Wirus Wiper naprawdę szkodliwy?

Przeczytaj także: Nowy szkodliwy program Gauss

W kwietniu 2012 r. pojawiło się kilka artykułów na temat ataków tajemniczego szkodliwego programu, w wyniku których doszło do zablokowania komputerów irańskich firm.

W niektórych artykułach pojawiły się doniesienia, że za ataki odpowiedzialny jest wirus Wiper. Jednak, ataki te nie pozostawiły po sobie żadnych próbek, co poddało w wątpliwość te rewelacje.

Eksperci z International Telecommunication Unit (ITU) zajęli się tymi incydentami i poprosili Kaspersky Lab o pomoc w przeprowadzeniu dochodzenia i zbadaniu wpływu, jaki mógł mieć atak tego szkodliwego oprogramowania.

Po kilku tygodniach analizy nie znaleźliśmy żadnego szkodliwego kodu, który mógłby zostać wykorzystany atakach przypisywanych Wiperowi. Badania nie poszły jednak na marne – to właśnie w trakcie tej analizy wykryliśmy finansowaną rzez rząd kampanię cyberszpiegowską, znaną obecnie jako Flame oraz Gauss.

Naszym zdaniem Wiper był oddzielnym szczepem szkodliwych programów, niezależnym od Flame’a. Sam Flame był wysoce zaawansowaną platformą do przeprowadzania ataków, jednak nie wykryliśmy w nim żadnego destrukcyjnego zachowania. Biorąc pod uwagę złożoność Flame’a można przypuszczać, że został on zaprojektowany z myślą o długoterminowej inwigilacji, a nie do przeprowadzania bezpośrednich ataków mających na celu blokowanie systemów. Oczywiście, zawsze możliwe jest, że ostatnim etapem inwigilacji było dostarczenie modułu takiego jak Wiper, jednak nie natrafiliśmy na żaden ślad takiej aktywności.

Zatem, po kilku miesiącach, dalej zadajemy sobie pytanie: Czym jest ten Wiper?

Więcej o Wiperze

Podczas naszego kwietniowego dochodzenia dotyczącego tajemniczego ataku mieliśmy możliwość przeanalizowania kilku obrazów dysków twardych, które były zaatakowane przez Wipera. Możemy teraz z pewnością stwierdzić, że incydenty rzeczywiście miały miejsce, a stojące za nim szkodliwe oprogramowanie istniało w kwietniu 2012 r. Badania ujawniły także, że bardzo podobne ataki wystąpiły w grudniu 2011 r.

Większość ataków miała miejsce w ostatnich 10 dniach miesiąca (między 21 a 30 kwietnia), jednak nie możemy potwierdzić, czy miało to związek ze specjalną funkcją, której zadaniem byłoby aktywowanie szkodnika w określone dni.

Twórcy Wipera byli bardzo ostrożni i zniszczyli wszelkie dane, które mogłoby zostać wykorzystane do śledzenia tych incydentów. W wyniku tego, we wszystkich analizowanych przez nas przypadkach nie pozostały prawie żadne ślady aktywności Wipera. „Prawie żadne ślady”, ponieważ cyberprzestępcy pozostawili pewne informacje szczątkowe, które pozwoliły nam lepiej zrozumieć naturę tych ataków.