كاسبرسكي لاب تنشر بحثها الجديد حول Wiper

وقعت سلسلة من الأحداث، في أبريل 2012 تسبب بها ظهور برنامح خبيث مدمر أطلق عليه اسم Wiper

السمات: الجرائم الرقميةKaspersky Lab
  • E-Mail
كاسبرسكي لاب تنشر بحثها الجديد حول Wiper (Getty Images)
 رياض ياسمينة بقلم  September 1, 2012 منشورة في 

نشر خبراء كاسبرسكي لاب النتائج التي توصلوا إليها خلال التحليل القضائي الرقمي لملفات النسخ الاحتياطي للقرص الصلب والتي حصلوا عليها من الآلات التي هاجمها Wiper.

حيث وقعت سلسلة من الأحداث، في أبريل 2012 تسبب بها ظهور برنامح خبيث مدمر أطلق عليه اسم Wiper، والذي كان يهاجم أنظمة الحاسب التابعة لعدد من الشركات العاملة في قطاع النفط بغرب آسيا. في مايو 2012 أجرى فريق كاسبرسكي لاب بحثا بمبادرة من الاتحاد الدولي للاتصالات لتحري الأحداث وتحديد التهديدات المحتملة من هذا البرنامج الخبيث الجديد نظرا لتأثيره على الاستقرار والأمن في العالم.

ويوفر التحليل نظرة شاملة حول أسلوب Wiper عالي الفعالية في إفساد أنظمة الحاسب بما فيها خاصية حذف البيانات الفريدة وسلوكه المدمر. وعلى الرغم من أن البحث عن Wiper أدى إلى اكتشاف Flame إلا أن Wiper نفسه لم يكتشف حتى الآن. وفي الوقت نفسه على ما يبدو أن طريقة Wiper الفعالة في تدمير الآلات قد شجعت المقلدين على إنشاء برنامج خبيث مدمر كـShamoon الذي ظهر في أغسطس 2012.

خلاصة النتائج

  • كاسبرسكي لاب تؤكد أن Wiper كان مسؤولا عن الهجمات التي أطلقت في أنظمة الحاسب في غرب آسيا في الفترة من 21 ولغاية 30 أبريل 2012.

  • كشف تحليل ملفات النسخ الاحتياطي للقرص الصلب في الحواسب التي استهدفها Wiper عن خاصية حذف البيانات ذي طبيعة خاصة بالإضافة إلى عنوان المكون الخبيث الذي يبدأ بـ~D. وهذا يذكرنا بـDuqu وStuxnet حيث استخدمت في هذين الهجومين ملفات تبدأ عناوينها بـ~D، وقد بني كل منهما على منصة هجومية واحدة تعرف بـTilded.
  • بدأت كاسبرسكي لاب البحث عن ملفات أخرى تبدأ بـ~D عبر شبكة كاسبرسكي للأمان لإيجاد ملفات إضافية لـWiper المعتمدة على منصة Tilded.

  • خلال عملية البحث شخصت كاسبرسكي لاب عددا ملموسا من الملفات في منطقة غرب آسيا أطلق عليها اسم ~DEB93D.tmp. واظهر التحليل أن الملف كان جزءا من Flame. وهكذا اكتشفت كاسبرسكي لاب Flame.
  • على الرغم من أن Flame اكتشف خلال البحث عن Wiper، إلا أن الفريق البحثي بكاسبرسكي لاب يعتقد أن Wiper وFlame برنامجان خبيثان مستقلان.

  • مع ان كاسبرسكي لاب أجرت تحليلا لآثار عدوى Wiper، إلا أن البرنامج الخبيث لا يزال مجهولا نظرا لعدم وقوع حالات إضافية من الحذف فيما بعد كما لم تكتشف حماية كاسبرسكي لاب الاستباقية أية برمجيات خبيثة.
  • وقد أثبت Wiper فعاليته العالية حيث بإمكانه ان يسخّر برمجيات أخرى لإنشاء برمجيات جديدة، يستنسخ أنواعا من برمجيات مدمرة كـShamoon.

دراسة الحواسب المستهدفة

بين تحليل كاسبرسكي لاب لملفات النسخ الاحتياطي للقرص الصلب، أخذت من الآلات التي هاجمها Wiper أنه "نظف" الأقراص الصلبة للأنظمة المستهدفة وتخلص من جميع البيانات التي قد تقود إلى اكتشاف البرنامج الخبيث. أدى إفساد Wiper للنظام إلى منع الحواسب من إعادة الإطلاق وسبب خللا في أداء وظائفها. وبذلك لم يبق في الآلات المتضررة أي شيء بعد نشاط Wiper، كما ولن يتسن استعادة اية بيانات.

غير أن بحث كاسبرسكي لاب توصل إلى نظام الحذف الخاص الذي استخدم من قبل البرنامج الخبيث إلى جانب أسماء المكون الخبيث وفي بعض الأحيان مفاتيح التسجيل التي كشفت عن أسماء الملفات السابقة المحذوفة من القرص الصلب. وقد أشارت جميع هذه المفاتيح إلى أسماء الملفات تبدأ بـ~D.

نمط حذف فريد من نوعه

بين تحليل خاصية الحذف أن أسلوبا متتابعا استخدم في كل آلة تم تفعيل Wiperعليها. وصممت خورازمية Wiper بحيث تقوم بإفساد أكبر قدر من الملفات والتي بالإمكان أن تتضمن عدة جيجابايت في نفس الوقت. نحو 3 آلات من أصل 4 قد فقدت جميع البيانات وقد تم التركيز خلال عملية المحو على إفساد النصف الأول من القرص ثم محو الملفات المتبقية نظاميا ما سمح للقرص بالعمل وبعد ذلك التسبب في انهيار النظام كليا. إضافة إلى ذلك نحن على علم بهجمات Wiper  التي استهدف فيها ملفات PNF، والتي لا جدوى منها إذا لم تكن متعلقة بإزالة مكونات إضافية للبرمجيات الخبيثة. وهذا اكتشاف مثير للاهتمام كون Duqu وStuxnet يحتفظان ببنيتيهما الأساسيتين في ملفات PNF.

كيف أدى البحث عن Wiper إلى اكتشاف Flame

لقد استخدمت الملفات المؤقتة التي تبدأ بـ~D في Duqu والذي يعتمد على نفس منصة الهجمات لـStuxnet وهي منصة Tilded. اعتمادا على هذا الدليل، بدأ فريق كاسبرسكي لاب في البحث عن اسماء ملفات غير معروفة تابعة لـWiper والمعتمدة على منصة Tilded  باستخدام شبكة كاسبرسكي للأمان والتي عبارة عن بنية تحتية مستندة إلى تقنية الحوسبة السحابية تستخدم من قبل منتجات كاسبرسكي لاب في جمع المعلومات عن بعد وتوفير الحماية الفورية على شكل قوائم سوداء وقواعد الاستكشاف التجريبي للتخلص من أحدث التهديدات والمخاطر. خلال هذه العملية وجد فريق كاسبرسكي لاب البحثي أن عددا من الحواسب في غرب آسيا تضمنت اسم ملف ~DEF983D.tmp. وبهذه الطريقة اكتشفت كاسبرسكي لاب Flame. إلا أن Wiper لن يكتشف بهذه الطريقة ولا يزال مجهولا.

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code