غامضة المعلومات ممسحة البرامج الضارة متصلة ربما إلى ستكسنت وDuqu، الباحثون قل

الباحثون الأمن من كاسبرسكي لاب معلومات تشير إلى احتمال وجود صلة بين البرامج الضارة الغامض الذي هاجم أجهزة الكمبيوتر زارة النفط الايرانية في ابريل نيسان والتهديدات cyberespionage ستكسنت وDuqu.

بعد تقارير أبريل أن البيانات دمرت على خوادم متعددة في إيران ، ربما بواسطة قطعة جديدة من البرمجيات الخبيثة ، طلب الاتحاد الدولي للاتصالات من شركة الأمن كاسبرسكي لاب التحقيق في الحوادث.

لم يتمكن باحثو كاسبرسكي من العثور على البرمجيات الخبيثة الغامضة ، أعطيت اسم ممسحة ، لأن القليل جدا من البيانات من محركات الأقراص الصلبة المتأثرة كانت قابلة للاسترداد.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

ومع ذلك ، أدى تحقيقهم إلى اكتشاف Flame و Gauss لاحقًا ، وهما تهديدين متطوران للغاية في مجال التهديدات الإلكترونية يعتقد أنه تم تطويرهما بواسطة دولة قومية.

بعد المراجعة إلى أن المعلومات التي تم استخلاصها من الأقراص الصلبة المتأثرة ، خلص الباحثون في كاسبرسكي إلى أن البرمجيات الخبيثة في Wiper كانت موجودة بالفعل ، وأنها استخدمت خوارزمية مسح البيانات متطورة وفعالة وأنه من المحتمل ألا يكون مكونًا لهبًا.

"نحن ويقول باحثون من فريق البحث والتحليل العالمي في كاسبرسكي يوم الأربعاء في مدونة على الإنترنت: "يمكن الآن أن نقول على وجه اليقين أن الحوادث وقعت وأن البرمجيات الخبيثة المسؤولة عن هذه الهجمات كانت موجودة في أبريل 2012". "كما أننا على دراية ببعض الحوادث المتشابهة للغاية التي وقعت منذ ديسمبر 2011".

على الرغم من أن الاتصال بشعلة Flame أمر غير محتمل ، فهناك بعض الأدلة تشير إلى أن المساحيق قد تكون مرتبطة بـ Stuxnet أو Duqu.

على سبيل المثال ، على عدد قليل من محركات الأقراص الثابتة التي تم تحليلها ، وجد الباحثون آثارًا على خدمة تسمى RAHDAUD64 التي تحمّل الملفات المسماة ~ DFXX.tmp - حيث XX عبارة عن رقمين عشوائيين - من المجلد C: WINDOWS TEMP.

"في اللحظة التي رأينا فيها هذا ، تذكرنا على الفور Duqu ، التي استخدمت أسماء ملفات من هذا الشكل ،" قال الباحثون. "في الواقع، وقد صاغ اسم Duqu من قبل الباحث المجري Boldizsar Bencsath من المختبر CrySyS لأنه إنشاء ملفات اسمه؟ ~ dqXX.tmp ؟؟". وكان

الباحثين كاسبيرسكي أنشأت بالفعل أن كلا ستكسنت وDuqu تم إنشاؤها من قبل نفس الفريق من المطورين الذين يستخدمون نفس النظام الأساسي - يطلق عليها اسم منصة Tilded لأن البرمجيات الخبيثة تستخدم الملفات مع الأسماء التي تبدأ بالرمز "~" (التيلدا).

لم يتمكن الباحثون من استعادة ملفات DFDS.tmp لأنهم وقد تم الكتابة مع بيانات القمامة أثناء روتين تدمير البيانات Wiper.

وصلة أخرى محتملة إلى Stuxnet و Duqu هو حقيقة أن ممسحة على ما يبدو أولويات ملفات PNF خلال عملية مسح البيانات الخاصة به. وقد احتفظ كل من Duqu و Stuxnet بمكوّناتهما الرئيسية في ملفات PNF المشفرة ، على حد قول باحثي كاسبرسكي.

الدليل الذي تم العثور عليه حتى الآن ليس صلبًا إلى حدٍ كافٍ لإبرام اليقين بأنّ Wiper مرتبط بـ Stuxnet أو Duqu وقد لا تصل الحقيقة أبدًا إلى وقال الباحثون إنه إذا لم يتم اكتشاف نظام حيث فشل روتين Wiper في تدمير البيانات بطريقة أو بأخرى ،

ومع ذلك ، إذا كان ذلك مرتبطًا ، فستكون قطعة أخرى من أحجية أكبر تشير إلى عملية سيبرانية واسعة النطاق ترعاها الدولة القومية والعملية الإلكترونية. في الشرق الأوسط. وقد أثبت الباحثون في شركة كاسبرسكي ، بناءً على أدلة تقنية ، أن ستوكسنيت ودووك وفلام وغاوس مرتبطان ببعضهما البعض.

وفقاً لتقرير نيويورك تايمز الصادر في يونيو / حزيران الذي استشهد بمصادر لم تسمها من داخل إدارة أوباما ، كان ستكس نت مشتركًا التي طورتها الولايات المتحدة وإسرائيل وكانت جزءا من عملية سرية أسمتها دورة الألعاب الأولمبية.