Mysterieuze wisser-malware mogelijk verbonden met Stuxnet en Duqu, onderzoekers zeggen

Na de aprilrapporten die gegevens werden vernietigd op meerdere servers in Iran, mogelijk door een nieuw stuk malware, de International Telecommunication Union (ITU) vroeg beveiligingsleverancier Kaspersky Lab om de incidenten te onderzoeken.

Kaspersky's onderzoekers konden de mysterieuze malware niet vinden, die kreeg de naam Wiper, omdat heel weinig gegevens van de getroffen harde schijven herstelbaar waren.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Hun onderzoek leidde echter tot de ontdekking van Flame en later Gauss, twee zeer geavanceerde cyberespionagedreigingen waarvan wordt aangenomen dat ze zijn ontwikkeld door een nationale staat.

Na beoordeling de stukjes informatie die zijn geëxtraheerd uit de getroffen harde schijven, concludeerden de onderzoekers van Kaspersky dat de Wiper-malware inderdaad bestond, dat het een geavanceerd en effectief algoritme gebruikte voor het wissen van gegevens en dat het waarschijnlijk geen vlamcomponent was.

"We kan nu met zekerheid zeggen dat de incidenten plaatsvonden en dat de malware die verantwoordelijk was voor deze aanvallen bestond in april 2012, "zeiden onderzoekers van Kaspersky's wereldwijde onderzoeks- en analyseteam woensdag in een blogpost. "We zijn ons ook bewust van enkele zeer vergelijkbare incidenten die sinds december 2011 hebben plaatsgevonden."

Hoewel een verband met Flame onwaarschijnlijk is, zijn er aanwijzingen dat Wiper verband zou kunnen houden met Stuxnet of Duqu.

Op enkele van de geanalyseerde harde schijven vonden de onderzoekers bijvoorbeeld sporen van een dienst genaamd RAHDAUD64 die bestanden met de naam ~ DFXX.tmp - waarbij XX twee willekeurige cijfers zijn - geladen vanuit de map C: WINDOWS TEMP.

"Op het moment dat we dit zagen, herinnerden we ons onmiddellijk aan Duqu, die bestandsnamen van dit formaat gebruikte", aldus de onderzoekers. "In feite werd de naam Duqu bedacht door de Hongaarse onderzoeker Boldizsar Bencsath van het CrySyS-lab omdat het bestanden creëerde met de naam? ~ DqXX.tmp ??."

Kaspersky's onderzoekers hadden al vastgesteld dat zowel Stuxnet als Duqu werden gecreëerd door de hetzelfde team van ontwikkelaars dat hetzelfde platform gebruikt - het Tilded Platform genoemd omdat de malware bestanden gebruikte met namen die met het "~" (tilde) -symbool begonnen.

De onderzoekers konden de ~ DFXX.tmp-bestanden niet herstellen omdat ze was overschreven met afvalgegevens tijdens Wiper's datavernietigingsroutine.

Een andere mogelijke link naar Stuxnet en Duqu is het feit dat Wiper klaarblijkelijk prioriteit gaf aan .PNF-bestanden tijdens het wissen van gegevens. Zowel Duqu als Stuxnet behielden hun hoofdcomponenten in gecodeerde .PNF-bestanden, zeiden de onderzoekers van Kaspersky.

Het bewijsmateriaal dat tot nu toe is gevonden, is niet voldoende solide om met zekerheid te concluderen dat Wiper verwant is met Stuxnet of Duqu en dat de waarheid nooit zal komen licht tenzij een systeem wordt ontdekt waar de gegevensvernietigingsroutine van Wiper op de een of andere manier faalde, zeiden de onderzoekers.

Maar als het gerelateerd is, dan is het een ander stuk van een grotere puzzel die wijst op een grote nationale-staat-gesponsorde cyberspionage en cybersabotage operatie in het midden Oosten. Kaspersky's onderzoekers hebben op basis van technisch bewijsmateriaal al vastgesteld dat Stuxnet, Duqu, Flame en Gauss aan elkaar gerelateerd zijn.

Volgens een New York Times-rapport van juni dat niet-benoemde bronnen citeerde uit de regering-Obama, was Stuxnet samen ontwikkeld door de VS en Israël en maakte deel uit van een geheime operatie met de codenaam Olympische Spelen.