كاسبرسكي لاب تنشر بحثها الجديد حول Wiper، البرنامج المدمر لأنظمة الحاسب ظهر في أبريل 2012

في أبريل 2012، وقعت سلسلة من الأحداث، تسبب بها ظهور برنامح خبيث مدمر أطلق عليه اسم Wiper، والذي كان يهاجم أنظمة الحاسب التابعة لعدد من الشركات العاملة في قطاع النفط بغرب آسيا. في مايو 2012 أجرى فريق كاسبرسكي لاب بحثا بمبادرة من الاتحاد الدولي للاتصالات لتحري الأحداث وتحديد التهديدات المحتملة من هذا البرنامج الخبيث الجديد نظرا لتأثيره على الاستقرار والأمن في العالم.

واليوم ينشر خبراء كاسبرسكي لاب النتائج التي توصلوا إليها خلال التحليل القضائي الرقمي لملفات النسخ الاحتياطي للقرص الصلب والتي حصلوا عليها من الآلات التي هاجمها Wiper.

ويوفر التحليل نظرة شاملة حول أسلوب Wiper عالي الفعالية في إفساد أنظمة الحاسب بما فيها خاصية حذف البيانات الفريدة وسلوكه المدمر. وعلى الرغم من أن البحث عن Wiper أدى إلى اكتشاف Flame إلا أن Wiper نفسه لم يكتشف حتى الآن. وفي الوقت نفسه على ما يبدو أن طريقة Wiper الفعالة في تدمير الآلات قد شجعت المقلدين على إنشاء برنامج خبيث مدمر كـShamoon الذي ظهر في أغسطس 2012.

كاسبرسكي لاب تؤكد أن Wiper كان مسؤولا عن الهجمات التي أطلقت في أنظمة الحاسب في غرب آسيا في الفترة من 21 ولغاية 30 أبريل 2012.

كشف تحليل ملفات النسخ الاحتياطي للقرص الصلب في الحواسب التي استهدفها Wiper عن خاصية حذف البيانات ذي طبيعة خاصة بالإضافة إلى عنوان المكون الخبيث الذي يبدأ بـ~D. وهذا يذكرنا بـDuqu وStuxnet حيث استخدمت في هذين الهجومين ملفات تبدأ عناوينها بـ~D، وقد بني كل منهما على منصة هجومية واحدة تعرف بـTilded.

بدأت كاسبرسكي لاب البحث عن ملفات أخرى تبدأ بـ~D عبر شبكة كاسبرسكي للأمان لإيجاد ملفات إضافية لـWiper المعتمدة على منصة Tilded.

خلال عملية البحث شخصت كاسبرسكي لاب عددا ملموسا من الملفات في منطقة غرب آسيا أطلق عليها اسم ~DEB93D.tmp. واظهر التحليل أن الملف كان جزءا من Flame. وهكذا اكتشفت كاسبرسكي لاب Flame.

على الرغم من أن Flame اكتشف خلال البحث عن Wiper، إلا أن الفريق البحثي بكاسبرسكي لاب يعتقد أن Wiper وFlame برنامجان خبيثان مستقلان.

مع ان كاسبرسكي لاب أجرت تحليلا لآثار عدوى Wiper، إلا أن البرنامج الخبيث لا يزال مجهولا نظرا لعدم وقوع حالات إضافية من الحذف فيما بعد كما لم تكتشف حماية كاسبرسكي لاب الاستباقية أية برمجيات خبيثة.

وقد أثبت Wiper فعاليته العالية حيث بإمكانه ان يسخّر برمجيات أخرى لإنشاء برمجيات جديدة، يستنسخ أنواعا من برمجيات مدمرة كـShamoon.

دراسة الحواسب المستهدفة:

بين تحليل كاسبرسكي لاب لملفات النسخ الاحتياطي للقرص الصلب، أخذت من الآلات التي هاجمها Wiper أنه "نظف" الأقراص الصلبة للأنظمة المستهدفة وتخلص من جميع البيانات التي قد تقود إلى اكتشاف البرنامج الخبيث. أدى إفساد Wiper للنظام إلى منع الحواسب من إعادة الإطلاق وسبب خللا في أداء وظائفها. وبذلك لم يبق في الآلات المتضررة أي شيء بعد نشاط Wiper، كما ولن يتسن استعادة اية بيانات.

