Thứ Năm, 6 tháng 9, 2012

Phần mềm độc hại bí ẩn Wiper có khả năng có kết nối với Stuxnet và Duqu


Mysterious Wiper Malware Possibly Connected to Stuxnet and Duqu, Researchers Say
By Lucian Constantin, IDG-News-Service:Romania-Bureau
Aug 30, 2012 10:50 pm
Bài được đưa lên Internet ngày: 30/08/2012
Lời người dịch: Lại một phát hiện khác của Kaspersky Lab theo đơn đặt hàng của Liên đoàn Truyền thông Quốc tế ITU. Đó là phần mềm độc hại với các tên Wiper (kẻ lau chùi sạch): “Các nhà nghiên cứu của Kaspersky đã không có khả năng tìm ra phần mềm độc hại bí ẩn đó, nên đã đưa ra cái tên Wiper (kẻ lau chùi sạch), vì rất ít dữ liệu từ các ổ đĩa cứng bị lây nhiễm có khả năng phục hồi lại được”. Phân tích Wiper, các nhà nghiên cứu của Kaspersky cho rằng có khả năng Wiper là “một mẩu khác của câu đố lớn hơn chỉ tới một chiến dịch phá hoại KGM và gián điệp KGM do các nhà nước quốc gia chính tài trợ tại Trung Đông. Các nhà nghiên cứu của Kaspersky đã khẳng định rồi, dựa vào bằng chứng kỹ thuật, rằng Stuxnet, Duqu, Flame và Gauss có liên quan lẫn nhau”. Xem thêm: [01], [02].
Các nhà nghiên cứu từ Kaspersky Lab đã hé lộ thông tin gợi ý về một liên kết có khả năng giữa phần mềm độc hại bí ẩn đã tấn công vào các máy tính của bộ dầu khí Iran hồi tháng 04/2012 và các mối đe dọa gián điệp không gian mạng (KGM) Stuxnet và Duqu.
Sau các báo cáo hồi tháng 04 rằng các dữ liệu đã bị phá hủy trên nhiều máy chủ tại Iran, có khả năng do một mẩu phần mềm độc hại mới, Liên đoàn Truyền thông Quốc tế ITU đã yêu cầu nhà cung cấp anh ninh Kaspersky Lab điều tra vụ việc.
Các nhà nghiên cứu của Kaspersky đã không có khả năng tìm ra phần mềm độc hại bí ẩn đó, nên đã đưa ra cái tên Wiper (kẻ lau chùi sạch), vì rất ít dữ liệu từ các ổ đĩa cứng bị lây nhiễm có khả năng phục hồi lại được.
Tuy nhiên, điều tra của họ đã dẫn tới việc phát hiện ra Flame và sau đó là Gauss, 2 mối đe dọa gián điệp KGM tinh vi phức tạp cao độ được tin tưởng đã được phát triển từ một nhà nước quốc gia.
Sau khi rà soát lại các bit thông tin được trích xuất từ các ổ đĩa bị lây nhiễm, các nhà nghiên cứu của Kaspersky đã đi đến kết luận rằng phần mềm độc hại Wiper quả thực đã tồn tại trong thực tế, rằng nó đã sử dụng một thuật toán lau sạch các dữ liệu tin vi và có hiệu quả và rằng nó rất có khả năng không phải là một thành phần của Flame.
“Chúng tôi bây giờ có thể nói với sự chắc chắn rằng các sự việc đã diễn ra và rằng phần mềm độc hại đó có trách nhiệm về những cuộc tấn công vào tháng 04/2012”, các nhà nghiên cứu từ đội phân tích và nghiên cứu toàn cầu của Kaspersky nói hôm thứ tư trong một bài trên blog. “Hơn nữa, chúng tôi nhận thức được về một số sự việc rất tương tự đã diễn ra kể tử tháng 12/2011”.
Thậm chí dù một sự kết nối tới Flame là chưa chắc, thì có một số bằng chứng gợi ý rằng Wiper có thể có liên quan tới Stuxnet và Duqu.
Ví dụ, trong một ít các ổ đĩa cứng được phân tích, các nhà nghiên cứu đã tìm ra manh mối của một dịch vụ được gọi là RAHDAUD64, nó tải lên các tệp có tên là ~DFXX.tmp -- trong đó XX là 2 chữ số ngẫu nhiên từ thư mục C:\WINDOWS\TEMP.
Security researchers from Kaspersky Lab have uncovered information suggesting a possible link between the mysterious malware that attacked Iranian oil ministry computers in April and the Stuxnet and Duqu cyberespionage threats.
Following April reports that data was destroyed on multiple servers in Iran, possibly by a new piece of malware, the International Telecommunication Union (ITU) asked security vendor Kaspersky Lab to investigate the incidents.
