Вредоносные программы Mysterious Wiper могут подключаться к Stuxnet и Duqu, говорят исследователи

Исследователи безопасности «Лаборатории Касперского» обнаружили информацию о возможной связи между таинственными вредоносными программами, которые атаковали иранские компьютеры министерства нефти в апреле, и угрозами киберпреступности Stuxnet и Duqu.

После апрельских отчетов что данные были уничтожены на нескольких серверах в Иране, возможно, с помощью нового вредоносного ПО. Международный союз электросвязи (МСЭ) попросил поставщика безопасности «Лаборатории Касперского» провести расследование инцидентов.

Исследователи Касперского не смогли найти таинственное вредоносное ПО, которое было присвоено имя Wiper, так как было очень мало данных с поврежденных жестких дисков.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Однако их расследование привело к открытию Пламени и более поздних Гаусса, двух высокотехнологичных угроз для киберопынга, которые, как считается, были разработаны национальным государством.

После обзора биты информации, извлеченные из уязвимых жестких дисков, исследователи из Касперского пришли к выводу, что вредоносное ПО Wiper действительно существует, что он использует сложный и эффективный алгоритм очистки данных и что он скорее всего не является компонентом Flame.

«Мы теперь могут с уверенностью сказать, что инциденты имели место и что вредоносное ПО, ответственное за эти атаки, существовало в апреле 2012 года », - заявили исследователи из глобальной исследовательской и аналитической группы Kaspersky в среду в блоге. «Кроме того, нам известны некоторые очень похожие инциденты, которые произошли с декабря 2011 года».

Хотя связь с пламенем маловероятна, есть некоторые данные, свидетельствующие о том, что Wiper может быть связан с Stuxnet или Duqu.

Например, на нескольких проанализированных жестких дисках исследователи обнаружили следы службы RAHDAUD64, в которой загружены файлы с именем ~ DFXX.tmp - где XX - две случайные цифры - из папки C: WINDOWS TEMP.

«В тот момент, когда мы это увидели, мы сразу вспомнили о Duqu, который использовал имена файлов этого формата», - сказали исследователи. «Фактически, имя Duqu было придумано венгерским исследователем Boldizsar Bencsath из лаборатории CrySyS, потому что оно создало файлы с именем? ~ DqXX.tmp ??.»

Исследователи Касперского уже установили, что и Stuxnet, и Duqu были созданы одна и та же команда разработчиков, использующая ту же платформу, называемую Tilded Platform, потому что вредоносное ПО использовало файлы с именами, начинающимися с символа «~» (тильда).

Исследователи не смогли восстановить файлы ~ DFXX.tmp, поскольку они был перезаписан данными мусора во время процедуры уничтожения данных Wiper.

Еще одна возможная связь с Stuxnet и Duqu заключается в том, что Wiper, по-видимому, приостанавливал файлы .PNF во время процесса очистки данных. Как Duqu, так и Stuxnet сохранили свои основные компоненты в зашифрованных файлах .PNF, сказали исследователи Касперского.

Доказательства, найденные до сих пор, недостаточно тверды, чтобы заключить с уверенностью, что Wiper связан с Stuxnet или Duqu, и правда никогда не может прийти к свет, если не обнаружена система, в которой процедура уничтожения данных Wiper каким-то образом не удалась, сказали исследователи.

Однако, если это связано, то это еще одна часть более крупной загадки, которая указывает на крупную кибервизию и кибер-терапию на национальном уровне на среднем Западе. Исследователи Касперского уже основали на основе технических доказательств, что Stuxnet, Duqu, Flame и Gauss связаны друг с другом.

Согласно сообщению New York Times от июня, в котором цитировались неназванные источники из администрации Обамы, Stuxnet был совместно разработанный США и Израилем и являющийся частью секретной операции под кодовым названием Олимпийские игры.