Phần mềm độc hại bí ẩn Wiper có khả năng có kết nối với Stuxnet và Duqu

By Lucian Constantin,IDG-News-Service:Romania-Bureau

Aug 30, 2012 10:50 pm

Theo:http://www.pcworld.com/businesscenter/article/261651/mysterious_wiper_malware_possibly_connected_to_stuxnet_and_duqu_researchers_say.html

Bài đượcđưa lên Internet ngày: 30/08/2012

Lờingười dịch: Lại một phát hiện khác của Kaspersky Labtheo đơn đặt hàng của Liên đoàn Truyền thông Quốc tếITU. Đó là phần mềm độc hại với các tên Wiper (kẻlau chùi sạch): “Các nhà nghiên cứu của Kasperskyđã không có khả năng tìm ra phần mềm độc hại bí ẩnđó, nên đã đưa ra cái tên Wiper (kẻ lau chùi sạch),vì rất ít dữ liệu từ các ổ đĩa cứng bị lâynhiễm có khả năng phục hồi lại được”. Phântích Wiper, các nhà nghiên cứu của Kaspersky cho rằng cókhả năng Wiper là “một mẩu khác của câu đố lớnhơn chỉ tới một chiến dịch phá hoại KGM và gián điệpKGM do các nhà nước quốc gia chính tài trợ tại TrungĐông. Các nhà nghiên cứu của Kaspersky đã khẳng địnhrồi, dựa vào bằng chứng kỹ thuật, rằng Stuxnet,Duqu, Flame và Gauss có liên quan lẫn nhau”. Xem thêm:[01],[02].

Các nhà nghiên cứutừ Kaspersky Lab đã hé lộ thông tin gợi ý về một liênkết có khả năng giữa phần mềm độc hại bí ẩn đãtấn công vào các máy tính của bộ dầu khí Iran hồitháng 04/2012 và các mối đe dọa gián điệp không gianmạng (KGM) Stuxnet và Duqu.

Sau các báo cáo hồitháng 04 rằng cácdữ liệu đã bị phá hủy trên nhiều máy chủ tại Iran,có khả năng do một mẩu phần mềm độc hại mới, Liênđoàn Truyền thông Quốc tế ITU đã yêu cầu nhà cung cấpanh ninh Kaspersky Lab điều tra vụ việc.

Cácnhà nghiên cứu của Kaspersky đã không có khả năng tìmra phần mềm độc hại bí ẩn đó, nên đã đưa ra cáitên Wiper (kẻ lau chùi sạch), vì rất ít dữ liệu từcác ổ đĩa cứng bị lây nhiễm có khả năng phục hồilại được.

Tuy nhiên, điều tracủa họ đã dẫn tới việc phát hiện ra Flame và sau đólà Gauss, 2 mối đe dọa gián điệp KGM tinh vi phức tạpcao độ được tin tưởng đã được phát triển từ mộtnhà nước quốc gia.

Sau khi rà soát lạicác bit thông tin được trích xuất từ các ổ đĩa bịlây nhiễm, các nhà nghiên cứu của Kaspersky đã đi đếnkết luận rằng phần mềm độc hại Wiper quả thực đãtồn tại trong thực tế, rằng nó đã sử dụng mộtthuật toán lau sạch các dữ liệu tin vi và có hiệu quảvà rằng nó rất có khả năng không phải là một thànhphần của Flame.

“Chúng tôi bây giờcó thể nói với sự chắc chắn rằng các sự việc đãdiễn ra và rằng phần mềm độc hại đó có trách nhiệmvề những cuộc tấn công vào tháng 04/2012”, các nhànghiên cứu từ đội phân tích và nghiên cứu toàn cầucủa Kaspersky nói hôm thứ tư trongmột bài trên blog. “Hơn nữa, chúng tôi nhận thứcđược về một số sự việc rất tương tự đã diễnra kể tử tháng 12/2011”.

Thậm chí dù một sựkết nối tới Flame là chưa chắc, thì có một số bằngchứng gợi ý rằng Wiper có thể có liên quan tới Stuxnetvà Duqu.

Ví dụ, trong một ítcác ổ đĩa cứng được phân tích, các nhà nghiên cứuđã tìm ra manh mối của một dịch vụ được gọi làRAHDAUD64, nó tải lên các tệp có tên là ~DFXX.tmp -- trongđó XX là 2 chữ số ngẫu nhiên từ thư mụcC:\WINDOWS\TEMP.

Securityresearchers f-rom Kaspersky Lab have uncovered information suggestinga possible link between the mysterious malware that attacked Iranianoil ministry computers in April and the Stuxnet and Duqucyberespionage threats.

FollowingApril reports that datawas destroyed on multiple servers in Iran, possibly by a newpiece of malware, the International Telecommunication Uni-on (ITU)asked security vendor Kaspersky Lab to investigate the incidents.

