Mysterious
Wiper Malware Possibly Connected to Stuxnet and Duqu, Researchers Say
By Lucian Constantin,
IDG-News-Service:Romania-Bureau
Aug 30, 2012 10:50 pm
Bài được
đưa lên Internet ngày: 30/08/2012
Lời
người dịch: Lại một phát hiện khác của Kaspersky Lab
theo đơn đặt hàng của Liên đoàn Truyền thông Quốc tế
ITU. Đó là phần mềm độc hại với các tên Wiper (kẻ
lau chùi sạch): “Các nhà nghiên cứu của Kaspersky
đã không có khả năng tìm ra phần mềm độc hại bí ẩn
đó, nên đã đưa ra cái tên Wiper (kẻ lau chùi sạch),
vì rất ít dữ liệu từ các ổ đĩa cứng bị lây
nhiễm có khả năng phục hồi lại được”. Phân
tích Wiper, các nhà nghiên cứu của Kaspersky cho rằng có
khả năng Wiper là “một mẩu khác của câu đố lớn
hơn chỉ tới một chiến dịch phá hoại KGM và gián điệp
KGM do các nhà nước quốc gia chính tài trợ tại Trung
Đông. Các nhà nghiên cứu của Kaspersky đã khẳng định
rồi, dựa vào bằng chứng kỹ thuật, rằng Stuxnet,
Duqu, Flame và Gauss có liên quan lẫn nhau”. Xem thêm:
[01],
[02].
Các nhà nghiên cứu
từ Kaspersky Lab đã hé lộ thông tin gợi ý về một liên
kết có khả năng giữa phần mềm độc hại bí ẩn đã
tấn công vào các máy tính của bộ dầu khí Iran hồi
tháng 04/2012 và các mối đe dọa gián điệp không gian
mạng (KGM) Stuxnet và Duqu.
Sau các báo cáo hồi
tháng 04 rằng các
dữ liệu đã bị phá hủy trên nhiều máy chủ tại Iran,
có khả năng do một mẩu phần mềm độc hại mới, Liên
đoàn Truyền thông Quốc tế ITU đã yêu cầu nhà cung cấp
anh ninh Kaspersky Lab điều tra vụ việc.
Các
nhà nghiên cứu của Kaspersky đã không có khả năng tìm
ra phần mềm độc hại bí ẩn đó, nên đã đưa ra cái
tên Wiper (kẻ lau chùi sạch), vì rất ít dữ liệu từ
các ổ đĩa cứng bị lây nhiễm có khả năng phục hồi
lại được.
Tuy nhiên, điều tra
của họ đã dẫn tới việc phát hiện ra Flame và sau đó
là Gauss, 2 mối đe dọa gián điệp KGM tinh vi phức tạp
cao độ được tin tưởng đã được phát triển từ một
nhà nước quốc gia.
Sau khi rà soát lại
các bit thông tin được trích xuất từ các ổ đĩa bị
lây nhiễm, các nhà nghiên cứu của Kaspersky đã đi đến
kết luận rằng phần mềm độc hại Wiper quả thực đã
tồn tại trong thực tế, rằng nó đã sử dụng một
thuật toán lau sạch các dữ liệu tin vi và có hiệu quả
và rằng nó rất có khả năng không phải là một thành
phần của Flame.
“Chúng tôi bây giờ
có thể nói với sự chắc chắn rằng các sự việc đã
diễn ra và rằng phần mềm độc hại đó có trách nhiệm
về những cuộc tấn công vào tháng 04/2012”, các nhà
nghiên cứu từ đội phân tích và nghiên cứu toàn cầu
của Kaspersky nói hôm thứ tư trong
một bài trên blog. “Hơn nữa, chúng tôi nhận thức
được về một số sự việc rất tương tự đã diễn
ra kể tử tháng 12/2011”.
Thậm chí dù một sự
kết nối tới Flame là chưa chắc, thì có một số bằng
chứng gợi ý rằng Wiper có thể có liên quan tới Stuxnet
và Duqu.
Ví dụ, trong một ít
các ổ đĩa cứng được phân tích, các nhà nghiên cứu
đã tìm ra manh mối của một dịch vụ được gọi là
RAHDAUD64, nó tải lên các tệp có tên là ~DFXX.tmp -- trong
đó XX là 2 chữ số ngẫu nhiên từ thư mục
C:\WINDOWS\TEMP.
Security
researchers from Kaspersky Lab have uncovered information suggesting
a possible link between the mysterious malware that attacked Iranian
oil ministry computers in April and the Stuxnet and Duqu
cyberespionage threats.
Following
April reports that data
was destroyed on multiple servers in Iran, possibly by a new
piece of malware, the International Telecommunication Union (ITU)
asked security vendor Kaspersky Lab to investigate the incidents.
Kaspersky's
researchers were not able to find the mysterious malware, which was
given the name Wiper, because very little data from the affected hard
disk drives was recoverable.
