W32.Duqu: The Precursor to the Next Stuxnet
חוקרי אבטחה ממעבדת קספרסקי חשפו מידע המצביע על קשר אפשרי בין תוכנות זדוניות מסתוריות שתקפו את מחשבי משרד הנפט האיראני באפריל לבין האיומים של Stuxnet ו- Duqu cyberespionage.
בעקבות דיווחים באפריל כי נתונים אלה נהרסו על מספר שרתים באיראן, אולי על ידי תוכנה חדשה של תוכנות זדוניות, האיגוד הבינלאומי לתקשורת (ITU) פנה לספק האבטחה של Kaspersky Lab כדי לחקור את האירועים.
החוקרים של קספרסקי לא הצליחו למצוא את התוכנה הזדונית המסתורית, אשר קיבל את השם Wiper, מכיוון שמספר קטן מאוד של נתונים מהכוננים הקשיחים הושפעו [לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]
עם זאת, החקירה שלהם הובילה לגילוי הלהבה ומאוחר יותר גאוס, שני איומים חדישים ביותר של סייברספיוניג 'האמינו כי פותחו על ידי מדינת לאום. שברי המידע שחולצו מהכוננים הקשיחים המושפעים הגיעו למסקנה כי התוכנה הזדונית של Weper אכן קיימת, שהיא השתמשה באלגוריתם מחיקת נתונים מתוחכם ויעיל, ושהוא כנראה לא רכיב של להבה. יכול כעת לומר בוודאות כי התקריות התרחשו וכי תוכנות זדוניות האחראים להתקפות אלה היו קיימים באפריל 2012 ", כך דיווחו חוקרים מאוניברסיטת קספרסקי. "כמו כן, אנו מודעים לאירועים דומים מאוד שהתרחשו מאז דצמבר 2011".אף על פי שקשר עם הלהבה אינו סביר, ישנן עדויות המצביעות על כך שמייפר עשוי להיות קשור ל- Stuxnet או ל- Duqu. > לדוגמה, על כמה מהכוננים הקשיחים נותחו, החוקרים מצאו עקבות של שירות שנקרא RAHDAUD64 שטען קבצים בשם ~ DFXX.tmp - כאשר XX הם שתי ספרות אקראיות - מהתיקייה C: WINDOWS TEMP.
"ברגע שראינו את זה, נזכרנו מיד בדוק, שהשתמש בשמות קבצים של פורמט זה", אמרו החוקרים. "למעשה, השם Duqu היה נטבע על ידי החוקר ההונגרי Boldizsar Bencsath ממעבדת CrySyS משום שהוא יצר קבצים בשם" ~ dqXX.tmp "."
החוקרים של קספרסקי כבר הקימו כי Stuxnet ו- Duqu נוצרו על ידי אותו צוות של מפתחים המשתמשים באותה פלטפורמה - המכונה "פלטפורמת Tilded" מאחר שהתוכנות הזדוניות השתמשו בקבצים עם שמות המתחילים בסמל "~" (tilde).
החוקרים לא הצליחו לשחזר את הקבצים ~ DFXX.tmp מכיוון שהם היה מוחלף עם נתונים אשפה במהלך שגרת הרס נתונים של וויפר.
עוד קישור אפשרי סטוקסנט ו Duqu היא העובדה כי וויפר ככל הנראה סדר עדיפויות. PNF קבצים במהלך תהליך ניגוב הנתונים שלה. החוקרים מסרו כי הראיות שנמצאו עד כה אינן מספיק מוצקות כדי להסיק בוודאות שויפר קשור ל- Stuxnet או ל- Duqu והאמת לעולם לא תגיע אל המרכיבים העיקריים בקבצי PNF מוצפנים. אלא אם כן המערכת מתגלה שם שגרת הרצת נתונים של וופר איכשהו נכשלו, אבל החוקרים, אם כי זה קשור, אז זה עוד פיסת חידה גדולה יותר המצביע על סייברספיוניג 'ממומן המדינה הגדולה בחסות ו cybersabotage המבצע במזרח התיכון. חוקרי קספרסקי כבר הקימו, בהתבסס על ראיות טכניות, כי Stuxnet, Duqu, להבה וגאוס קשורים זה לזה.
על פי דיווח של "ניו יורק טיימס" מיוני שציטט מקורות ללא שם מתוך ממשל אובמה, היה סטוקסנט במשותף שפותחה על ידי ארה"ב וישראל והשתתפה במבצע סודי בשם קוד האולימפיאדה
תוכנות זדוניות בנקאיות צגים קורבנות על ידי חטיפת מצלמות אינטרנט ומיקרופונים, חוקרים אומרים <גרסה חדשה של תוכנות זדוניות של SpyEye מאפשרת ל - Cybercriminals לפקח על הונאות בנק פוטנציאליות על-פי חוקרי האבטחה של ספקית האנטי-וירוס Kaspersky Lab.
גרסה חדשה של תוכנות זדוניות של SpyEye מאפשרת ל- Cybercriminals לפקח על קורבנות הונאה פוטנציאליים של בנקים באמצעות חטיפת מצלמות הרשת והמיקרופונים שלהם. הוא סוס טרויאני המחשב כי במיוחד מטרות משתמשי הבנקאות המקוונת. כמו הדודן הזקן, זאוס, SpyEye כבר לא מפותח על ידי המחבר המקורי שלו, אבל הוא עדיין בשימוש נרחב על ידי cybercriminals בפעולות שלהם.
תוכנות זדוניות זיהום כוחות מדפסות להדפסת נתונים משובשים, חוקרים אומרים <מדפסות המחוברות למחשבי Windows הנגועים בגרסאות חדשות של תוכנה זדונית בשם Trojan .
מדפסות המחוברות למחשבי Windows הנגועים בגרסאות חדשות של תוכנה זדונית בשם Trojan.Milicenso, ידפיסו באופן אוטומטי דפים מלאים בנתונים משובשים, על פי חוקרי אבטחה של חברת האנטי וירוס Symantec. דיווחו על כך שהמדפסות מדפיסות באופן אוטומטי מה שנראה כתוכן של קובץ הפעלה.