Kaspersky'sresearchers were not able to find the mysterious malware, which wasgiven the name Wiper, because very little data f-rom the affected harddisk drives was recoverable.

However,their investigation led to the discovery of Flameand later Gauss,two highly sophisticated cyberespionage threats believed to have beendeveloped by a nation state.

Afterreviewing the bits of information extracted f-rom the affected harddrives, the Kaspersky researchers concluded that the Wiper malwaredid in fact exist, that it used a sophisticated and effective datawiping algorithm and that it was most likely not a Flame component.

"Wecan now say with certainty that the incidents took place and that themalware responsible for these attacks existed in April 2012,"researchers f-rom Kaspersky's global research and analysis team saidWednesday in a blogpost. "Also, we are aware of some very similar incidentsthat have taken place since December of 2011."

Eventhough a connection to Flame is unlikely, there is some evidencesuggesting that Wiper might be related to Stuxnet or Duqu.

Forexample, on a few of the hard drives analyzed, the researchers foundtraces of a service called RAHDAUD64 that loaded files named~DFXX.tmp -- whe-re XX are two random digits -- f-rom theC:\WINDOWS\TEMP folder.

“Ngay lúc chúng tôithấy điều này, chúng tôi ngay lập tức nhớ tới Duqu,nó đã sử dụng các tên tệp của định dạng này”,các nhà nghiên cứu nói. “Trên thực tế, cái tên Duqu donhà nghiên cứu Boldizsar Baencsath người Hungary của phòngthí nghiệm CrySyS đưa ra vì nó đã tạo ra các tệp cótên là ?~dqXX.tmp”.

Các nhà nghiên cứucủa Kaspersky đã khẳng định rằng cả Stuxnet và Duqu đãđược cùng một đội các lập trình viên phát triển, cósử dụng nền tảng y hệt nhau - gọi là Nền tảng Dấungã (Tilded Platform) vì phần mềm độc hại đã sử dụngcác tên tệp bắt đầu bằng dấu ngã “~”.

Các nhà nghiên cứucũng đã không có khả năng phục hồi các tệp ~DFXX.tmpvì chúng đã bị ghi đè bằng các dữ liệu rác trong quátrình phá hủy dữ liệu của Wiper.

Một liên kết có khảnăng khác với Stuxnet và Duqu là thực tế rằng Wiper hìnhnhư ưu tiên các tệp .PNF trong qui trình quét sạch các dữliệu của nó. Cả Duqu và Stuxnet đều đã giữ các thànhphần chính của chúng trong các tệp .PNF được mã hóa,các nhà nghiên cứu của Kaspersky nói.

Tuynhiên, nếu điều đó có liên quan, thì một mẩu khác củacâu đố lớn hơn chỉ tới một chiến dịch phá hoạiKGM và gián điệp KGM do các nhà nước quốc gia chính tàitrợ tại Trung Đông. Các nhà nghiên cứu của Kaspersky đãkhẳng định rồi, dựa vào bằng chứng kỹ thuật, rằngStuxnet, Duqu, Flame và Gauss có liên quan lẫn nhau.

Theo báo cáo trên tờNew York Time từ tháng 06 đã chỉ ra các nguồn nặc danh từbên trong chính quyền Obama, rằng Stuxnet đã được Mỹ vàIsrael cùng phát triển và từng là một phần của mộtchiến dịch bí mật có tên mã là các Trò chơi Olympic(Olympic Games).

"Themoment we saw this, we immediately recalled Duqu, which usedfilenames of this format," the researchers said. "In fact,the name Duqu was coined by the Hungarian researcher BoldizsarBencsath f-rom the CrySyS lab because it cre-ated files named?~dqXX.tmp."

Kaspersky'sresearchers had already established that both Stuxnet and Duqu werecre-ated by the same team of developers using the same platform --dubbed the Tilded Platform because the malware used files with namesstarting with the "~" (tilde) symbol.

Theresearchers were not able to recover the ~DFXX.tmp files because theyhad been overwritten with garbage data during Wiper's datadestruction routine.

Anotherpossible link to Stuxnet and Duqu is the fact that Wiper apparentlyprioritized .PNF files during its data wiping process. Both Duqu andStuxnet kept their main components in encrypted .PNF files, theKaspersky researchers said.

Theevidence found so far is not sufficiently solid to conclude withcertainty that Wiper is related to Stuxnet or Duqu and the truth maynever come to light unless a system is discovered whe-re Wiper's datadestruction routine somehow failed, the researchers said.

However,if it is related, then it's another piece of a larger puzzle thatpoints to a major nation-state-sponsored cyberespionage andcybersabotage operation in the Middle East. Kaspersky's researchershave already established, based on technical evidence, that Stuxnet,Duqu, Flame and Gauss are related to each other.

Accordingto a NewYork Times report f-rom June that cited unnamed sources f-romwithin the Obama administration, Stuxnet was jointly developed by theU.S. and Israel and was part of a secret operation code-named OlympicGames.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com