En avril 2012, une série d’incidents impliquant un malware destructeur baptisé Wiper a été rendue publique. Wiper s’était attaqué à des systèmes informatiques liés à un certain nombre de sites pétroliers au Moyen-Orient. En mai 2012, l’équipe de chercheurs de Kaspersky Lab a mené, à la demande de l’Union Internationale des Télécommunications,une enquête portant sur ces incidents afin de déterminer la menace potentielle que représentait ce nouveau programme malveillant en matière de stabilité et de sécurité mondiale.

Aujourd’hui, les experts de Kaspersky Lab publient une étude résultant de l’analyse numérique a posteriori des images de disque dur provenant des machines attaquées par Wiper.

Cette analyse met en lumière l’extrême efficacité de la méthode employée par Wiper pour détruire les systèmes informatiques, notamment son mode distinctif d’effacement des données et son comportement destructeur. Bien que les recherches sur Wiper sont à la source de la découverte de Flame, le malware Wiper par lui-même n’a pas encore pu être identifié. Dans l’intervalle, son efficacité destructrice pourrait avoir inspiré certaines copies, tel que le malware destructeur Shamoon apparu en août 2012.

Principaux résultats de l’étude :

- Kaspersky Lab confirme que Wiper est responsable des attaques lancées sur des systèmes informatiques au Moyen-Orient du 21 au 30 avril 2012.
- L’analyse des images de disque dur des ordinateurs détruits par Wiper révèle un mode spécifique d’effacement des données, associé à un certain composant malveillant dont le nom commence par ~D. Ces constatations ne sont pas sans rappeler Duqu et Stuxnet, qui utilisaient également des noms de fichiers commençant par ~D et reposaient tous deux sur la même plate-forme d’attaque, appelée « Tilded ».
- Kaspersky Lab a alors entrepris de rechercher, via son réseau Kaspersky Security Network (KSN), d’autres fichiers commençant par ~D susceptibles d’être en rapport avec Wiper et la plate-forme Tilded.
- Ce faisant, Kaspersky Lab a repéré au Moyen-Orient un nombre important de fichiers nommés ~DEB93D.tmp. Une analyse approfondie a montré que ce fichier faisait en fait partie d’un autre type de malware : c’est ainsi que Kaspersky Lab a découvert Flame.
- Bien que Flame ait été découvert au cours des recherches sur Wiper, les chercheurs de Kaspersky Lab pensent qu’il s’agit de deux programmes malveillants bien distincts.
- Si Kaspersky Lab a pu analyser des traces de l’infection Wiper, ce malware demeure néanmoins inconnu car aucun épisode d’effacement supplémentaire selon la même méthode n’est intervenu depuis et aucune détection du malware n’a été signalée par les outils de protection proactive de Kaspersky Lab.
- Wiper s’est montré redoutablement efficace et pourrait faire des émules, donnant naissance à d’autres types de malwares (des copies tels que Shamoon).

L’étude complète consacrée à Wiper est consultable sur le site Securelist.