However,
their investigation led to the discovery of Flame
and later Gauss,
two highly sophisticated cyberespionage threats believed to have been
developed by a nation state.
After
reviewing the bits of information extracted from the affected hard
drives, the Kaspersky researchers concluded that the Wiper malware
did in fact exist, that it used a sophisticated and effective data
wiping algorithm and that it was most likely not a Flame component.
"We
can now say with certainty that the incidents took place and that the
malware responsible for these attacks existed in April 2012,"
researchers from Kaspersky's global research and analysis team said
Wednesday in a blog
post. "Also, we are aware of some very similar incidents
that have taken place since December of 2011."
Even
though a connection to Flame is unlikely, there is some evidence
suggesting that Wiper might be related to Stuxnet or Duqu.
For
example, on a few of the hard drives analyzed, the researchers found
traces of a service called RAHDAUD64 that loaded files named
~DFXX.tmp -- where XX are two random digits -- from the
C:\WINDOWS\TEMP folder.
“Ngay lúc chúng tôi
thấy điều này, chúng tôi ngay lập tức nhớ tới Duqu,
nó đã sử dụng các tên tệp của định dạng này”,
các nhà nghiên cứu nói. “Trên thực tế, cái tên Duqu do
nhà nghiên cứu Boldizsar Baencsath người Hungary của phòng
thí nghiệm CrySyS đưa ra vì nó đã tạo ra các tệp có
tên là ?~dqXX.tmp”.
Các nhà nghiên cứu
của Kaspersky đã khẳng định rằng cả Stuxnet và Duqu đã
được cùng một đội các lập trình viên phát triển, có
sử dụng nền tảng y hệt nhau - gọi là Nền tảng Dấu
ngã (Tilded Platform) vì phần mềm độc hại đã sử dụng
các tên tệp bắt đầu bằng dấu ngã “~”.
Các nhà nghiên cứu
cũng đã không có khả năng phục hồi các tệp ~DFXX.tmp
vì chúng đã bị ghi đè bằng các dữ liệu rác trong quá
trình phá hủy dữ liệu của Wiper.
Một liên kết có khả
năng khác với Stuxnet và Duqu là thực tế rằng Wiper hình
như ưu tiên các tệp .PNF trong qui trình quét sạch các dữ
liệu của nó. Cả Duqu và Stuxnet đều đã giữ các thành
phần chính của chúng trong các tệp .PNF được mã hóa,
các nhà nghiên cứu của Kaspersky nói.
Tuy
nhiên, nếu điều đó có liên quan, thì một mẩu khác của
câu đố lớn hơn chỉ tới một chiến dịch phá hoại
KGM và gián điệp KGM do các nhà nước quốc gia chính tài
trợ tại Trung Đông. Các nhà nghiên cứu của Kaspersky đã
khẳng định rồi, dựa vào bằng chứng kỹ thuật, rằng
Stuxnet, Duqu, Flame và Gauss có liên quan lẫn nhau.
Theo báo cáo trên tờ
New York Time từ tháng 06 đã chỉ ra các nguồn nặc danh từ
bên trong chính quyền Obama, rằng Stuxnet đã được Mỹ và
Israel cùng phát triển và từng là một phần của một
chiến dịch bí mật có tên mã là các Trò chơi Olympic
(Olympic Games).
"The
moment we saw this, we immediately recalled Duqu, which used
filenames of this format," the researchers said. "In fact,
the name Duqu was coined by the Hungarian researcher Boldizsar
Bencsath from the CrySyS lab because it created files named
?~dqXX.tmp."
Kaspersky's
researchers had already established that both Stuxnet and Duqu were
created by the same team of developers using the same platform --
dubbed the Tilded Platform because the malware used files with names
starting with the "~" (tilde) symbol.
The
researchers were not able to recover the ~DFXX.tmp files because they
had been overwritten with garbage data during Wiper's data
destruction routine.
Another
possible link to Stuxnet and Duqu is the fact that Wiper apparently
prioritized .PNF files during its data wiping process. Both Duqu and
Stuxnet kept their main components in encrypted .PNF files, the
Kaspersky researchers said.
The
evidence found so far is not sufficiently solid to conclude with
certainty that Wiper is related to Stuxnet or Duqu and the truth may
never come to light unless a system is discovered where Wiper's data
destruction routine somehow failed, the researchers said.
However,
if it is related, then it's another piece of a larger puzzle that
points to a major nation-state-sponsored cyberespionage and
cybersabotage operation in the Middle East. Kaspersky's researchers
have already established, based on technical evidence, that Stuxnet,
Duqu, Flame and Gauss are related to each other.
According
to a New
York Times report from June that cited unnamed sources from
within the Obama administration, Stuxnet was jointly developed by the
U.S. and Israel and was part of a secret operation code-named Olympic
Games.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.