Kaspersky's researchers were not able to find the mysterious malware, which was given the name Wiper, because very little data from the affected hard disk drives was recoverable.
However, their investigation led to the discovery of Flame and later Gauss, two highly sophisticated cyberespionage threats believed to have been developed by a nation state.
After reviewing the bits of information extracted from the affected hard drives, the Kaspersky researchers concluded that the Wiper malware did in fact exist, that it used a sophisticated and effective data wiping algorithm and that it was most likely not a Flame component.
"We can now say with certainty that the incidents took place and that the malware responsible for these attacks existed in April 2012," researchers from Kaspersky's global research and analysis team said Wednesday in a blog post. "Also, we are aware of some very similar incidents that have taken place since December of 2011."
Even though a connection to Flame is unlikely, there is some evidence suggesting that Wiper might be related to Stuxnet or Duqu.
For example, on a few of the hard drives analyzed, the researchers found traces of a service called RAHDAUD64 that loaded files named ~DFXX.tmp -- where XX are two random digits -- from the C:\WINDOWS\TEMP folder.
“Ngay lúc chúng tôi thấy điều này, chúng tôi ngay lập tức nhớ tới Duqu, nó đã sử dụng các tên tệp của định dạng này”, các nhà nghiên cứu nói. “Trên thực tế, cái tên Duqu do nhà nghiên cứu Boldizsar Baencsath người Hungary của phòng thí nghiệm CrySyS đưa ra vì nó đã tạo ra các tệp có tên là ?~dqXX.tmp”.
Các nhà nghiên cứu của Kaspersky đã khẳng định rằng cả Stuxnet và Duqu đã được cùng một đội các lập trình viên phát triển, có sử dụng nền tảng y hệt nhau - gọi là Nền tảng Dấu ngã (Tilded Platform) vì phần mềm độc hại đã sử dụng các tên tệp bắt đầu bằng dấu ngã “~”.
Các nhà nghiên cứu cũng đã không có khả năng phục hồi các tệp ~DFXX.tmp vì chúng đã bị ghi đè bằng các dữ liệu rác trong quá trình phá hủy dữ liệu của Wiper.
Một liên kết có khả năng khác với Stuxnet và Duqu là thực tế rằng Wiper hình như ưu tiên các tệp .PNF trong qui trình quét sạch các dữ liệu của nó. Cả Duqu và Stuxnet đều đã giữ các thành phần chính của chúng trong các tệp .PNF được mã hóa, các nhà nghiên cứu của Kaspersky nói.
Tuy nhiên, nếu điều đó có liên quan, thì một mẩu khác của câu đố lớn hơn chỉ tới một chiến dịch phá hoại KGM và gián điệp KGM do các nhà nước quốc gia chính tài trợ tại Trung Đông. Các nhà nghiên cứu của Kaspersky đã khẳng định rồi, dựa vào bằng chứng kỹ thuật, rằng Stuxnet, Duqu, Flame và Gauss có liên quan lẫn nhau.
Theo báo cáo trên tờ New York Time từ tháng 06 đã chỉ ra các nguồn nặc danh từ bên trong chính quyền Obama, rằng Stuxnet đã được Mỹ và Israel cùng phát triển và từng là một phần của một chiến dịch bí mật có tên mã là các Trò chơi Olympic (Olympic Games).
"The moment we saw this, we immediately recalled Duqu, which used filenames of this format," the researchers said. "In fact, the name Duqu was coined by the Hungarian researcher Boldizsar Bencsath from the CrySyS lab because it created files named ?~dqXX.tmp."
Kaspersky's researchers had already established that both Stuxnet and Duqu were created by the same team of developers using the same platform -- dubbed the Tilded Platform because the malware used files with names starting with the "~" (tilde) symbol.
The researchers were not able to recover the ~DFXX.tmp files because they had been overwritten with garbage data during Wiper's data destruction routine.
Another possible link to Stuxnet and Duqu is the fact that Wiper apparently prioritized .PNF files during its data wiping process. Both Duqu and Stuxnet kept their main components in encrypted .PNF files, the Kaspersky researchers said.
The evidence found so far is not sufficiently solid to conclude with certainty that Wiper is related to Stuxnet or Duqu and the truth may never come to light unless a system is discovered where Wiper's data destruction routine somehow failed, the researchers said.
However, if it is related, then it's another piece of a larger puzzle that points to a major nation-state-sponsored cyberespionage and cybersabotage operation in the Middle East. Kaspersky's researchers have already established, based on technical evidence, that Stuxnet, Duqu, Flame and Gauss are related to each other.
According to a New York Times report from June that cited unnamed sources from within the Obama administration, Stuxnet was jointly developed by the U.S. and Israel and was part of a secret operation code-named Olympic Games.
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.