Quelle : Industrial Safety and Security Source ( iss Source
Viper
Kaspersky Lab Expert
Verfasst August 29, 13:00 GMT
Tags: Duqu, gezielte Angriffe, Wischer, Cyber Waffe,
Gauss, Flame0.6
In April 2012, wurden mehrere Geschichten über einen
mysteriösen Malware-Angriff heruntergefahren Computer-Systeme an Unternehmen in
ganz Iran veröffentlicht.
Mehrere Artikel erwähnt, dass ein Virus namens Wiper
verantwortlich war. Dennoch waren keine Proben zur Verfügung vor diesen
Angriffen, so dass viele die Richtigkeit dieser Berichte zweifeln.
Nach diesen Vorfällen, fragte der International
Telecommunication Union (ITU) Kaspersky Lab, um die Vorfälle zu untersuchen und
bestimmen die potentiell zerstörerischen Auswirkungen dieser neuen Malware.
Nach mehreren Wochen der Forschung konnten wir nicht
jede Malware, die alle bekannten Eigenschaften mit Wiper teilten. Allerdings
haben wir entdecken den Nationalstaat Cyber-Spionage-Kampagne jetzt als Flamme
und später Gauss bekannt.
Es ist unsere Überzeugung, dass Wiper eine separate
Belastung von Malware, die nicht Flamme war. Obwohl Flamme war eine sehr
flexible Angriff Plattform, haben wir nicht sehen keine Anzeichen von sehr
destruktives Verhalten. Angesichts der Komplexität der Flamme, würde man
erwarten, dass es für die langfristige Überwachung der Ziele statt auf direkte
Sabotage Angriffe auf Computersysteme verwendet werden. Natürlich ist es
möglich, dass einer der letzten Stufen der Überwachung die Lieferung einer
Wiper-bezogene Nutzlast war, aber bisher haben wir haven-t dies nirgends
gesehen.
So, Monate später, wir sind links fragen: Genau das,
was war Wiper?
Geben Wiper
Während der Untersuchung des mysteriösen
Malware-Angriff im April konnten wir die Beschaffung und Analyse mehrerer
Festplatten-Images, die von Wiper angegriffen wurden. Wir können jetzt mit
Sicherheit sagen, dass die Vorfälle stattgefunden hat und dass die Malware
verantwortlich für diese Attacken im April 2012 existierte. Auch sind wir uns
bewusst von einigen sehr ähnliche Vorfälle, die stattgefunden haben seit
Dezember 2011.
Die Angriffe meist fand in den letzten 10 Tagen des
Monats (zwischen dem 21. und 30.), obwohl wir nicht bestätigen können, dass dies
auf eine spezielle Funktion, die zu bestimmten Terminen aktiviert war.
Die Macher von Wiper waren extrem vorsichtig, um
absolut jedes einzelne Stück von Daten, die verwendet werden, um die Vorfälle zu
verfolgen könnte zerstören. Also, in jedem einzelnen Fall we-ve analysierten,
wurde fast nichts nach der Aktivierung der Scheibenwischer hinterlassen. It-s
wichtig zu betonen? Fast nichts? hier, weil einige Spuren hat bleiben, dass es
uns ermöglicht, ein besseres Verständnis für die Angriffe zu bekommen.
Von einigen der zerstörten Systeme, die wir hatten
Glück genug, um eine Kopie der Registrierungsstruktur erholen. Die
Registrierungsstruktur enthielt keine bösartigen Treibern oder
Autostart-Einträge. Allerdings kamen wir auf die Idee, in den Bienenstock slack
space für gelöschte Einträge sehen. Dies ist, was wir gefunden: