تخطي إلى المحتوى الرئيسي

كاسبرسكي لاب تنشر بحثها الجديد حول Wiper، البرنامج المدمر لأنظمة الحاسب ظهر في أبريل 2012

٢٩ أغسطس ٢٠١٢

في أبريل 2012، وقعت سلسلة من الأحداث، تسبب بها ظهور برنامح خبيث مدمر أطلق عليه اسم Wiper، والذي كان يهاجم أنظمة الحاسب التابعة لعدد من الشركات العاملة في قطاع النفط بغرب آسيا. في مايو 2012 أجرى فريق كاسبرسكي لاب بحثا بمبادرة من الاتحاد الدولي للاتصالات لتحري الأحداث وتحديد التهديدات المحتملة من هذا البرنامج الخبيث الجديد نظرا لتأثيره على الاستقرار والأمن في العالم.

واليوم ينشر خبراء كاسبرسكي لاب النتائج التي توصلوا إليها خلال التحليل القضائي الرقمي لملفات النسخ الاحتياطي للقرص الصلب والتي حصلوا عليها من الآلات التي هاجمها Wiper.

ويوفر التحليل نظرة شاملة حول أسلوب Wiper عالي الفعالية في إفساد أنظمة الحاسب بما فيها خاصية حذف البيانات الفريدة وسلوكه المدمر. وعلى الرغم من أن البحث عن Wiper أدى إلى اكتشاف Flame إلا أن Wiper نفسه لم يكتشف حتى الآن. وفي الوقت نفسه على ما يبدو أن طريقة Wiper الفعالة في تدمير الآلات قد شجعت المقلدين على إنشاء برنامج خبيث مدمر كـShamoon الذي ظهر في أغسطس 2012.

خلاصة النتائج:

  • كاسبرسكي لاب تؤكد أن Wiper كان مسؤولا عن الهجمات التي أطلقت في أنظمة الحاسب في غرب آسيا في الفترة من 21 ولغاية 30 أبريل 2012.
  • كشف تحليل ملفات النسخ الاحتياطي للقرص الصلب في الحواسب التي استهدفها Wiper عن خاصية حذف البيانات ذي طبيعة خاصة بالإضافة إلى عنوان المكون الخبيث الذي يبدأ بـD ~. وهذا يذكرنا بـDuqu وStuxnet حيث استخدمت في هذين الهجومين ملفات تبدأ عناوينها بـ~D، وقد بني كل منهما على منصة هجومية واحدة تعرف بـTilded.
  • بدأت كاسبرسكي لاب البحث عن ملفات أخرى تبدأ بـD ~ عبر شبكة كاسبرسكي للأمان لإيجاد ملفات إضافية لـWiper المعتمدة على منصة Tilded.
  • خلال عملية البحث شخصت كاسبرسكي لاب عددا ملموسا من الملفات في منطقة غرب آسيا أطلق عليها اسم DEB93D.tmp ~. واظهر التحليل أن الملف كان جزءا من Flame. وهكذا اكتشفت كاسبرسكي لاب Flame.
  • على الرغم من أن Flame اكتشف خلال البحث عن Wiper، إلا أن الفريق البحثي بكاسبرسكي لاب يعتقد أن Wiper وFlame برنامجان خبيثان مستقلان.
  • مع ان كاسبرسكي لاب أجرت تحليلا لآثار عدوى Wiper، إلا أن البرنامج الخبيث لا يزال مجهولا نظرا لعدم وقوع حالات إضافية من الحذف فيما بعد كما لم تكتشف حماية كاسبرسكي لاب الاستباقية أية برمجيات خبيثة.
  • وقد أثبت Wiper فعاليته العالية حيث بإمكانه ان يسخّر برمجيات أخرى لإنشاء برمجيات جديدة، يستنسخ أنواعا من برمجيات مدمرة كـShamoon.

    • دراسة الحواسب المستهدفة:

    بين تحليل كاسبرسكي لاب لملفات النسخ الاحتياطي للقرص الصلب، أخذت من الآلات التي هاجمها Wiper أنه "نظف" الأقراص الصلبة للأنظمة المستهدفة وتخلص من جميع البيانات التي قد تقود إلى اكتشاف البرنامج الخبيث. أدى إفساد Wiper للنظام إلى منع الحواسب من إعادة الإطلاق وسبب خللا في أداء وظائفها. وبذلك لم يبق في الآلات المتضررة أي شيء بعد نشاط Wiper، كما ولن يتسن استعادة اية بيانات.

    غير أن بحث كاسبرسكي لاب توصل إلى نظام الحذف الخاص الذي استخدم من قبل البرنامج الخبيث إلى جانب أسماء المكون الخبيث وفي بعض الأحيان مفاتيح التسجيل التي كشفت عن أسماء الملفات السابقة المحذوفة من القرص الصلب. وقد أشارت جميع هذه المفاتيح إلى أسماء الملفات تبدأ بـD ~.

