Misterioso Wiper Malware Possivelmente Conectado ao Stuxnet e Duqu, Pesquisadores Dizem

Pesquisadores de segurança da Kaspersky Lab descobriram informações sugerindo uma possível ligação entre o misterioso malware que atacou os computadores do ministério do petróleo iraniano em abril e as ameaças de cyberespionagem Stuxnet e Duqu. os dados foram destruídos em vários servidores no Irã, possivelmente por um novo malware, a União Internacional de Telecomunicações (ITU) pediu à Kaspersky Lab para investigar os incidentes.

Os pesquisadores da Kaspersky não conseguiram encontrar o misterioso malware, que recebeu o nome Wiper, porque muito poucos dados das unidades de disco rígido afetadas eram recuperáveis.

[Leia mais: Como remover malware do seu PC com Windows]

No entanto, sua investigação levou à descoberta do Flame e depois de Gauss, duas altamente sofisticadas ameaças de ciberespionagem que se acredita terem sido desenvolvidas por um Estado-nação. os bits de informação extraídos dos discos rígidos afetados, os pesquisadores da Kaspersky concluíram que o malware Wiper de fato existia, que ele usava um algoritmo de limpeza de dados sofisticado e eficaz e que provavelmente não era um componente Flame.

"Nós Agora podemos dizer com certeza que os incidentes ocorreram e que o malware responsável por esses ataques existiu em abril de 2012, "disseram pesquisadores da equipe de pesquisa e análise global da Kaspersky nesta quarta-feira em um post no blog. "Além disso, estamos cientes de alguns incidentes muito semelhantes ocorridos desde dezembro de 2011".

Mesmo que uma conexão com o Flame seja improvável, há algumas evidências sugerindo que o Wiper possa estar relacionado ao Stuxnet ou ao Duqu.

Por exemplo, em alguns dos discos rígidos analisados, os pesquisadores encontraram vestígios de um serviço chamado RAHDAUD64 que carregava arquivos chamados ~ DFXX.tmp - onde XX são dois dígitos aleatórios - da pasta C: WINDOWS TEMP.

"No momento em que vimos isso, imediatamente nos lembramos de Duqu, que usava nomes de arquivos desse formato", disseram os pesquisadores. "Na verdade, o nome Duqu foi cunhado pelo pesquisador húngaro Boldizsar Bencsath do laboratório CrySyS porque ele criou arquivos chamados ~ ~ dqXX.tmp ??."

Os pesquisadores da Kaspersky já haviam estabelecido que tanto o Stuxnet quanto o Duqu foram criados pelo mesma equipe de desenvolvedores usando a mesma plataforma - apelidada de Tilded Platform porque o malware usava arquivos com nomes começando com o símbolo "~" (til).

Os pesquisadores não puderam recuperar os arquivos ~ DFXX.tmp porque eles foi sobrescrito com dados inúteis durante a rotina de destruição de dados do Wiper.

Outro possível link para o Stuxnet e Duqu é o fato de que o Wiper aparentemente priorizou os arquivos .PNF durante o processo de limpeza de dados. Tanto o Duqu quanto o Stuxnet mantiveram seus componentes principais em arquivos .PNF criptografados, disseram os pesquisadores da Kaspersky.

As evidências encontradas até agora não são suficientemente sólidas para concluir com certeza que o Wiper está relacionado ao Stuxnet ou Duqu e a verdade pode nunca chegar a A menos que um sistema seja descoberto onde a rotina de destruição de dados da Wiper de alguma forma falhou, os pesquisadores disseram.

No entanto, se estiver relacionado, então é outro pedaço de um quebra-cabeça maior que aponta para uma operação de ciberespionagem e cybersabotagem patrocinada pelo Estado-nação. no Oriente Médio. Os pesquisadores de Kaspersky já estabeleceram, com base em evidências técnicas, que Stuxnet, Duqu, Flame e Gauss estão relacionados entre si.

De acordo com um relatório do New York Times de junho que citava fontes anônimas de dentro da administração Obama, o Stuxnet era conjuntamente desenvolvido pelos EUA e Israel e fazia parte de uma operação secreta de codinome dos Jogos Olímpicos.