신비한 와이퍼 맬웨어가 스턱 스넷과 듀크에 연결되었을 가능성이 있음

카스퍼스키랩의 보안 연구원은 4 월이란 석유 장관 컴퓨터를 공격 한 신비한 악성 코드와 Stuxnet 및 Duqu 사이버 폭탄 위협을 연계시킬 수있는 정보를 밝혀 냈습니다.

4 월 보고서 그 데이터가이란의 여러 서버에서 파괴되었을 가능성이 있습니다. ITU (International Telecommunication Union)는 보안 업체 카스퍼 스키 랩에 새로운 사건을 조사 할 것을 요청했습니다.

카스퍼 스키 연구원은 신비한 멀웨어를 발견하지 못했습니다. 영향을받은 하드 디스크 드라이브의 데이터는 거의 복구 할 수 없었기 때문에 Wiper라는 이름이 붙여졌습니다.

[추가 정보 : Windows PC에서 멀웨어를 제거하는 방법] 그러나 조사를 통해 국가에서 개발 한 매우 정교한 사이버 스레 지오 협박 인 Flame과 Gauss가 발견되었습니다.

영향을받은 하드 드라이브에서 추출한 정보의 일부를 카스퍼 스키 연구원은 와이퍼 (Wiper) 악성 코드가 실제로 존재하고, 정교하고 효과적인 데이터 삭제 알고리즘을 사용했으며, 화염 구성 요소가 아닌 것으로 결론지었습니다.

"We 카스퍼 스키의 글로벌 연구 및 분석 팀의 연구원은 수요일 블로그 게시물에서 "이번 사건이 발생했으며이 공격에 책임이있는 악성 코드가 2012 년 4 월에 존재했다고 확신 할 수 있습니다. "또한 우리는 2011 년 12 월 이후에 일어난 매우 유사한 사건을 알고 있습니다."

Flame과의 연관성은 거의 없지만 Wiper가 Stuxnet 또는 Duqu. 와 관련이 있다는 증거가 있습니다

예를 들어 분석 된 일부 하드 드라이브에서 연구원은 ~ DFXX.tmp라는 파일을로드 한 RAHDAUD64라는 흔적을 발견했습니다. 여기서 XX는 두 개의 임의의 숫자입니다. C : WINDOWS TEMP 폴더에 있습니다.

"우리가 이것을 보았을 때, 즉시이 형식의 파일 이름을 사용하는 듀크 (Duqu)를 회상했다"고 연구원은 말했다. "Duqu라는 이름은 헝가리 연구원 Boldizsar Bencsath가 CrySyS 연구소의 파일"? dqXX.tmp? "를 만들었 기 때문에 만들어졌습니다."

카스퍼 스키 연구원은 Stuxnet과 Duqu가 모두 맬웨어가 "~"(물결표) 기호로 시작하는 이름의 파일을 사용했기 때문에 동일한 플랫폼을 사용하는 동일한 팀의 팀이 Tilded Platform으로 명명되었습니다.

연구원은 ~ DFXX.tmp 파일을 복구 할 수 없었습니다. Wiper의 데이터 삭제 과정에서 쓰레기 데이터로 덮어 썼습니다.

Stuxnet과 Duqu의 또 다른 가능한 링크는 Wiper가 데이터 지우기 프로세스 중에 .PNF 파일의 우선 순위를 결정한 것입니다. Duqu와 Stuxnet 모두 암호화 된 .PNF 파일로 주요 구성 요소를 보관하고 있었다고 카스퍼 스키 연구원은 말했습니다.

Wiper가 Stuxnet 또는 Duqu와 관련이 있으며 진실은 결코 연구원들은 와이퍼의 데이터 파괴 루틴이 어떻게 든 실패한 시스템이 발견되지 않는 한, 시스템을 발견하지 못한다고 말했다. 그러나 관련이 있다면 큰 국가 퍼즐 스폰서가되는 사이버 공격과 사이버 캠 테지 운영을 가리키는 큰 퍼즐의 또 다른 조각이다. 중동에서. 카스퍼 스키 연구원은 기술적 증거를 기반으로 Stuxnet, Duqu, Flame 및 Gauss가 서로 관련이 있다는 사실을 이미 확증했습니다.

6 월 뉴욕 타임즈의 보도에 따르면 오바마 행정부 내에서 이름없는 소식통이 인용되어 Stuxnet은 공동으로 미국과 이스라엘에 의해 개발되었으며 비밀 작전 코드 명 올림픽 게임의 일부였다.