    خاصية حذف فريدة من نوعها:

    بين تحليل خاصية الحذف أن أسلوبا متتابعا استخدم في كل آلة تم تفعيل Wiperعليها. وصممت خورازمية Wiper بحيث تقوم بإفساد أكبر قدر من الملفات والتي بالإمكان أن تتضمن عدة جيجابايت في نفس الوقت. نحو 3 آلات من أصل 4 قد فقدت جميع البيانات وقد تم التركيز خلال عملية المحو على إفساد النصف الأول من القرص ثم محو الملفات المتبقية نظاميا ما سمح للقرص بالعمل وبعد ذلك التسبب في انهيار النظام كليا. إضافة إلى ذلك نحن على علم بهجمات Wiper التي استهدف فيها ملفات PNF، والتي لا جدوى منها إذا لم تكن متعلقة بإزالة مكونات إضافية للبرمجيات الخبيثة. وهذا اكتشاف مثير للاهتمام كون Duqu وStuxnet يحتفظان ببنيتيهما الأساسيتين في ملفات PNF.

    كيف أدى البحث عن Wiper إلى اكتشاف Flame

    لقد استخدمت الملفات المؤقتة التي تبدأ بـD ~ في Duqu والذي يعتمد على نفس منصة الهجمات لـStuxnet وهي منصة Tilded. اعتمادا على هذا الدليل، بدأ فريق كاسبرسكي لاب في البحث عن اسماء ملفات غير معروفة تابعة لـWiper والمعتمدة على منصة Tilded باستخدام شبكة كاسبرسكي للأمان والتي عبارة عن بنية تحتية مستندة إلى تقنية الحوسبة السحابية تستخدم من قبل منتجات كاسبرسكي لاب في جمع المعلومات عن بعد وتوفير الحماية الفورية على شكل قوائم سوداء وقواعد الاستكشاف التجريبي للتخلص من أحدث التهديدات والمخاطر. خلال هذه العملية وجد فريق كاسبرسكي لاب البحثي أن عددا من الحواسب في غرب آسيا تضمنت اسم ملف DEF983D.tmp ~. وبهذه الطريقة اكتشفت كاسبرسكي لاب Flame. إلا أن Wiper لن يكتشف بهذه الطريقة ولا يزال مجهولا.

    وقال الكسندر غوستيف، كبير خبراء الأمن في كاسبرسكي لاب: "اعتمادا على تحليلنا لعينات Wiper التي تركت في ملفات النسخ الاحتياطي للفرص الصلب لم يعد هناك شك في أن هذا البرنامج موجود واستخدم في مهاجمة أنظمة الحاسب في غرب آسيا في أبريل 2012 وقد يكون في ديسمبر 2011. على الرغم من ذلك اكتشفنا Flame خلال البحث عن Wiper إلا أننا نعتقد أن Wiper ليس Flame بل هو نوع مختلف من البرمجيات الخبيثة. إن السلوك المدمر لـWiper إلى جانب أسماء الملفات التي تركت على الأنظمة "المنظفة" جميعها تحاكي برنامجا يعتمد على منصة Tilded. إن هيكلية Flame الجزيئية مختلفة تماما وقد صمم لتنفيذ حملة تجسسية الكترونية متواصلة. كما أننا لم نشخص أي سلوك مدمر مشابه استخدم من قبل Wiper خلال تحليلنا لـFlame".

    لقراءة نص التحليل كاملا، الرجاء زيارة موقع Securelist.

    كاسبرسكي لاب تنشر بحثها الجديد حول Wiper، البرنامج المدمر لأنظمة الحاسب ظهر في أبريل 2012

    Kaspersky logo

    نبذة عن Kaspersky

    Kaspersky هي شركة عالمية للأمن الإلكتروني والخصوصية الرقمية تأسست عام 1997. ومع وجود أكثر من مليار جهاز تتمتع بالحماية حتى الآن من التهديدات الإلكترونية الناشئة والهجمات المستهدفة، فإن خبرات Kaspersky العميقة في مجال الأمان ومعلومات التهديدات الأمنية تتحول باستمرار إلى حلول وخدمات مبتكرة لحماية الأفراد والشركات والبنية التحتية الحيوية والحكومات في جميع أنحاء العالم. وتتضمن المحفظة الأمنية الشاملة لدى الشركة حماية رائدة للحياة الرقمية للأجهزة الشخصية، ومنتجات وخدمات أمنية متخصصة للشركات، بالإضافة إلى حلول المناعة الإلكترونية لمحاربة التهديدات الرقمية المتطورة والمتغيرة. ونقدم المساعدة لملايين الأفراد وما يقرب من 200,000 عميل من الشركات في حماية ممتلكاتهم الأكثر أهمية. تفضل بمعرفة المزيد على www.kaspersky.com.

    مقالة ذات صلة النشرات الصحفية