Mysteriöse Wiper-Malware, möglicherweise mit Stuxnet und Duqu verbunden, sagen Forscher

Sicherheitsforscher von Kaspersky Lab haben Informationen gefunden, die auf eine mögliche Verbindung zwischen der mysteriösen Malware im April und den Drohungen gegen Stuxnet und Duqu hindeuten.

Nach April berichtet Diese Daten wurden auf mehreren Servern im Iran zerstört, möglicherweise durch eine neue Malware. Die Internationale Telekommunikationsunion (ITU) bat den Sicherheitsanbieter Kaspersky Lab, die Vorfälle zu untersuchen.

Die Forscher von Kaspersky konnten die mysteriöse Malware nicht finden erhielt den Namen Wiper, weil nur sehr wenige Daten von den betroffenen Festplatten wiederhergestellt werden konnten.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Ihre Untersuchung führte jedoch zur Entdeckung von Flame und später Gauss, zwei hochentwickelten Cyberspionage-Bedrohungen, die vermutlich von einem Nationalstaat entwickelt wurden.

Nach der Überprüfung Die Kaspersky-Forscher fanden heraus, dass die Wiper-Malware tatsächlich existierte, dass sie einen ausgereiften und effektiven Algorithmus zum Löschen von Daten verwendete und dass es sich höchstwahrscheinlich nicht um eine Flame-Komponente handelte.

"Wir Ich kann jetzt mit Sicherheit sagen, dass die Vorfälle stattgefunden haben und dass die für diese Angriffe verantwortliche Malware im April 2012 existierte ", sagten Forscher vom globalen Forschungs- und Analyseteam von Kaspersky am Mittwoch in einem Blogpost. "Außerdem sind uns einige sehr ähnliche Vorfälle bekannt, die seit Dezember 2011 stattgefunden haben."

Obwohl eine Verbindung zu Flame unwahrscheinlich ist, gibt es Hinweise darauf, dass Wiper mit Stuxnet oder Duqu verwandt sein könnte.

Auf einigen der analysierten Festplatten fanden die Forscher beispielsweise Spuren eines Dienstes namens RAHDAUD64, der Dateien namens ~ DFXX.tmp - wobei XX zwei zufällige Ziffern sind - aus dem Ordner C: WINDOWS TEMP geladen hat.

"In dem Moment, in dem wir das sahen, erinnerten wir uns sofort an Duqu, der Dateinamen dieses Formats verwendet hat", sagten die Forscher. "Tatsächlich wurde der Name Duqu von dem ungarischen Forscher Boldizsar Bencsath aus dem CrySyS-Labor geprägt, weil er Dateien mit dem Namen? DqXX.tmp ?? erstellt hat."

Die Forscher von Kaspersky hatten bereits festgestellt, dass sowohl Stuxnet als auch Duqu von der Das gleiche Team von Entwicklern, die die gleiche Plattform verwenden - die Tilded Platform genannt, da die Malware Dateien mit Namen verwendet, die mit dem "~" (Tilde) -Symbol beginnen.

Die Forscher konnten die ~ DFXX.tmp-Dateien nicht wiederherstellen wurde während der Datenvernichtungsroutine von Wiper mit Mülldaten überschrieben.

Eine weitere mögliche Verbindung zu Stuxnet und Duqu ist die Tatsache, dass Wiper während des Datenlöschprozesses anscheinend .PNF-Dateien priorisiert hat. Sowohl Duqu als auch Stuxnet haben ihre Hauptkomponenten in verschlüsselten .PNF-Dateien gespeichert, sagten die Kaspersky-Forscher.

Die bisher gefundenen Beweise sind nicht solide genug, um mit Gewissheit zu schließen, dass Wiper mit Stuxnet oder Duqu verwandt ist und die Wahrheit vielleicht nie kommen wird Licht, es sei denn, ein System wird entdeckt, bei dem die Datenvernichtungsroutine von Wiper irgendwie fehlgeschlagen ist.

Wenn es jedoch zusammenhängt, dann ist es ein weiterer Teil eines größeren Puzzles, der auf eine von Nationalstaaten gesponserte Cyberspionage- und Cybersabotageoperation hinweist Im mittleren Osten. Kaspersky-Forscher haben bereits anhand technischer Beweise nachgewiesen, dass Stuxnet, Duqu, Flame und Gauss miteinander verwandt sind.

Laut einem Bericht der New York Times vom Juni, der ungenannte Quellen aus der Obama-Administration zitierte, war Stuxnet gemeinsam entwickelt von den USA und Israel und war Teil einer geheimen Operation mit dem Codenamen Olympische Spiele.