Mysterious Wiper Malware Possibilmente connesso a Stuxnet e Duqu, I ricercatori dicono

I ricercatori di sicurezza di Kaspersky Lab hanno scoperto informazioni che suggeriscono un possibile collegamento tra il misterioso malware che attaccava i computer del ministero del petrolio iraniano ad aprile e le minacce al cyberespionaggio di Stuxnet e Duqu. che i dati sono stati distrutti su più server in Iran, probabilmente da un nuovo malware, l'International Telecommunication Union (ITU) ha chiesto al fornitore di sicurezza Kaspersky Lab di indagare sugli incidenti.

I ricercatori di Kaspersky non sono riusciti a trovare il misterioso malware, che è stato assegnato il nome Wiper, in quanto è stato possibile recuperare pochissimi dati dalle unità disco rigido interessate.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Tuttavia, le loro indagini hanno portato alla scoperta di Flame e, più tardi, di Gauss, due minacce altamente sofisticate di cyberespionage che si ritiene siano state sviluppate da uno stato nazionale.

Dopo la revisione i bit di informazioni estratti dai dischi rigidi interessati, i ricercatori di Kaspersky hanno concluso che il malware Wiper effettivamente esisteva, che utilizzava un sofisticato ed efficace algoritmo di cancellazione dei dati e che probabilmente non era un componente Flame.

"Noi Ora posso dire con certezza che gli incidenti hanno avuto luogo e che il malware responsabile di questi attacchi è esistito nell'aprile 2012 ", hanno detto i ricercatori del team di ricerca e analisi globale di Kaspersky in un post sul blog. "Inoltre, siamo a conoscenza di alcuni incidenti molto simili che si sono verificati dal dicembre del 2011."

Anche se una connessione a Flame è improbabile, ci sono prove che suggeriscono che Wiper potrebbe essere correlato a Stuxnet o Duqu.

Ad esempio, su alcuni dei dischi rigidi analizzati, i ricercatori hanno trovato tracce di un servizio chiamato RAHDAUD64 che caricava file chiamati ~ DFXX.tmp - dove XX sono due cifre casuali - dalla cartella C: WINDOWS TEMP.

"Nel momento in cui l'abbiamo visto, abbiamo immediatamente richiamato Duqu, che utilizzava i nomi di file di questo formato", hanno detto i ricercatori. "In effetti, il nome Duqu è stato coniato dal ricercatore ungherese Boldizsar Bencsath dal laboratorio CrySyS perché ha creato file chiamati? ~ DqXX.tmp ??".

I ricercatori di Kaspersky avevano già stabilito che sia Stuxnet sia Duqu erano stati creati dal lo stesso team di sviluppatori che utilizzavano la stessa piattaforma - soprannominata Tilded Platform perché il malware utilizzava file con nomi che iniziavano con il simbolo "~" (tilde).

I ricercatori non erano in grado di recuperare i file ~ DFXX.tmp perché era stato sovrascritto con dati inutili durante la routine di distruzione dei dati di Wiper.

Un altro possibile collegamento a Stuxnet e Duqu è il fatto che Wiper apparentemente ha dato priorità ai file .PNF durante il processo di cancellazione dei dati. Sia Duqu che Stuxnet hanno mantenuto i loro componenti principali in file .PNF crittografati, hanno detto i ricercatori di Kaspersky.

Le prove trovate finora non sono sufficientemente solide per concludere con certezza che Wiper è legato a Stuxnet o Duqu e la verità potrebbe non arrivare mai a luce a meno che non venga scoperto un sistema in cui la routine di distruzione dei dati di Wiper in qualche modo fallisce, i ricercatori hanno detto.

Tuttavia, se è correlato, allora è un altro pezzo di un puzzle più grande che punta a un grande cyberespionaggio sponsorizzato dallo stato nazionale e operazione di cybersabotaggio in Medio Oriente. I ricercatori di Kaspersky hanno già stabilito, sulla base di prove tecniche, che Stuxnet, Duqu, Flame e Gauss sono collegati tra loro.

Secondo un rapporto del New York Times di giugno che citava fonti anonime dall'amministrazione Obama, Stuxnet era congiuntamente sviluppato da Stati Uniti e Israele e faceva parte di un'operazione segreta chiamata in codice Giochi Olimpici.