Gizemli Silecek Malware'i Stuxnet ve Duqu'a Bağlantılı Olabilir, Araştırmacılar

Kaspersky Lab'den güvenlik araştırmacıları, Nisan ayında İran petrol bakanlığı bilgisayarlarına saldıran gizemli kötü amaçlı yazılımlar ile Stuxnet ve Duqu siber saldırı tehditler arasında olası bir bağlantı olduğunu ortaya çıkardı.

Bu veri İran'daki birçok sunucuda, muhtemelen yeni bir kötü amaçlı yazılım parçası tarafından yok edildi. Uluslararası Telekomünikasyon Birliği (ITU) güvenlik uzmanı Kaspersky Lab'den olayları soruşturmasını istedi.

Kaspersky'nin araştırmacıları, gizemli kötü amaçlı yazılımları bulamadılar. Wiper adı verildi, çünkü etkilenen sabit disk sürücülerden çok az veri kurtarılabilirdi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Bununla birlikte, araştırmaları, bir ulus devlet tarafından geliştirildiğine inanılan son derece karmaşık iki siber saldırı tehdidi olan Alev ve daha sonraları Gauss'un keşfine yol açtı.

İnceledikten sonra Etkilenen sabit disklerden çıkarılan bilgi parçaları, Kaspersky araştırmacıları, Wiper zararlı yazılımının gerçekten var olduğunu, karmaşık ve etkili bir veri silme algoritması kullandığını ve bunun büyük ihtimalle bir Alev bileşeni olmadığını belirtti.

"Biz Kaspersky'nin küresel araştırma ve analiz ekibinden araştırmacılar, bir blog yazısında Çarşamba günü yaptığı açıklamada, artık olayların gerçekleştiğini ve bu saldırılardan sorumlu olan kötü amaçlı yazılımın Nisan 2012'de var olduğunu belirtebilirler. "Ayrıca, 2011 Aralık ayından bu yana meydana gelen bazı benzer olayların farkındayız."

Alev ile bir bağlantı kurulmasına rağmen, Silicinin Stuxnet veya Duqu ile ilişkili olabileceğini gösteren bazı kanıtlar var.

Örneğin, analiz edilen sabit sürücülerden birkaçı, araştırmacılar, RAHDAUD64 adında bir hizmetin izlerini bulmuşlardır. Bu dosyalar, ~ DFXX.tmp - XX'in iki rasgele basamak olduğu anlamına gelir - C: WINDOWS TEMP klasöründen.

“Bunu gördüğümüz an, hemen bu formatın dosya adlarını kullanan Duqu'u hatırladık” diyor araştırmacılar. "Aslında, Duqu ismi Macar araştırmacı araştırmacı Boldizsar Bencsath tarafından CrySyS laboratuarından alındı, çünkü bu dosya adı? ~ DqXX.tmp ??."

Kaspersky'nin araştırmacıları Stuxnet ve Duqu’un Aynı platformdaki aynı geliştirici ekibi - Tilded Platformu olarak adlandırıldı çünkü kötü amaçlı dosyalar "~" (tilde) simgesiyle başlayan isimler kullandı.

Araştırmacılar ~ DFXX.tmp dosyalarını kurtaramadılar çünkü Wiper'ın veri imhası rutini sırasında çöp verilerinin üzerine yazılmıştır.

Stuxnet ve Duqu'a olası bir başka bağlantı da, Wiper'ın veri silme işlemi sırasında .PNF dosyalarına açıkça öncelik vermesidir. Hem Duqu hem de Stuxnet, ana bileşenlerini şifreli .PNF dosyalarında sakladılar, Kaspersky araştırmacıları dedi.

Şu ana kadar elde edilen kanıtlar, Wiper'ın Stuxnet veya Duqu ile ilgili olduğu ve gerçeklerin asla gelmeyeceği kesinliği ile sonuçlanacak kadar sağlam değil. Araştırmacılar, Wiper'in veri yıkım rutininin bir şekilde başarısız olduğu bir sistem bulunmadıkça, araştırmacılar şöyle dedi:

Bununla birlikte, eğer ilgili ise, o zaman büyük bir ulus-devlet destekli siber saldırı ve siber saldırı operasyonuyla ilgili daha büyük bir bulmacanın parçası. Orta Doğu'da. Kaspersky'nin araştırmacıları, teknik kanıtlara dayanarak, Stuxnet, Duqu, Flame ve Gauss'un birbirleriyle ilişkili olduğunu şimdiden belirlediler.

Haziran'dan New York Times gazetesine göre, Obama yönetiminden adı açıklanmayan kaynaklara atıfta bulunan Stuxnet ortaklaşa yapıldı. ABD ve İsrail tarafından geliştirilen ve kod adı verilen Olimpiyat Oyunları adlı gizli operasyonun bir parçasıydı.