غير أن بحث كاسبرسكي لاب توصل إلى نظام الحذف الخاص الذي استخدم من قبل البرنامج الخبيث إلى جانب أسماء المكون الخبيث وفي بعض الأحيان مفاتيح التسجيل التي كشفت عن أسماء الملفات السابقة المحذوفة من القرص الصلب. وقد أشارت جميع هذه المفاتيح إلى أسماء الملفات تبدأ بـ~D.

نمط حذف فريد من نوعه:

بين تحليل خاصية الحذف أن أسلوبا متتابعا استخدم في كل آلة تم تفعيل Wiperعليها. وصممت خورازمية Wiper بحيث تقوم بإفساد أكبر قدر من الملفات والتي بالإمكان أن تتضمن عدة جيجابايت في نفس الوقت. نحو 3 آلات من أصل 4 قد فقدت جميع البيانات وقد تم التركيز خلال عملية المحو على إفساد النصف الأول من القرص ثم محو الملفات المتبقية نظاميا ما سمح للقرص بالعمل وبعد ذلك التسبب في انهيار النظام كليا. إضافة إلى ذلك نحن على علم بهجمات Wiper  التي استهدف فيها ملفات PNF، والتي لا جدوى منها إذا لم تكن متعلقة بإزالة مكونات إضافية للبرمجيات الخبيثة. وهذا اكتشاف مثير للاهتمام كون Duqu وStuxnet يحتفظان ببنيتيهما الأساسيتين في ملفات PNF.

كيف أدى البحث عن Wiper إلى اكتشاف Flame:

لقد استخدمت الملفات المؤقتة التي تبدأ بـ~D في Duqu والذي يعتمد على نفس منصة الهجمات لـStuxnet وهي منصة Tilded. اعتمادا على هذا الدليل، بدأ فريق كاسبرسكي لاب في البحث عن اسماء ملفات غير معروفة تابعة لـWiper والمعتمدة على منصة Tilded  باستخدام شبكة كاسبرسكي للأمان والتي عبارة عن بنية تحتية مستندة إلى تقنية الحوسبة السحابية تستخدم من قبل منتجات كاسبرسكي لاب في جمع المعلومات عن بعد وتوفير الحماية الفورية على شكل قوائم سوداء وقواعد الاستكشاف التجريبي للتخلص من أحدث التهديدات والمخاطر. خلال هذه العملية وجد فريق كاسبرسكي لاب البحثي أن عددا من الحواسب في غرب آسيا تضمنت اسم ملف ~DEF983D.tmp. وبهذه الطريقة اكتشفت كاسبرسكي لاب Flame. إلا أن Wiper لن يكتشف بهذه الطريقة ولا يزال مجهولا.

وقال الكسندر غوستيف، كبير خبراء الأمن في كاسبرسكي لاب: "اعتمادا على تحليلنا لعينات Wiper التي تركت في ملفات النسخ الاحتياطي للفرص الصلب لم يعد هناك شك في أن هذا البرنامج موجود واستخدم في مهاجمة أنظمة الحاسب في غرب آسيا في أبريل 2012 وقد يكون في ديسمبر 2011. على الرغم من ذلك اكتشفنا Flame خلال البحث عن Wiper إلا أننا نعتقد أن Wiper ليس Flame بل هو نوع مختلف من البرمجيات الخبيثة. إن السلوك المدمر لـWiper إلى جانب أسماء الملفات التي تركت على الأنظمة "المنظفة" جميعها تحاكي برنامجا يعتمد على منصة Tilded. إن هيكلية Flame الجزيئية مختلفة تماما وقد صمم لتنفيذ حملة تجسسية الكترونية متواصلة. كما أننا لم نشخص أي سلوك مدمر مشابه استخدم من قبل Wiper خلال تحليلنا لـ Flame.