Rejtélyes ablaktörlő kártevők valószínűleg összekapcsolódtak a Stuxnet és a Duqu, a kutatók szerint

A Kaspersky Lab biztonsági kutatói olyan információkat fedeztek fel, amelyek arra utalnak, hogy lehetséges kapcsolat áll fenn az iráni olajminisztérium számítógépeivel áprilisban megtámadott titokzatos malware és a Stuxnet és a Duqu cyberespionage fenyegetések között. hogy az adatokat több iráni kiszolgálón megsemmisítették, esetleg egy új rosszindulatú programmal, a Nemzetközi Távközlési Unió (ITU) a biztonsági kiszolgálót, a Kaspersky Lab-t kérte az esetek kivizsgálására.

A Kaspersky kutatói nem találtak titokzatos rosszindulatú programokat. kapta az ablaktörlő nevét, mert az érintett merevlemez-meghajtók nagyon kevés adat helyreállítható.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows PC-jéről]

A vizsgálat azonban a Flame és később a Gauss felfedezéséhez vezetett, két rendkívül kifinomult kiberespionage fenyegetést, melyeket egy nemzetállam feltételezhetett.

az érintett merevlemezekből nyert információk bitjei alapján a Kaspersky kutatói arra a következtetésre jutottak, hogy az ablaktörlő malware ténylegesen létezett, hogy kifinomult és hatékony adatcsomagolási algoritmust használt, és ez valószínűleg nem láng összetevő.

" most biztosan kijelenthetjük, hogy az események bekövetkeztek, és hogy a támadásokért felelős kártevők 2012 áprilisában léteztek "- jelentette be a kutatók a Kaspersky globális kutató- és elemzőcsapatának kutatóinak egy blogbejegyzésben. "Emellett tisztában vagyunk néhány nagyon hasonló eseményekkel, amelyek 2011 decemberétől kezdődően történtek."

Habár a kapcsolat a Flame-lel valószínűtlen, egyes bizonyítékok arra utalnak, hogy az ablaktörlő a Stuxnet vagy a Duqu. > Az elemzett néhány merevlemezen például a kutatók találták a RAHDAUD64 nevű szolgáltatás nyomvonalát, amely a C: WINDOWS TEMP mappában található ~ DFXX.tmp fájlokat - ahol XX két véletlen számjegy - betöltött fájlok találhatók.

"A pillanatban, amikor láttuk ezt, rögtön felidézzük a Duqu-ot, amely e formátumú fájlneveket használta" - mondták a kutatók. "Valójában a Duqu nevét a magyar kutató, Bencsath Boldizsar hozta létre a CrySyS laboratóriumából, mivel a következőket hozta létre? ~ DqXX.tmp ??."

A Kaspersky kutatói már megállapították, hogy mind a Stuxnet, mind a Duqu a ugyanaz a platform fejlesztője ugyanazt a platformot - a Tilded Platformot nevezte el, mert a rosszindulatú szoftverek a "~" (tilde) szimbólummal kezdődő neveket használják.

A kutatók nem tudták visszaállítani a ~ DFXX.tmp fájlokat, mert a Wiper adathalmaz megsemmisítési rutin alatt felülíródott a szemétdobozokkal.

A Stuxnet és a Duqu másik lehetséges kapcsolata az a tény, hogy az ablaktörlő nyilvánvalóan a .PNF fájlokat sorolta fel az adatok törlési folyamata során. Mind a Duqu, mind a Stuxnet a legfontosabb összetevőket titkosította .PNF fájlokban, a Kaspersky kutatói elmondták.

Az eddig talált bizonyíték nem elég szilárd ahhoz, hogy biztosan megállapíthassa, hogy az ablaktörlő Stuxnet-rel vagy Duqu-hoz kapcsolódik, és az igazság sohasem jön ha nem találunk olyan rendszert, ahol a Wiper adatok megsemmisítési rutinja valahogy sikertelen volt, a kutatók szerint.

Ha azonban összefüggésben van, akkor ez egy másik nagyobb puzzle, amely egy nagy nemzetállami szponzorált internetes kiállításra és cybersabotázsra utal a közép Keleten. A Kaspersky kutatói már technikai bizonyítékok alapján megállapították, hogy a Stuxnet, a Duqu, a Flame és a Gauss egymáshoz kapcsolódnak.

A New York Times júniusi jelentése szerint az Obama-adminisztráción belül nem nevesített forrásokat említ, amelyet az Egyesült Államok és Izrael fejlesztett ki, és egy titkos műveletnek nevezett olimpiai játékok része volt.