Mystisk visker Malware som muligens er koblet til Stuxnet og Duqu, sier forskere

Sikkerhetsforskere fra Kaspersky Lab har avdekket informasjon som tyder på en mulig sammenheng mellom den mystiske malware som angrepet iranske oljevirksomhetsdatamaskiner i april og Stuxnet og Duqu cyberespionage-truslene.

Etter aprilrapporter at dataene ble ødelagt på flere servere i Iran, muligens ved et nytt stykke malware, spurt International Telecommunication Union (ITU) sikkerhetsleverandøren Kaspersky Lab for å undersøke hendelsene.

Kasperskys forskere kunne ikke finne den mystiske malware som ble gitt navnet Wiper, fordi svært lite data fra de berørte harddiskene ble gjenopprettelig.

[Ytterligere lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Men deres undersøkelse førte til oppdagelsen av Flame og senere Gauss, to svært sofistikerte cyberespionage trusler antatt å være utviklet av en nasjonalstat.

Etter gjennomgang biter av informasjon hentet fra de berørte harddiskene, konkluderte Kaspersky-forskerne at Wiper-malware faktisk eksisterte, at den brukte en sofistikert og effektiv datatrykkalgoritme, og at det mest sannsynlig ikke var en Flame-komponent.

"Vi kan nå si med sikkerhet at hendelsene fant sted og at malware som var ansvarlig for disse angrepene, eksisterte i april 2012, sa forskere fra Kasperskys globale forsknings- og analyseteam i onsdag i et blogginnlegg. "Vi er også klar over noen svært liknende hendelser som har skjedd siden desember 2011."

Selv om det ikke er noen forbindelse til Flame, er det noen bevis som tyder på at Wiper kan være relatert til Stuxnet eller Duqu.

For eksempel på noen av de analyserte harddiskene, fant forskerne spor av en tjeneste som heter RAHDAUD64 som lastet filer med navnet ~ DFXX.tmp - der XX er to tilfeldige siffer - fra C: WINDOWS TEMP-mappen.

"I det øyeblikket vi så dette, minnet vi omgående Duqu, som brukte filnavnene til dette formatet," sa forskerne. "Faktisk ble navnet Duqu laget av den ungarske forskeren Boldizsar Bencsath fra CrySyS-laboratoriet fordi det opprettet filer kalt? ~ DqXX.tmp ??."

Kasperskys forskere hadde allerede etablert at både Stuxnet og Duqu ble opprettet av samme team av utviklere som bruker samme plattform - kalt Tilded Platform fordi malware brukte filer med navn som begynner med symbolet "~" (tilde).

Forskerne kunne ikke gjenopprette ~ DFXX.tmp-filene fordi de hadde blitt overskrevet med søppeldata under Wiper's data destruksjon rutine.

En annen mulig lenke til Stuxnet og Duqu er det faktum at Wiper tilsynelatende prioriterte .PNF-filer under dens data-tørkeprosess. Både Duqu og Stuxnet holdt sine hovedkomponenter i krypterte .PNF-filer, sa Kaspersky-forskerne.

Bevisene som hittil er funnet, er ikke tilstrekkelig solid til å konkludere med at Wiper er relatert til Stuxnet eller Duqu, og sannheten kan aldri komme til lys med mindre et system blir oppdaget hvor Wiper's data ødeleggelse rutine mislyktes, forskerne sa. Men hvis det er relatert, så er det et annet stykke et større puslespill som peker på en stor nasjonalstatssponsorert cyberspionage og cybersabotage operasjon i Midtøsten. Kasperskys forskere har allerede etablert, basert på teknisk dokumentasjon, at Stuxnet, Duqu, Flame og Gauss er relatert til hverandre.

Ifølge en New York Times-rapport fra juni som citerte ikke-navngitte kilder fra Obama-administrasjonen, var Stuxnet i fellesskap utviklet av USA og Israel, og var en del av en hemmelig operasjonskode med navnet OL.