I april i år inträffade en rad incidenter när ett skadligt program, med kodnamnet Wiper, attackerade datorsystem med anknytning till oljeanläggningar i västra Asien. FN-organet ITU (International Telecommunication Union) gav därför Kaspersky Lab i uppdrag att analysera och skapa en bild av Wiper och vilket hot programmet utgör.

I veckan släppte Kaspersky Lab undersökningsresultaten från det digitala forensiska analysarbetet av hårddiskbilder från de maskiner som attackerades av Wiper.

Undersökningsresultaten visar att Wiper har en mycket aggressiv och effektiv angreppsmetod. Framförallt pekar man ut ett mycket destruktivt och unikt raderingsmönster som kan ställa till stor skada för drabbade maskiner. Även om jakten på Wiper resulterade i den oavsiktliga upptäckten av det skadliga programmet Flame, har man inte lyckats identifiera Wiper. Kaspersky Lab tror dessutom att Wipers effektiva uppbyggnad kan ha uppmuntrat utvecklingen av andra destruktiva skadliga program som till exempel Shamoon.

Det här är några av forskningsresultaten som presenteras i pressmeddelandet:

  • Kaspersky Lab bekräftar att Wiper användes för att attackera datorsystem i västra Asien 21-30 april 2012.
  • Analys av hårddiskbilderna från de datorer som förstördes av Wiper avslöjade ett specifikt mönster för dataradering tillsammans med en särskild skadlig komponent vars namn börjar med ~D. Upptäckten påminner om de skadliga programmen Duqu och Stuxnet som också använde filnamn som började med ~D och som byggde på samma attackplattform: Tilded.
  • Kaspersky Lab började söka efter andra filer som började med ~D genom det globala molnnätverket Kaspersky Security Network (KSN) för att försöka hitta fler filer hos Wiper baserat på kopplingen till Tilded-plattformen.
  • Under arbetets gång identifierade Kaspersky Lab ett stort antal filer i västra Asien med namnet ~DEB93D.tmp. Ytterligare analys visade att denna fil faktiskt var en del av en annan sorts skadligt program: Flame. Det var så Kaspersky Lab upptäckte Flame.Trots att Flame upptäcktes under sökarbetet efter Wiper tror Kaspersky Labs forskningsteam att Wiper och Flame är två separata och distinkta program.
  • Även om Kaspersky Lab har analyserat spår från Wiper-utbrottet är det skadliga programmet fortfarande okänt då inga fler incidenter har inträffat med dataradering som följer samma mönster. Programmet har inte heller påträffats av Kaspersky Labs proaktiva skydd.