Connect with us

Software

Novos dados da Kaspersky Lab sobre o Wiper

Bruno Fonseca

Publicado a

Em Abril de 2012 uma série de incidentes tornou público o aparecimento de um novo programa de malware destrutivo chamado Wiper, que estava a atacar os sistemas informáticos relacionados com uma série de refinarias de petróleo na parte Ocidental da Ásia. Em Maio de 2012, a equipa de investigação da Kaspersky Lab realizou uma investigação a pedido da agência das Nações Unidas para a Informação e Comunidades Tecnológicas (ITU), no sentido de pesquisar os factos e determinar a potencial ameaça deste novo malware que punha em cheque a sustentabilidade e a segurança mundiais.

Agora, torna-se pública uma nova investigação dos analistas da Kaspersky Lab, depois de uma análise forense digital às imagens de disco rígido extraídas das máquinas atacadas pelo Wiper. A análise proporciona informação detalhada sobre o eficaz método utilizado pelo Wiper para a destruição dos sistemas informáticos, incluindo dados exclusivos de limpeza de padrões e comportamentos destrutivos. Apesar de a busca do Wiper ter levado à descoberta acidental do Flame, o Wiper em si não foi identificado.

Conclusões:

• Kaspersky Lab confirma que o Wiper foi responsável pelos ataques lançados contra os sistemas informáticos da Ásia Ocidental entre 21 e 30 de Abril de 2012.

• A análise às imagens do disco rígido dos computadores que foram destruídos pelo Wiper revela um padrão de dados de limpeza específico juntamente com um nome de determinado componente de malware, que começava com ~D. Estes resultados são uma reminiscência do Duqu e do Stuxnet, que também utilizam nomes de ficheiro que começam com ~D, e ambos foram construídos na mesma plataforma – conhecida como Tilded.

• A Kaspersky Lab começou a procurar outros ficheiros que começassem com ~D através da Kaspersky Security Network (KSN) para tentar encontrar arquivos adicionais do Wiper baseados na ligação à plataforma Tilded.

• Durante este processo, a Kaspersky Lab identificou um grande número de ficheiros no Oeste da Ásia, chamados Deb93d.tmp. Uma análise mais detalhada mostrou que este ficheiro era na realidade parte de outro tipo de malware: Flame. Foi assim que a Kaspersky Lab descobriu o Flame.

• Apesar de o Flame ter sido descoberto durante a busca pelo Wiper, a equipa de investigação da Kaspersky Lab acha que o Wiper e o Flame são dois programas maliciosos separados e diferentes.

• Apesar de a Kaspersky Lab analisar os rastos de infecção do Wiper, o malware continua a ser desconhecido porque não se registaram incidentes adicionais de limpeza que sigam o mesmo padrão.

• O Wiper é muito eficaz e pode conduzir à criação de um novo malware de “imitação” destrutivo, como o Shamoon.

Análise forense aos computadores afectados

A análise da Kaspersky Lab às imagens de disco rígido extraídas das máquinas destruídas pelo Wiper mostrou que o programa malicioso limpou os discos dos sistemas de destino e destruiu todos os dados que poderiam ser utilizados para identificar o malware. O sistema de ficheiros corrompido pelo Wiper impedia o reinício dos equipamentos e levou a um mau funcionamento geral. Portanto, em cada máquina analisada, quase não restou nada após a activação do Wiper, incluindo a possibilidade de recuperar ou restaurar os dados.

Além disso, a investigação da Kaspersky Lab revela informações valiosas sobre o padrão específico de limpeza utilizado pelo malware, juntamente com alguns nomes de componentes do malware e, nalguns casos, as chaves de registo que revelaram os nomes anteriores de ficheiros apagados do disco rígido. Estas chaves do registo apontavam para que o nome de ficheiro começasse com ~D.

Padrão único de limpeza

A análise ao padrão de varredura (wiping) do Wiper mostrou um método levado a cabo em cada máquina onde o malware foi activado. O algoritmo do Wiper foi desenhado para destruir rapidamente todos os ficheiros de forma eficaz, podendo incluir vários gigabytes ao mesmo tempo. Cerca de três em cada quatro máquinas seleccionadas tinham os seus dados completamente apagados, com uma operação que se centrou na destruição da primeira metade do disco e que depois limpava sistematicamente os restantes ficheiros que permitiram que o disco funcionasse correctamente, dando lugar a que o sistema finalmente falhasse. Além disso, sabemos que os ataques do Wiper se dirigem aos ficheiros específicos .PNF, o que poderia não querer dizer nada se não estivessem associados à eliminação de componentes maliciosos adicionais. Este foi também um achado interessante, já que o Duqu e o Stuxnet mantiveram o seu corpo principal encriptado em ficheiros .PNF.

