Как хакеры сорвали иранскую ядерную программу
Pesquisadores de segurança da Kaspersky Lab descobriram informações sugerindo uma possível ligação entre o misterioso malware que atacou os computadores do ministério do petróleo iraniano em abril e as ameaças de cyberespionagem Stuxnet e Duqu. os dados foram destruídos em vários servidores no Irã, possivelmente por um novo malware, a União Internacional de Telecomunicações (ITU) pediu à Kaspersky Lab para investigar os incidentes.
Os pesquisadores da Kaspersky não conseguiram encontrar o misterioso malware, que recebeu o nome Wiper, porque muito poucos dados das unidades de disco rígido afetadas eram recuperáveis.
[Leia mais: Como remover malware do seu PC com Windows]
No entanto, sua investigação levou à descoberta do Flame e depois de Gauss, duas altamente sofisticadas ameaças de ciberespionagem que se acredita terem sido desenvolvidas por um Estado-nação. os bits de informação extraídos dos discos rígidos afetados, os pesquisadores da Kaspersky concluíram que o malware Wiper de fato existia, que ele usava um algoritmo de limpeza de dados sofisticado e eficaz e que provavelmente não era um componente Flame."Nós Agora podemos dizer com certeza que os incidentes ocorreram e que o malware responsável por esses ataques existiu em abril de 2012, "disseram pesquisadores da equipe de pesquisa e análise global da Kaspersky nesta quarta-feira em um post no blog. "Além disso, estamos cientes de alguns incidentes muito semelhantes ocorridos desde dezembro de 2011".
Mesmo que uma conexão com o Flame seja improvável, há algumas evidências sugerindo que o Wiper possa estar relacionado ao Stuxnet ou ao Duqu.
Por exemplo, em alguns dos discos rígidos analisados, os pesquisadores encontraram vestígios de um serviço chamado RAHDAUD64 que carregava arquivos chamados ~ DFXX.tmp - onde XX são dois dígitos aleatórios - da pasta C: WINDOWS TEMP.
"No momento em que vimos isso, imediatamente nos lembramos de Duqu, que usava nomes de arquivos desse formato", disseram os pesquisadores. "Na verdade, o nome Duqu foi cunhado pelo pesquisador húngaro Boldizsar Bencsath do laboratório CrySyS porque ele criou arquivos chamados ~ ~ dqXX.tmp ??."
Os pesquisadores da Kaspersky já haviam estabelecido que tanto o Stuxnet quanto o Duqu foram criados pelo mesma equipe de desenvolvedores usando a mesma plataforma - apelidada de Tilded Platform porque o malware usava arquivos com nomes começando com o símbolo "~" (til).
Os pesquisadores não puderam recuperar os arquivos ~ DFXX.tmp porque eles foi sobrescrito com dados inúteis durante a rotina de destruição de dados do Wiper.
Outro possível link para o Stuxnet e Duqu é o fato de que o Wiper aparentemente priorizou os arquivos .PNF durante o processo de limpeza de dados. Tanto o Duqu quanto o Stuxnet mantiveram seus componentes principais em arquivos .PNF criptografados, disseram os pesquisadores da Kaspersky.
As evidências encontradas até agora não são suficientemente sólidas para concluir com certeza que o Wiper está relacionado ao Stuxnet ou Duqu e a verdade pode nunca chegar a A menos que um sistema seja descoberto onde a rotina de destruição de dados da Wiper de alguma forma falhou, os pesquisadores disseram.
No entanto, se estiver relacionado, então é outro pedaço de um quebra-cabeça maior que aponta para uma operação de ciberespionagem e cybersabotagem patrocinada pelo Estado-nação. no Oriente Médio. Os pesquisadores de Kaspersky já estabeleceram, com base em evidências técnicas, que Stuxnet, Duqu, Flame e Gauss estão relacionados entre si.
De acordo com um relatório do New York Times de junho que citava fontes anônimas de dentro da administração Obama, o Stuxnet era conjuntamente desenvolvido pelos EUA e Israel e fazia parte de uma operação secreta de codinome dos Jogos Olímpicos.
Misterioso Wiper Malware Possivelmente Conectado ao Stuxnet e Duqu, Pesquisadores Dizem
Pesquisadores de segurança da Kaspersky Lab descobriram informações sugerindo uma possível ligação entre o misterioso malware que atacou o Ministério do Petróleo iraniano…
A infra-estrutura usada por um grupo iraniano de ciberespionagem para controlar computadores infectados foi sequestrada por pesquisadores de segurança. A infra-estrutura usada por um grupo de ciberespionagem iraniano para controlar computadores infectados em todo o mundo foi sequestrada por pesquisadores de segurança. Pesquisadores da Palo Alto Networks se depararam com as atividades do grupo no início deste ano, mas encontraram evidências de que está operando desde então. pelo menos 2007. Sua p
[Leitura adicional: Como remover malware do seu PC Windows]