קרספרסקי: כך גילינו את פליים במקרה

Google+ Pinterest LinkedIn Tumblr +

קספרסקי מפרסמת דוח חדש אודות Wiper – הקוד הזדוני הקטלני שפגע במערכות מחשבים במהלך אפריל 2012 – ואשר המחקר אודותיו הוביל לגילוי הפליים.

באפריל 2012 דווח על סדרה של אירועים אודות קוד זדוני הרסני הנקרא Wiper (ווייפר), אשר תקף מערכות מחשבים הקשורות במספר מתקני נפט במערב אסיה. במאי 2012, צוות המחקר של קספרסקי ביצע מחקר ביוזמת איגוד הטלקום הבינלאומי (International Telecommunications Union) על מנת להסיק מהו פוטנציאל האיום מקוד זדוני חדש זה, מאחר והוא קשור ליכולת שימור הפעילות וההגנה הבינלאומית.

מומחי קספרסקי פרסמו את תוצאות המחקר שעלו מניתוח מעבדה של תמונות הדיסק הקשיח אשר חולצו מהמערכות המותקפות על ידי ווייפר.

הניתוח מספק תובנות לגבי יעילות שיטות העבודה של ווייפר להריסת מערכות המחשוב, כולל תבנית המחיקה הייחודית שלו וההתנהגות ההרסנית. למרות שתוצאה בלתי מכוונת של החיפוש אחר ווייפר הייתה הגילוי של Flame, ווייפר עצמו לא התגלה במהלך המחקר והוא עדיין בגדר בלתי מזוהה. יחד עם זאת, ייתכן שההרסניות היעילה של ווייפר עודדה חקיינים ליצור קוד זדוני כגון Shamoon, אשר הופיע באוגוסט 2012.

תקציר הממצאים

–          קספרסקי מאשרת כי ווייפר היה אחראי להתקפה נגד מערכות מחשבים במערב אסיה במהלך התקופה 21-30 באפריל 2012.

–          ניתוח תמונות הדיסק הקשיח במחשבים שהושמדו על ידי ווייפר גילה תבנית מחיקת מידע ייחודית באמצעות רכיב קוד זדוני שהחל בסימול ~D . ממצאים אלה מזכירים את Duqu ו- Stuxnet, שגם הם עשו שימוש בקבצים המתחילים ב- ~D, ונבנו על בסיס אותה פלטפורמת התקפה הידועה בשם Tilded.

–          קספרסקי החלה את המחקר אחר קבצים אחרים המתחילים ב- ~D באמצעות רשת האבטחה של קספרסקי, כדי לנסות ולאתר קבצים נוספים של ווייפר בהסתמך על הקשר לפלטפורמת Tilded.

–          במהלך תהליך זה, קספרסקי זיהתה מספר גדול של קבצים במערב אסיה הנקראים ~DEB93D. ניתוח נוסף הראה כי קובץ זה הוא למעשה חלק מסוג אחר של קוד זדוני, וכך התרחש הגילוי המקרי של Flame.

–          למרות ש- Flame התגלה במהלך החיפוש אחר Wiper, צוות המחקר של קספרסקי מאמין כי Wiper ו- Flame הם תוכנות קוד זדוני נפרדות לחלוטין.

–          למרות שמעבדות קספקסקי ביצעו ניתוח עקבות של פעילות ווייפר, הקוד הזדוני עדיין אינו מזוהה מאחר ולא התרחשו אירועי מחיקה נוספים על פי אותה תבנית עבודה, ולא התרחש זיהוי של הקוד הזדוני במערכת ההגנה הפרו אקטיבית של קספרסקי.

–          ווייפר היה יעיל במיוחד, וייתכן שעודד אחרים ליצור "קופיקאט" של הקוד הזדוני, כגון Shamoon.

