06 сентября 2012
«Лаборатория Касперского» исследовала материалы, связанные с одним из «самых загадочных образцов кибероружия» последних лет, вредоносной программой Wiper («Чистильщик»). Название одной из ее компонент может указывать на израильское происхождение Wiper. Напомним, что в результате атаки Wiper в апреле 2012 г. вышли из строя компьютерные системы в Министерстве нефтяной промышленности Ирана (Oil Ministry), что привело к падению продаж основного местного нефтяного трейдера, Национальной иранской нефтяной компании. Связанное с Wiper расследование вскоре привело к открытию Flame и Gauss, других нашумевших боевых и шпионских троянов. Тем не менее, подробности вредоносного действия, происхождения и даже сам факт существования Wiper до сих пор оставались загадкой: в последний раз проявив активность в апреле 2012 г., троян не оставил после себя следов. Однако, как сообщила «Лаборатория Касперского», ей удалось получить и изучить образы нескольких жестких дисков, атакованных Wiper. По словам экспертов антивирусной компании, «создатели Wiper сделали все возможное, чтобы уничтожить абсолютно все данные, которые можно было бы использовать для анализа инцидентов», но на некоторых из пораженных систем им удалось восстановить куст (Hive) системного реестра Windows. Как рассказывает главный антивирусный эксперт «Лаборатории» Александр Гостев, непосредственно перед отказом атакуемой системы Wiper создавал, и вслед за этим удалял ключ реестра, ссылавшийся на службу Rahdaud64. В своем твиттере Гостев высказал догадку, что название модуля Rahdaud64 образовано от имени библейского царя Давида (דָּוִד, в арабской традиции - Daud), при котором древний Израиль совершил наибольшее количество территориальных приобретений, и ивритского прилагательного Rah (רָע, злой, плохой, вредоносный). Впрочем, слово Rahdaud может оказаться связкой фамилии Raha (Rahi, Rahazan) и имени Daud, которые распространены в исламских странах Юго-Восточной Азии: Малайзии и Индонезии. Модуль Rahdaud64 обращался к файлу ~DF78.tmp, что указывает на связь между трояном Wiper и вредоносным семейством Duqu, которое получило название из-за характерного префикса ~Dq в названиях файлов. В «Лаборатории Касперского» признают, что, вполне возможно, никогда не удастся установить, какую именно вредоносную активность осуществлял Wiper: вскоре после обнаружения трояна следы его присутствия на пораженных ПК были уничтожены. В частности, физическое пространство диска в местах расположения драйвера Rahdaud64 и служебных файлов трояна с префиксом ~D на инфицированных системах заполнялись случайными символами. Одновременно с этим уничтожению и перезаписи подвергались жесткие диски зараженных Wiper компьютеров. Александр Гостев рассказывает, что данные на пораженных ПК были полностью либо уничтожены, либо перезаписаны с невозможностью восстановления вплоть до выведения из строя атакованной системы. Поскольку полная перезапись диска занимала бы долгое время, создателями Wiper была применена схема, при которой уничтожались бы файлы с определенными расширениями (почти 100 типов документов и программных модулей), файлы из определенных каталогов (Documents and Settings, Program Files, Windows) и USB-носителях и перезапись определенных секторов диска. В «Касперском» подчеркивают, что инциденты с перезаписью дисков, по схеме, подобной Wiper, до сих пор не были известны. Можно говорить о том, что Wiper относится к платформе Tilded, получившей название от префикса ~D в именах служебных файлов, говорят эксперты «Лаборатории Касперского». К той же программной платформе можно отнести знаменитые боевые и шпионские трояны Stuxnet, Duqu и Flame, также обнаруженные в последние месяцы на компьютерах Ирана и арабских стран. Однако, полагает Александр Гостев, над «самым таинственным кибероружием» Wiper, и над «самым сложным кибероружием» трояном Flame, скорее всего, работали две разные команды разработчиков, которые могли обмениваться между собой информацией.
Источник:
CA-News
Поделиться:
Комментарии
Только зарегистрированные пользователи могут оставлять комментарий