Kaspersky Lab publie une nouvelle étude sur Wiper, le malware destructeur qui a ciblé les systèmes informatiques en avril 2012

Kaspersky Lab publie une nouvelle étude sur Wiper, le malware destructeur qui a ciblé les systèmes informatiques en avril 2012

En avril 2012, une série d’incidents impliquant un malware destructeur baptisé Wiper a été rendue publique. Wiper s’était attaqué à des systèmes informatiques liés à un certain nombre de sites pétroliers au Moyen-Orient. En mai 2012, l’équipe de chercheurs de Kaspersky Lab a mené, à la demande de l’Union Internationale des Télécommunications, une enquête portant sur ces incidents afin de déterminer la menace potentielle que représentait ce nouveau programme malveillant en matière de stabilité et de sécurité mondiale.

Aujourd’hui, les experts de Kaspersky Lab publient une étude résultant de l’analyse numérique a posteriori des images de disque dur provenant des machines attaquées par Wiper.

Cette analyse met en lumière l’extrême efficacité de la méthode employée par Wiper pour détruire les systèmes informatiques, notamment son mode distinctif d’effacement des données et son comportement destructeur. Bien que les recherches sur Wiper sont à la source de la découverte de Flame, le malware Wiper par lui-même n’a pas encore pu être identifié. Dans l’intervalle, son efficacité destructrice pourrait avoir inspiré certaines copies, tel que le malware destructeur Shamoon apparu en août 2012.

Principaux résultats de l’étude :

  • Kaspersky Lab confirme que Wiper est responsable des attaques lancées sur des systèmes informatiques au Moyen-Orient du 21 au 30 avril 2012.
  • L’analyse des images de disque dur des ordinateurs détruits par Wiper révèle un mode spécifique d’effacement des données, associé à un certain composant malveillant dont le nom commence par ~D. Ces constatations ne sont pas sans rappeler Duqu et Stuxnet, qui utilisaient également des noms de fichiers commençant par ~D et reposaient tous deux sur la même plate-forme d’attaque, appelée « Tilded ».
  • Kaspersky Lab a alors entrepris de rechercher, via son réseau Kaspersky Security Network (KSN), d’autres fichiers commençant par ~D susceptibles d’être en rapport avec Wiper et la plate-forme Tilded.
  • Ce faisant, Kaspersky Lab a repéré au Moyen-Orient un nombre important de fichiers nommés ~DEB93D.tmp. Une analyse approfondie a montré que ce fichier faisait en fait partie d’un autre type de malware : c’est ainsi que Kaspersky Lab a découvert Flame.
  • Bien que Flame ait été découvert au cours des recherches sur Wiper, les chercheurs de Kaspersky Lab pensent qu’il s’agit de deux programmes malveillants bien distincts.
  • Si Kaspersky Lab a pu analyser des traces de l’infection Wiper, ce malware demeure néanmoins inconnu car aucun épisode d’effacement supplémentaire selon la même méthode n’est intervenu depuis et aucune détection du malware n’a été signalée par les outils de protection proactive de Kaspersky Lab.
  • Wiper s’est montré redoutablement efficace et pourrait faire des émules, donnant naissance à d’autres types de malwares (des copies tels que Shamoon).

Autopsie des disques durs effacés

L’analyse par Kaspersky Lab des images de disque dur prélevées sur les machines détruites par Wiper a fait apparaître que le programme malveillant a effacé le disque dur des systèmes ciblés et détruit la totalité des données permettant d’identifier le malware. Le système de fichiers altéré par Wiper empêchait l’ordinateur de redémarrer et provoquait un dysfonctionnement général. Par conséquent, sur chacune des machines analysées, il ne subsistait pratiquement rien après l’activation de Wiper, pas même la possibilité de récupérer ou de restaurer quelques données que ce soit.

Cependant, l’étude de Kaspersky Lab fournit de précieuses indications, concernant notamment la méthode d’effacement spécifique employée par le malware, ainsi que certains noms de composants de celui-ci, voire des clés de registre révélant les noms de fichiers précédents effacés du disque dur. Ces clés de registre pointent toutes vers des noms de fichiers commençant par ~D.

Une méthode d’effacement distinctive

L’analyse de la méthode d’effacement dévoile que celle-ci a été utilisée sur chaque machine où Wiper a été activé. L’algorithme du malware est conçu pour détruire rapidement un maximum de fichiers avec un maximum d’efficacité, ce qui peut représenter plusieurs gigaoctets à la fois. Environ trois quarts des machines ciblées ont vu leurs données entièrement effacées. L’opération s’attachait d’abord à détruire la première moitié du disque, puis à supprimer systématiquement les fichiers restants nécessaires au bon fonctionnement du système, aboutissant finalement à un crash de celui-ci. En outre, nous avons eu connaissance d’attaques Wiper ayant visé des fichiers PNF, qui n’auraient guère de signification si elles n’étaient liées à la suppression de composants supplémentaires du malware. L’autre intérêt de cette découverte tient au fait que le principal composant de Duqu et Stuxnet était crypté sous forme de fichiers PNF.

Comment la recherche de Wiper a conduit à la découverte de Flame

Des fichiers temporaires (TMP) commençant par ~D ont également été utilisés par Duqu, qui exploite la même plate-forme d’attaque que Stuxnet : Tilded.

En s’appuyant sur cet indice, l’équipe de chercheurs s’est mise en quête d’autres noms de fichiers potentiellement inconnus en rapport avec Wiper et reposant sur la plate-forme Tilded. Pour ce faire, elle a utilisé notamment KSN, l’infrastructure cloud sur laquelle s’appuie les produits de Kaspersky Lab afin d’offrir une protection instantanée sous la forme de listes noires et de règles heuristiques destinées à intercepter les menaces les plus récentes.

Au cours de ses recherches, l’équipe de Kaspersky Lab a constaté que plusieurs ordinateurs au Moyen-Orient contenaient un fichier nommé « ~ DEB93D.tmp». C’est ainsi qu’elle a découvert Flame. Toutefois, Wiper n’a pas pu être identifié à ce jour suivant cette méthode.

Alexander Gostev, expert en chef de la sécurité chez Kaspersky Lab, commente : « D’après notre analyse des traces laissées par Wiper sur les images de disque dur que nous avons examinées, il ne fait aucun doute que le malware a bien existé et qu’il a servi à attaquer des systèmes informatiques au Moyen-Orient en avril 2012, et probablement même avant, dès le mois de décembre 2011. Bien que nous ayons découvert Flame durant nos recherches sur Wiper, nous pensons que le second est un type de malware distinct du premier. Le comportement destructeur de Wiper, à quoi s’ajoutent les noms des fichiers laissés sur les systèmes effacés, fait fortement penser à un programme exploitant la plate-forme Tilded. L’architecture modulaire de Flame était totalement différente, et conçue pour exécuter une campagne de cyberespionnage prolongée et approfondie. En outre, nous n’avons pas décelé, lors de notre analyse de Flame, de comportement destructeur identique à celui de Wiper. »

L’étude complète consacrée à Wiper est consultable sur le site Securelist.com.

29.08.2012

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.