abril at ang pagbabanta ng Stuxnet at Duqu cyberespionage. na ang data ay nawasak sa maraming mga server sa Iran, marahil sa pamamagitan ng isang bagong piraso ng malware, ang International Telecommunication Union (ITU) ay nagtanong sa seguridad vendor Kaspersky Lab upang siyasatin ang mga pangyayari.

Kaspersky's mananaliksik ay hindi mahanap ang mahiwagang malware, ay binigyan ng pangalan na Wiper, dahil napakaliit na data mula sa mga apektadong mga hard disk drive ay mabubuksan.

[Ang karagdagang pagbabasa: Kung paano alisin ang malware mula sa iyong Windows PC]

Gayunpaman, ang kanilang pagsisiyasat ay humantong sa pagtuklas ng Flame at sa paglaon Gauss, dalawang banta ng cyberespionage na pinaniniwalaan na binuo ng isang bansa. ang mga piraso ng impormasyong nakuha mula sa mga apektadong hard drive, ang mga mananaliksik ng Kaspersky ay napagpasyahan na ang Wiper malware ay sa katunayan ay umiiral, na ginamit nito ang isang sopistikadong at epektibong data na wiping algorithm at na ito ay malamang na hindi isang bahagi ng apoy.

"Kami maaari na ngayong sabihin nang may katiyakan na naganap ang mga pangyayari at ang malware na responsable sa mga pag-atake na ito ay umiiral noong Abril 2012, "ayon sa mga mananaliksik mula sa pandaigdigang pananaliksik at pagtatasa ng koponan ng Kaspersky sa Miyerkules sa isang blog post. "Gayundin, alam namin ang ilang mga katulad na pangyayari na naganap mula Disyembre ng 2011."

Kahit na ang isang koneksyon sa Flame ay malamang na hindi, may ilang mga katibayan na nagmumungkahi na ang Wiper ay maaaring may kaugnayan sa Stuxnet o Duqu. > Halimbawa, sa ilang hard drive na nasuri, nakita ng mga mananaliksik ang mga bakas ng isang serbisyo na tinatawag na RAHDAUD64 na puno ng mga file na pinangalanan ~ DFXX.tmp - kung saan ang XX ay dalawang random na numero - mula sa folder ng C: WINDOWS TEMP.

"Sa sandaling nakita namin ito, agad naming naalaala ang Duqu, na gumamit ng mga filename ng format na ito," sabi ng mga mananaliksik. "Sa katunayan, ang pangalan ng Duqu ay likha ng Hungarian researcher na Boldizsar Bencsath mula sa CrySyS lab dahil lumikha ito ng mga file na pinangalanan? ~ DqXX.tmp ??"

Ang mga mananaliksik ng Kaspersky ay naitatag na ang parehong Stuxnet at Duqu ay nilikha ng parehong koponan ng mga developer na gumagamit ng parehong platform - tinawag na Tilded Platform dahil ginagamit ng malware ang mga file na may mga pangalan na nagsisimula sa simbolong "~" (tilde).

Ang mga mananaliksik ay hindi nakapagbawi ng mga file na ~ DFXX.tmp dahil ay na-overwrite na may data ng basura sa panahon ng pagkawasak ng routine routine.

Ang isa pang posibleng link sa Stuxnet at Duqu ay ang katunayan na ang Wiper ay mukhang prioritized na mga file na PNF sa panahon ng proseso ng pagwipe ng data nito. Ang parehong Duqu at Stuxnet ay pinananatili ang kanilang mga pangunahing sangkap sa naka-encrypt na mga file na PNN, ang mga mananaliksik ng Kaspersky ay nagsabi.

Ang katibayan na natagpuan sa ngayon ay hindi sapat na matatag upang tapusin nang may katiyakan na ang Wiper ay may kaugnayan sa Stuxnet o Duqu at ang katotohanan ay hindi kailanman makakarating sa liwanag maliban kung ang isang sistema ay natuklasan kung saan ang pagkawasak ng data ng Wiper sa paanuman ay nabigo, sinabi ng mga mananaliksik.

Gayunpaman, kung ito ay may kaugnayan, pagkatapos ito ay isa pang piraso ng isang mas malaking palaisipan na tumutukoy sa isang pangunahing bansa-estado na inisponsor na cyberespionage at cybersabotage operation sa Gitnang Silangan. Ang mga mananaliksik ni Kaspersky ay nakapagtatag na, batay sa teknikal na katibayan, na ang Stuxnet, Duqu, Flame at Gauss ay may kaugnayan sa isa't isa.

Ayon sa isang ulat ng New York Times mula Hunyo na binanggit ang mga hindi tinukoy na pinagkukunan mula sa loob ng pangangasiwa ng Obama, ang Stuxnet ay sama-sama na binuo ng US at Israel at bahagi ng isang lihim na operasyon code-pinangalanan Olympic Games.