ניתוח מעבדה של מחשבים שנמחקו

הניתוח הדיסק הקשיח שחולץ מהמחשבים שנהרסו על ידי קספרסקי, מראה כי הקוד הזדוני ווייפר מחק את הדיסק הקשיח והרס את כל המידע שהיה יכול לשמש כדי לזהות את הקוד הזדוני. מערכת הקבצים הושחתה על ידי ווייפר כדי למנוע ממחשבים לבצע אתחול אשר יצר חוסר תפקוד כללי. לכן, בכל מחשב שנותח כמעט ולא נותר דבר לאחר הפעלת ווייפר, כולל הסיכוי לשחזר מידע.

למרות זאת, המחקר של קספרסקי גילה תובנות יקרות ערך אודות תבנית המחיקה הייחודית הנמצאת בשימוש על ידי הקוד הזדוני, לצד שמות קוד זדוני, ובמקרים מסויימים Registry Keys שחשפו שמות קבצים קודמים שנמחקו מהדיסק הקשיח. כל הנתונים שחולצו הצביעו אל קבצים שהחלו ב- ~D.

תבניות מחיקה ייחודיות

ניתוח של תבניות מחיקה הראו את התבנית האחידה שהופעלה בכל אחד מהמחשבים בהם פעל הווייפר. האלגוריתם של ווייפר תוכנן כדי להרוס במהירות קבצים רבים ככל הניתן, ברמה של גיגה בייט רבים בכל פעם. בשלושה מתוך ארבעה מחשבים שנפגעו נמחקו כל הנתונים לחלוטין, כשהפעילות מתמקדת בהריסת החלק הראשון של הדיסק, ואז בהדרגה מחיקת כל הקבצים הנותרים שמאפשרים לדיסק לעבוד, עד לקריסת המערכת. בנוסף, קספרסקי מודעים להתקפות ווייפר שכוונו אל קבצי PNF, עובדה שהייתה חסרת משמעות אלמלא הייתה קשורה להסרה של רכיבי קוד זדוני נוספים. הדבר גם מהווה ממצא מעניין מאחר ו- Duqu ו- Stuxnet שומרים את הקוד המרכזי שלהם מוצפן בקבצי PNF.

כיצד המרדף אחר Wiper הוביל לגילוי של Flame

שימוש קבצים זמניים (TMP) המתחילים ב- ~D נעשה על ידי Duqu, אשר כמו Stuxnet, נבנה על  פלטפורמת ההתקפה Tilded. בהתבסס על רמז זה, צוות המחקר החל לחפש אחר קבצים בלתי מוכרים הקשורים לווייפר ולפלטפורמת ה- Tilded. החיפוש נערך ב- KSN, תשתית הענן בה פתרונות קספרסקי עושים שימוש כדי לדווח נתונים ולספק הגנה מיידית מאיומים חדשים באמצעות Blacklists וחוקים. במהלך תהליך זה צוות המחקר של קספרקסי מצא מספר מחשבים במערב אסיה שהכילו את הקובץ ~DEF983D.tmp. כך גילו בקספרסקי את Flame. ועדיין, ווייפר לא התגלה באמצעות שיטה זאת והוא עדיין בגדר "אינו ידוע".

אלכסנדר גוסטב, חוקר ראשי בקספרסקי, אמר: "בהתבסס על הניתוח שלנו של התבניות שווייפר השאיר על הדיסקים הקשיחים, אין ספק כי הקוד הזדוני היה בשימוש לתקיפת מחשבים במהלך אפריל 2012 במערב אסיה, וייתכן אף קודם לכך במהלך דצמבר 2011. למרות שגילנו את Flame במהלך המחקר אחר ווייפר, אנו מאמינים כי ווייפר לא היה Flame אלה קוד זדוני נפרד. ההתנהגות ההרסנית של ווייפר בשילוב עם שמות הקבצים שנותרו על הדיסקים הקשיחים במחשבים שנהרסו, דומים מאוד לתוכנות הפועלות על פלטפורמת ה- Tilded. הארכיטקטורה המודולארית של Flame הייתה שונה לחלוטין ותוכננה על מנת להפעיל פעילות ריגול מתמשכת. במהלך המחקר של Flame, גם לא הצלחנו לזהות התנהגות הרסנית דומה לווייפר.

המחקר המלא מופיעה ב- Securelist

שתף.

.