Μυστηριώδες κακόβουλο λογισμικό πιθανώς συνδεόμενο με Stuxnet και Duqu, λένε ερευνητές

Οι ερευνητές της ασφάλειας από την Kaspersky Lab έχουν αποκαλύψει πληροφορίες που υποδηλώνουν πιθανή σύνδεση μεταξύ του μυστηριώδους κακόβουλου λογισμικού που επιτέθηκε στους ιρανικούς υπολογιστές του υπουργείου πετρελαίου τον Απρίλιο και των απειλών cyberespionage Stuxnet και Duqu. ότι τα δεδομένα καταστράφηκαν σε πολλούς διακομιστές στο Ιράν, ενδεχομένως με ένα νέο κομμάτι κακόβουλου λογισμικού, η Διεθνής Ένωση Τηλεπικοινωνιών (ITU) ζήτησε από τον πωλητή ασφαλείας Kaspersky Lab να διερευνήσει τα περιστατικά.

Οι ερευνητές της Kaspersky δεν μπόρεσαν να βρουν το μυστήριο κακόβουλο λογισμικό δόθηκε το όνομα Wiper, επειδή πολύ λίγα δεδομένα από τους επηρεαζόμενους σκληρούς δίσκους ήταν ανακτήσιμα.

[

] Ωστόσο, η έρευνά τους οδήγησε στην ανακάλυψη της φλόγας και αργότερα του Gauss, δύο εξαιρετικά εξελιγμένες απειλές cyberespionage που πιστεύεται ότι έχουν αναπτυχθεί από ένα έθνος.

Μετά την ανασκόπηση τα κομμάτια των πληροφοριών που εξάγονται από τους επηρεαζόμενους σκληρούς δίσκους, οι ερευνητές της Kaspersky κατέληξαν στο συμπέρασμα ότι στην πραγματικότητα υπήρχε το κακόβουλο λογισμικό Wiper, ότι χρησιμοποίησε έναν περίπλοκο και αποτελεσματικό αλγόριθμο σκουπίσματος δεδομένων και ότι πιθανότατα δεν ήταν ένα στοιχείο Flame. μπορεί να πει με βεβαιότητα ότι τα περιστατικά συνέβησαν και ότι το κακόβουλο λογισμικό που ήταν υπεύθυνο για αυτές τις επιθέσεις υπήρχε τον Απρίλιο του 2012 ", ανέφεραν ερευνητές από την ομάδα παγκόσμιας έρευνας και ανάλυσης της Kaspersky σε μια θέση blog. "Επίσης γνωρίζουμε κάποια πολύ παρόμοια περιστατικά που έλαβαν χώρα από τον Δεκέμβριο του 2011."

Παρόλο που μια σύνδεση με τη Flame είναι απίθανη, υπάρχουν κάποιες ενδείξεις που υποδηλώνουν ότι ο Wiper μπορεί να σχετίζεται με Stuxnet ή Duqu. > Για παράδειγμα, σε μερικούς από τους σκληρούς δίσκους που αναλύθηκαν, οι ερευνητές βρήκαν ίχνη μιας υπηρεσίας που ονομάζεται RAHDAUD64, που φόρτωσε αρχεία με όνομα ~ DFXX.tmp - όπου XX είναι δύο τυχαία ψηφία - από το φάκελο C: WINDOWS TEMP.

"Τη στιγμή που το είδαμε αυτό, υπενθυμίσαμε αμέσως στο Duqu, το οποίο χρησιμοποίησε ονόματα αρχείων αυτής της μορφής", ανέφεραν οι ερευνητές. "Στην πραγματικότητα, το όνομα Duqu δημιουργήθηκε από τον ουγγρικό ερευνητή Boldizsar Bencsath από το εργαστήριο CrySyS επειδή δημιούργησε αρχεία με όνομα" ~ dqXX.tmp ".

Οι ερευνητές της Kaspersky είχαν ήδη διαπιστώσει ότι τόσο το Stuxnet όσο και το Duqu δημιουργήθηκαν από το η ίδια ομάδα προγραμματιστών που χρησιμοποιούν την ίδια πλατφόρμα - ονομάστηκε πλατφόρμα Tilded επειδή το κακόβουλο λογισμικό χρησιμοποίησε αρχεία με ονόματα που ξεκίνησαν με το σύμβολο "~" (tilde).

Οι ερευνητές δεν ήταν σε θέση να ανακτήσουν τα αρχεία ~ DFXX.tmp επειδή είχαν αντικατασταθεί με δεδομένα απορριμμάτων κατά τη διάρκεια της ρουτίνας καταστροφής δεδομένων του Wiper

Ένας άλλος πιθανός σύνδεσμος με το Stuxnet και το Duqu είναι το γεγονός ότι ο Wiper προτίμησε κατά πρώτον τα αρχεία .PNF κατά τη διαδικασία σκουπίσματος των δεδομένων. Και οι Duqu και Stuxnet διατηρούν τα κύρια συστατικά τους σε κρυπτογραφημένα αρχεία .PNF, σύμφωνα με τους ερευνητές της Kaspersky.

Τα στοιχεία που βρέθηκαν μέχρι στιγμής δεν είναι αρκετά σταθερά για να συμπεράνουμε με βεβαιότητα ότι ο Wiper σχετίζεται με Stuxnet ή Duqu και η αλήθεια μπορεί να μην φτάσει ποτέ αλλά αν είναι συγγενές, τότε είναι ένα άλλο κομμάτι ενός μεγαλύτερου παζλ που δείχνει σε μια μεγάλη κυβέρνηση-επιδοτούμενη cyberespionage και cybersabotage λειτουργία στη Μέση Ανατολή. Οι ερευνητές της Kaspersky έχουν ήδη διαπιστώσει, βάσει τεχνικών στοιχείων, ότι οι Stuxnet, Duqu, Flame και Gauss συνδέονται μεταξύ τους.

Σύμφωνα με μια έκθεση του New York Times που δημοσίευσε τον Ιούνιο ότι ανέφερε ανώνυμες πηγές μέσα από τη διοίκηση Obama, που αναπτύχθηκε από τις ΗΠΑ και το Ισραήλ και ήταν μέρος μίας μυστικής επιχείρησης που ονομάζεται Ολυμπιακοί Αγώνες.