Eksperci z Kaspersky Lab opublikowali badanie stanowiące efekt analizy obrazów dysków twardych uzyskanych z maszyn zaatakowanych przez Wipera.
W maju 201. r. zespół ekspertów z Kaspersky Lab prowadził poszukiwania zainicjowane przez International Telecommunication Unit (ITU) w celu zbadania incydentów i określenia potencjalnego zagrożenia ze strony tego nowego szkodnika, ponieważ miał on wpływ na zrównoważony rozwój na świecie oraz bezpieczeństwo. Eksperci z Kaspersky Lab opublikowali badanie stanowiące efekt analizy obrazów dysków twardych uzyskanych z maszyn zaatakowanych przez Wipera.
Analiza ujawniła informacje dotyczące niezwykle skutecznej metody stosowanej przez Wipera w celu niszczenia systemów komputerowych, łącznie z unikatowym schematem czyszczenia danych i destrukcyjnym zachowaniem. Chociaż poszukiwania Wipera zaowocowały niezamierzonym wykryciem cyberszpiegowskiej kampanii Flame, sam Wiper nie został znaleziony i nadal pozostaje niezidentyfikowany. Jednak wykorzystywany przez Wipera skuteczny sposób niszczenia maszyn mógł zachęcić naśladowców do stworzenia destrukcyjnego szkodliwego oprogramowania, takiego jak Shamoon, który pojawił się w sierpniu 201. r.
Podsumowanie wyników analizy
• Kaspersky Lab potwierdza, że Wiper był odpowiedzialny za ataki przeprowadzone na systemy komputerowe w Azji Zachodniej w dniach 21 - 30 kwietnia 2012 r.
• Analiza obrazów dysków twardych zniszczonych przez Wipera ujawniła specyficzny schemat czyszczenia danych wraz z nazwą określonego komponentu szkodliwego oprogramowania rozpoczynającą się od znaków „~D”. Odkrycia te przywodzą na myśl szkodniki Duqu oraz Stuxnet, które również stosowały nazwy plików rozpoczynające się od „~D” i zostały stworzone na tej samej platformie ataków, znanej jako „Tilded”.
• Eksperci z Kaspersky Lab zaczęli szukać innych plików o nazwach rozpoczynających się od „~D” przy pomocy systemu KSN (Kaspersky Security Network) i próbowali znaleźć dodatkowe pliki Wipera na podstawie związku z platformą Tilded.
• Podczas poszukiwań zidentyfikowano dużą liczbę plików w Azji Zachodniej o nazwie „~DEB93D.tmp”. Dalsza analiza wykazała, że plik ten w rzeczywistości stanowił część innego rodzaju szkodliwego oprogramowania: Flame. W ten sposób Kaspersky Lab wykrył Flame’a.
• Chociaż Flame został wykryty podczas poszukiwań Wipera, zespół ekspertów z Kaspersky Lab uważa, że Wiper i Flame to dwa oddzielne i niezależne szkodliwe programy.
• Mimo analizy śladów infekcji Wipera przeprowadzonej przez Kaspersky Lab szkodnik ten nadal jest nieznany, ponieważ nie miały miejsca żadne dodatkowe incydenty czyszczenia danych według tego samego schematu, a ochrona proaktywna Kaspersky Lab nie wykryła tego szkodnika.
•. Wiper był niezwykle skuteczny i może natchnąć innych do tworzenia nowych „naśladowczych” egzemplarzy destrukcyjnego szkodliwego oprogramowania, takich jak Shamoon.
Analiza komputerów wyczyszczonych przez “Wipera”
Przeprowadzona przez Kaspersky Lab analiza obrazów dysków twardych zniszczonych przez Wipera pokazała, że szkodnik ten wyczyścił wszystkie dane, które mogłyby zostać wykorzystane do zidentyfikowania go. System plików zmodyfikowany przez Wipera uniemożliwiał poprawne uruchomienie komputerów. Dlatego, na żadnej zbadanej maszynie nie zostało prawie nic po aktywacji Wipera, nie było również możliwości przywrócenia lub odzyskania żadnych danych.
Jednak badanie przeprowadzone przez Kaspersky Lab ujawniło kilka cennych informacji, w tym schemat czyszczenia stosowany przez szkodnika wraz z nazwami określonych komponentów szkodliwego oprogramowania oraz, w niektórych przypadkach, klucze rejestru wskazujące na nazwy poprzednich plików, które zostały usunięte z dysku twardego. Wszystkie te klucze rejestru wskazywały na nazwy plików rozpoczynające się od ~D.
Unikatowy schemat czyszczenia danych Wipera
Analiza schematu czyszczenia ujawniła konsekwentną metodę stosowaną na każdej maszynie, na której Wiper został aktywowany. Algorytm Wipera miał za zadanie szybkie i skuteczne zniszczenie możliwie jak największej liczby plików - wiele gigabajtów za jednym razem. Całkowite wyczyszczenie danych miało miejsce na mniej więcej trzech na cztery atakowane maszyny, przy czym operacja koncentrowała się na niszczeniu pierwszej połowy dysku, a następnie systematycznym czyszczeniu pozostałych plików, które umożliwiały właściwe działanie dysku, ostatecznie prowadząc do załamania się systemu. Ponadto, zidentyfikowano ataki Wipera, których celem były pliki NF. Ataki te byłyby bezcelowe, gdyby nie miały związku z usuwaniem dodatkowych komponentów szkodliwego oprogramowania. Było to ciekawe odkrycie, ponieważ Duqu i Stuxnet przechowywały swój główny kod właśnie w plikach PNF.
Jak poszukiwania Wipera doprowadziły do odkrycia Flame’a
Pliki tymczasowe (TMP) o nazwach rozpoczynających się od „~D”. wykorzystywane były również przez Duqu, który został stworzony na tej samej platformie ataków co Stuxnet: platformie „Tilded”. Idąc tym tropem, zespół ekspertów zaczął szukać innych potencjalnie nieznanych nazw plików związanych z Wiperem, opartych na platformie „Tilded”, przy użyciu systemu KSN - opartej na chmurze infrastruktury wykorzystywanej przez produkty firmy Kaspersky Lab w celu wykrywania najnowszych zagrożeń. Podczas tego procesu zespół ekspertów odkrył, że kilka komputerów w Azji Zachodniej zawierało plik o nazwie “~DEF983D.tmp”. W ten sposób Kaspersky Lab odkrył Flame’a. Niestety, Wiper nie został znaleziony przy użyciu tej metody i nadal pozostaje niezidentyfikowany.
Aleksander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: _ "Analiza schematów pozostawionych przez Wipera na zbadanych obrazach dysków twardych nie pozostawia wątpliwości, że szkodnik ten istniał i był wykorzystywany do atakowania systemów komputerowych w Zachodniej Azji w kwietniu 2012 r. i prawdopodobnie jeszcze wcześniej - w grudniu 2011 r. Chociaż w trakcie poszukiwań Wipera odkryliśmy Flame’a, jesteśmy przekonani, że Wiper nie był Flamem, ale niezależnym i innym rodzajem szkodliwego oprogramowania. Niszczycielskie zachowanie Wipera, w połączeniu z nazwami plików, które pozostały na wyczyszczonych systemach, przypomina program, który wykorzystywał platformę Tilded. Modułowa architektura Flame’a była całkowicie inna i została stworzona w celu przeprowadzania ciągłej i precyzyjnej kampanii cyberszpiegowskiej. Podczas analizy Flame’a również nie zidentyfikowaliśmy żadnego destrukcyjnego zachowania, które było charakterystyczne dla Wipera" _.
Źródło: Kaspersky Lab