Kaspersky Lab pubblica una nuova ricerca su Wiper, il potente malware che ha colpito alcuni computer lo scorso aprile 2012

29 ago
Notizie Virus

Durante lo scorso aprile 2012, sono stati registrati una serie di incidenti riconducibili ad un programma malware, nome in codice Wiper, che attaccava i computer situati in alcuni stabilimenti petroliferi dell’Asia occidentale. Nel maggio 2012, i ricercatori di Kaspersky Lab hanno condotto una ricerca in collaborazione con International Telecommunication Union, per effettuare ulteriori indagini sugli incidenti e stabilire il potenziale di pericolosità del nuovo malware. 

Oggi gli esperti di Kaspersky Lab hanno pubblicato una ricerca realizzata sulla base dell’analisi digitale delle immagini degli hard disk estratte dai computer attaccati da Wiper.
Questa ricerca fornisce un’analisi dell’efficace metodo distruttivo di Wiper, compreso il singolare modello di cancellazione dei dati e il comportamento distruttivo.  Nonostante con la ricerca di Wiper sia stato involontariamente scoperto Flame, Wiper in sé non è mai stato scoperto durante le ricerche e rimane non identificato.  Nel frattempo, il comportamento distruttivo di Wiper può avere incoraggiato gli altri a creare altri malware altamente nocivi quali Shamoon, rilevato nel corso del mese di agosto 2012.

Risultati della ricerca:

  • Kaspersky Lab conferma che Wiper è stato responsabile degli attacchi lanciati contro computer situati nell’Asia occidentale tra il 21 e il 30 aprile 2012.
  • L’analisi delle immagini degli hard disk dei computer che sono stati distrutti da Wiper hanno rivelato una speciale modalità di cancellazione dei dati associata ad una determinata denominazione della componenete malware, che iniziava con ~D. Questi risultati ricordano Duqu e Stuxnet, che utilizzavano appunto nomi di file che iniziavano con ~D e che erano entrambi stati costruiti sulla stessa piattaforma di attacco, conosciuta con il nome di Tilded.
  • Kaspersky Lab ha iniziato la ricerca di altri file che iniziavano con ~D attraverso Kaspersky Security Network (KSN), per cercare di individuare altri file Wiper sfruttando la connessione con la piattaforma Tilded.
  •  Durante questo processo, Kaspersky Lab ha identificato un numero considerevole di file nell’Asia occidentale denominati ~DEB93D.tmp. Una ulteriore analisi ha mostrato che questi file erano parte di una diversa tipologia di malware: Flame. Questa è la modalità con cui Kaspersky Lab ha scoperto Flame.
  • Nonostante Flame sia stato scoperto durante la ricerca di Wiper, i ricercatori di Kaspersky Lab sono convinti che Wiper e Flame siano due programmi malware distinti e separati.
  • Nonostante Kaspersky Lab abbia analizzato le tracce dell’infezione Wiper, il malware è ancora sconosciuto perchè non ci sono stati ulteriori incidenti che hanno seguito lo stesso modello e quindi non c’è stata nessuna individuazione del malware da parte della protezione proattiva di  Kaspersky Lab.
  • Wiper è stato molto efficace e può avere portato alla creazione di “nuove varianti” come Shamoon.

Analisi dei computer attaccati da Wiper

L’analisi di Kaspersky Lab delle immagini degli hard disk prese dalle macchine distrutte da Wiper ha dimostrato che il programma nocivo cancellava gli hard disk dei computer e distruggeva tutti i dati che potevano essere utilizzati per identificare il malware. Il file system danneggiato da Wiper impediva il rebooting del computer e causava problemi di funzionamento. Quindi, in ogni singola macchina analizzata, non rimaneva nulla dopo l’attivazione di Wiper e non era quindi possibile ripristinare il sistema o recuperare i dati. 
I ricercatori di Kaspersky Lab hanno comunque ottenuto alcuni dati interessanti, come la metodologia di cancellazione utilizzata dal malware, la nomenclatura e, in alcuni casi, le chiavi di registro che rivelavano i precedenti nomi dei file che erano stati cancellati dall’hard disk. Queste chiavi di registro mostravano tutte un nome del file che iniziava con ~D.

Metodologia di cancellazione unica


L’analisi della metodologia di cancellazione svelava un metodo utilizzato su ogni computer infettato da Wiper. L’algoritmo di Wiper è stato realizzato per distruggere velocemente quanti più file possibile, fino a molti gigabytes contemporaneamente. Circa tre delle quattro macchine hanno avuto i dati completamente cancellati. Nel corso dell’operazione veniva cancellata la prima metà dell’hard disk e poi sistematicamente venivano cancellati i rimanenti dati che consentivano all’hard disk di funzionare correttamente, quindi il sistema andava in crash.  Inoltre, siamo a conoscenza di attacchi Wiper che avevano come obiettivo file PNF e questo non avrebbe senso se non fosse direttamente correlato con la rimozione di ulteriori componenti malware. Questo è stato un risultato molto interessante, dal momento che Duqu e Stuxnet hanno mantenuto il proprio codice principale criptato nei file PNF.

Come la ricerca di Wiper ha portato alla scoperta di Flame

 

I file temporanei (TMP) che iniziavano con ~D, erano utilizzati anche da Duqu che era stato costruito sulla stessa piattaforma di attacco di Stuxnet, Tilded. Sulla base di questo indizio, il team di ricercatori ha iniziato a cercare altri potenziali file name sconosciuti collegati a Wiper e basati sulla piattaforma Tilded attraverso KSN, l’infrastruttura cloud utilizzata dai prodotti Kaspersky Lab per riportare dati di telemetria e garantire protezione immediata sotto forma di black list e regole euristiche che intercettano ogni nuova minaccia. Durante questo procedimento, i ricercatori di Kaspersky Lab hanno individuato molti computer nell’Asia occidentale che contenevano il file name  “~DEB93D.tmp”. Questa è la modalità con cui Kaspersky Lab ha scoperto Flame; nonostante ciò, Wiper non è stato individuato utilizzando questa metodologia e rimane tuttora non identificato. 

Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha dichiarato: “Sulla base delle nostre analisi sui modelli di Wiper rimasti sulle immagini degli hard disk esaminati, non c’è alcun dubbio che il malware è esistito e che sia stato utilizzato per attaccare i computer nell’Asia occidentale nell’aprile del 2012 e forse anche prima, nel dicembre 2011. Nonostante Flame sia stato scoperto durante la ricerca di Wiper, siamo convinti che Wiper sia un malware diverso da Flame. Il comportamento distruttivo di Wiper combinato con i file name che sono stati lasciati sui sistemi attaccati da Wiper ricordano molto il programma utilizzato dalla piattaforma Tilded. L’architettura modulare di Flame era completamente differente ed è stata realizzata per eseguire una campagna di cyber spionaggio. Non abbiamo inoltre identificato nessun comportamento distruttivo durante l’analisi di Flame”.
Per ulriori informazioni consultare Securelist.com.