Como a busca pelo Wiper levou à descoberta do Flame

Os arquivos temporários (TMP) que começam com ~D também foram utilizados pelo Duqu, que foi construído, tal como o Stuxnet, na plataforma de ataque Tilded. A partir daqui, a equipa de investigação da Kaspersky Lab começou a procurar outros nomes de ficheiros potencialmente desconhecidos relacionados com o Wiper e baseados na plataforma Tilded utilizando a KSN, que é a infra-estrutura cloud utilizada pela Kaspersky Lab para oferecer uma protecção instantânea em forma de listas negras e regras heurísticas desenhadas para “apanhar” as ameaças mais recentes.

Durante este processo, a equipa de investigação da Kaspersky Lab descobriu que vários computadores na Ásia ocidental continham o nome de arquivo ““Deb93d.tmp”. Foi assim que a Kaspersky Lab descobriu o Flame. No entanto, o próprio Wiper não está ainda identificado.

Alexander Gostev, investigador chefe de segurança da Kaspersky Lab, afirma: “Baseando-nos na análise aos padrões do Wiper e depois de examinarmos imagens do disco rígido, não temos dúvidas de que o malware existiu e foi utilizado para atacar os sistemas informáticos no oeste da Ásia em Abril de 2012, e provavelmente até antes – em Dezembro de 2011. Apesar de termos descoberto o Flame durante a busca pelo Wiper, achamos que o Wiper não é o Flame, mas um tipo diferente de malware. O comportamento destrutivo do Wiper, combinado com os nomes dos ficheiros que foram apagados nos sistemas, assemelha-se muito ao programa que utiliza a plataforma Tilded. A arquitectura modular do Flame era completamente diferente e foi desenhada para executar uma sustentada e exaustiva campanha de ciber-espionagem. Mas não se identificou nenhum comportamento destrutivo que fosse utilizado pelo Wiper durante a nossa análise ao Flame”.

Fundador da Leak, estreou-se no online em 1999 quando criou a CDRW.co.pt. Deu os primeiros passos no mundo da tecnologia com o Spectrum 48K e nunca mais largou os computadores. É viciado em telemóveis, tablets e gadgets.

Clique para comentar

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.

Publicidade

Últimas Notícias

Notícias2 horas atrás

Bizdirect é o parceiro do ano da Microsoft Portugal em CRM

Decorre esta semana mais uma edição do Inspire, o evento anual da Microsoft Corporation dedicado ao ecossistema mundial de parceiros...

Notícias8 horas atrás

Tecnologia de reconhecimento da íris da NEC no 1º lugar nos testes do NIST

A NEC Corporation anunciou que a sua tecnologia de reconhecimento de íris alcançou a mais alta avaliação de precisão de...

Notícias8 horas atrás

QNAP completa gama NAS de 9 baías com NAS multimédia TVS-951X

Após o lançamento da série TS-932X (equipada com um CPU da AnnapurnaLabs) e da série TS-963X (equipada com um CPU da AMD), a QNAP...

Notícias1 dia atrás

Sage partilha cinco dicas para acelerar o crescimento do negócio

Existe atualmente nas empresas a necessidade constante de continuarem a reposicionar-se e a reformular as suas estratégias na procura pelo...

Notícias1 dia atrás

CGI Open Finance permite impulsionar e alargar o novo ecossistema bancário

A CGI anuncia o lançamento da CGI Open Finance, uma solução criada para a nova vaga de serviços bancários digitais...

Notícias1 dia atrás

MetLife seleciona LUCEP como vencedora do desafio Collab 3.0 EMEA

A MetLife anuncia a eleição da Lucep como a startup vencedora do seu programa de inovação global COLAB 3.0 EMEA,...

Notícias1 semana atrás

Dell EMC oferece às médias empresas uma proteção de dados simples e poderosa ao menor custo

A Dell EMC anuncia a sua mais recente solução Integrated Data Protection Appliance (IDPA). Trata-se do novo Dell EMC IDPA...

Notícias1 semana atrás

Visa eleita ‘Marca de Confiança’ pelos portugueses

A Visa, foi considerada a “Marca de Confiança” dos portugueses na categoria de “Cartões de Crédito”, gerando o maior grau...