Tajanstveni brisaći zlonamjerni softver vjerojatno povezan sa Stuxnetom i Duquom, kažu istraživači

Sigurnosni istraživači iz Kaspersky Lab-a otkrili su podatke koji sugeriraju moguću vezu između tajanstvenog zlonamjernog softvera koji je napao iranska računala ministarstva nafte u travnju i prijetnji Stuxnet i Duqu cyberespionage. da su podaci uništeni na više poslužitelja u Iranu, možda po novom zlonamjernom softveru, Međunarodna telekomunikacijska unija (ITU) zatražila je od proizvođača sigurnosti Kaspersky Lab da istraži incidente. dobio je ime Brisanje jer je vrlo malo podataka s pogođenih pogona tvrdih diskova bilo moguće nadoknaditi.

Međutim, njihova istraga dovela je do otkrića Plamena i kasnije Gauss-a, dvije vrlo sofisticirane prijetnje temeljene na cyber-eksplozijama za koje se vjeruje da su razvijene od strane države nacije.

Nakon pregleda Bitovi informacija izvađenih iz pogođenih tvrdih diskova, Kasperskyov istraživači zaključili su da je zapravo Wiper zlonamjerni softver zapravo postojao, da je koristio sofisticirani i učinkovit algoritam brisanja podataka i da to najvjerojatnije nije komponenta plamena.

"Mi sada mogu sa sigurnošću reći da su se događaji dogodili i da je zlonamjerni softver odgovoran za ove napade postojao u travnju 2012. ", objavili su u srijedu istraživači iz globalnog istraživačkog i analitičkog tima Kaspersky-a na blogu. "Također smo svjesni nekih vrlo sličnih incidenata koji su se dogodili od prosinca 2011."

Iako je veza s plamenom malo vjerojatno, postoje neki dokazi koji upućuju na to da se brisač može povezati sa Stuxnetom ili Duqu.

Na primjer, na nekolicini analiziranih tvrdih diskova, istraživači su pronašli tragove servisa pod nazivom RAHDAUD64 koji učitavaju datoteke ~ DFXX.tmp - gdje su dvije dvoznamenkaste znamenke - iz mape C: WINDOWS TEMP.

"U trenutku kada smo to vidjeli, odmah smo podsjetili Duqu, koji je koristio imena datoteka tog formata", rekli su istraživači. "Zapravo, ime Duqu je izradio mađarski istraživač Boldizsar Bencsath iz CrySyS laboratorija jer je stvorio datoteke pod imenom? ~ DqXX.tmp ??."

Kasperskyjevi istraživači već su utvrdili da su Stuxnet i Duqu stvoreni od strane isti tim razvojnih programera koji koriste istu platformu - nazvanu Tilded Platform jer su zlonamjerni programi koristili datoteke s imenima počevši od simbola "~" (tilde).

Istraživači nisu mogli oporaviti ~ DFXX.tmp datoteke jer su prebrisana je s podacima o smeću tijekom Wiperovih uništavanja podataka.

Još jedna moguća veza sa Stuxnetom i Duqu je činjenica da je Brisač prilično prioriziran .PNF datoteka tijekom procesa brisanja podataka. Oba Duqu i Stuxnet zadržali su svoje glavne komponente u šifriranim .PNF datotekama, rekli su Kasperskyovi istraživači.

Dokazi do sada nisu dovoljno čvrsti da bi sa sigurnošću zaključili da je Wiper povezan sa Stuxnetom ili Duquom, a istina nikad ne može doći svjetlo, osim ako sustav nije otkriven gdje Wiperov podaci o rušenju podataka nekako uspiju, rekli su istraživači.

Međutim, ako je to povezano, onda je to još jedan dio veće zagonetke koja ukazuje na veliku nacionalnu državu koja je pod pokroviteljstvom cyberespionage i cybersabotage operacije na Bliskom Istoku. Kasperskyovi istraživači već su, na temelju tehničkih dokaza, utvrdili da su Stuxnet, Duqu, Flame i Gauss međusobno povezani.

Prema izvješću New York Timesa iz lipnja koji je navodio neimenovane izvore unutar Obamine administracije, Stuxnet je zajednički razvijen od strane SAD-a i Izraela i bio je dio tajne operacije pod nazivom Olimpijske igre.