Novos dados da Kaspersky Lab sobre o Wiper, o malware destrutivo dirigido ao sector energético na Ásia

29 ago 2012
Notícias de Vírus

Em Abril de 2012 uma série de incidentes tornou público o aparecimento de um novo programa de malware destrutivo chamado Wiper, que estava a atacar os sistemas informáticos relacionados com uma série de refinarias de petróleo na parte Ocidental da Ásia. Em Maio de 2012, a equipa de investigação da Kaspersky Lab realizou uma investigação a pedido da agência das Nações Unidas para a Informação e Comunidades Tecnológicas (ITU), no sentido de pesquisar os factos e determinar a potencial ameaça deste novo malware que punha em cheque a sustentabilidade e a segurança mundiais.

Hoje, torna-se pública uma nova investigação dos analistas da Kaspersky Lab, depois de uma análise forense digital às imagens de disco rígido extraídas das máquinas atacadas pelo Wiper. A análise proporciona informação detalhada sobre o eficaz método utilizado pelo Wiper para a destruição dos sistemas informáticos, incluindo dados exclusivos de limpeza de padrões e comportamentos destrutivos. Apesar de a busca do Wiper ter levado à descoberta acidental do Flame, o Wiper em si não foi identificado.

Conclusões:

  • Kaspersky Lab confirma que o Wiper foi responsável pelos ataques lançados contra os sistemas informáticos da Ásia Ocidental entre 21 e 30 de Abril de 2012.
  • A análise às imagens do disco rígido dos computadores que foram destruídos pelo Wiper revela um padrão de dados de limpeza específico juntamente com um nome de determinado componente de malware, que começava com ~D. Estes resultados são uma reminiscência do Duqu e do Stuxnet, que também utilizam nomes de ficheiro que começam com ~D, e ambos foram construídos na mesma plataforma - conhecida como Tilded.
  • A Kaspersky Lab começou a procurar outros ficheiros que começassem com ~D através da Kaspersky Security Network (KSN) para tentar encontrar arquivos adicionais do Wiper baseados na ligação à plataforma Tilded.
  • Durante este processo, a Kaspersky Lab identificou um grande número de ficheiros no Oeste da Ásia, chamados Deb93d.tmp. Uma análise mais detalhada mostrou que este ficheiro era na realidade parte de outro tipo de malware: Flame. Foi assim que a Kaspersky Lab descobriu o Flame.
  • Apesar de o Flame ter sido descoberto durante a busca pelo Wiper, a equipa de investigação da Kaspersky Lab acha que o Wiper e o Flame são dois programas maliciosos separados e diferentes.
  • Apesar de a Kaspersky Lab analisar os rastos de infecção do Wiper, o malware continua a ser desconhecido porque não se registaram incidentes adicionais de limpeza que sigam o mesmo padrão.
  • O Wiper é muito eficaz e pode conduzir à criação de um novo malware de “imitação" destrutivo, como o Shamoon.

Análise forense aos computadores afectados

A análise da Kaspersky Lab às imagens de disco rígido extraídas das máquinas destruídas pelo Wiper mostrou que o programa malicioso limpou os discos dos sistemas de destino e destruiu todos os dados que poderiam ser utilizados para identificar o malware. O sistema de ficheiros corrompido pelo Wiper impedia o reinício dos equipamentos e levou a um mau funcionamento geral. Portanto, em cada máquina analisada, quase não restou nada após a activação do Wiper, incluindo a possibilidade de recuperar ou restaurar os dados. Além disso, a investigação da Kaspersky Lab revela informações valiosas sobre o padrão específico de limpeza utilizado pelo malware, juntamente com alguns nomes de componentes do malware e, nalguns casos, as chaves de registo que revelaram os nomes anteriores de ficheiros apagados do disco rígido. Estas chaves do registo apontavam para que o nome de ficheiro começasse com ~D.

Padrão único de limpeza

A análise ao padrão de varredura (wiping) do Wiper mostrou um método levado a cabo em cada máquina onde o malware foi activado. O algoritmo do Wiper foi desenhado para destruir rapidamente todos os ficheiros de forma eficaz, podendo incluir vários gigabytes ao mesmo tempo. Cerca de três em cada quatro máquinas seleccionadas tinham os seus dados completamente apagados, com uma operação que se centrou na destruição da primeira metade do disco e que depois limpava sistematicamente os restantes ficheiros que permitiram que o disco funcionasse correctamente, dando lugar a que o sistema finalmente falhasse. Além disso, sabemos que os ataques do Wiper se dirigem aos ficheiros específicos .PNF, o que poderia não querer dizer nada se não estivessem associados à eliminação de componentes maliciosos adicionais. Este foi também um achado interessante, já que o Duqu e o Stuxnet mantiveram o seu corpo principal encriptado em ficheiros .PNF.

Como a busca pelo Wiper levou à descoberta do Flame

Os arquivos temporários (TMP) que começam com ~D também foram utilizados pelo Duqu, que foi construído, tal como o Stuxnet, na plataforma de ataque Tilded. A partir daqui, a equipa de investigação da Kaspersky Lab começou a procurar outros nomes de ficheiros potencialmente desconhecidos relacionados com o Wiper e baseados na plataforma Tilded utilizando a KSN, que é a infra-estrutura cloud utilizada pela Kaspersky Lab para oferecer uma protecção instantânea em forma de listas negras e regras heurísticas desenhadas para “apanhar” as ameaças mais recentes.

Durante este processo, a equipa de investigação da Kaspersky Lab descobriu que vários computadores na Ásia ocidental continham o nome de arquivo "“Deb93d.tmp". Foi assim que a Kaspersky Lab descobriu o Flame. No entanto, o próprio Wiper não está ainda identificado.

Alexander Gostev, investigador chefe de segurança da Kaspersky Lab, afirma: "Baseando-nos na análise aos padrões do Wiper e depois de examinarmos imagens do disco rígido, não temos dúvidas de que o malware existiu e foi utilizado para atacar os sistemas informáticos no oeste da Ásia em Abril de 2012, e provavelmente até antes - em Dezembro de 2011. Apesar de termos descoberto o Flame durante a busca pelo Wiper, achamos que o Wiper não é o Flame, mas um tipo diferente de malware. O comportamento destrutivo do Wiper, combinado com os nomes dos ficheiros que foram apagados nos sistemas, assemelha-se muito ao programa que utiliza a plataforma Tilded. A arquitectura modular do Flame era completamente diferente e foi desenhada para executar uma sustentada e exaustiva campanha de ciber-espionagem. Mas não se identificou nenhum comportamento destrutivo que fosse utilizado pelo Wiper durante a nossa análise ao Flame".

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.