In april 2012 werd een reeks incidenten gerapporteerd met betrekking tot een verwoestend malwareprogramma met de codenaam Wiper. Deze malware viel computersystemen aan die gerelateerd zijn aan een aantal olie-installaties in West-Azië. Op verzoek van de International Telecommunication Union voerde het onderzoeksteam van Kaspersky Lab in mei 2012 een onderzoek uit. Hierbij werden de incidenten onderzocht en de potentiële dreiging van deze nieuwe malware vastgesteld aangezien deze een risico vormde voor de wereldwijde veiligheid.

Vandaag maken de experts van Kaspersky Lab de onderzoeksresultaten bekend van de digitale forensische analyse van de harddisk images, afkomstig van de door Wiper aangevallen machines.

De analyse geeft inzicht in Wiper’s bijzonder effectieve methode om computersystemen te vernietigen, inclusief zijn unieke data-wipe patroon en gedrag. Hoewel de zoektocht naar Wiper leidde tot de onbedoelde ontdekking van Flame, werd Wiper zelf niet aangetroffen tijdens het onderzoek en is daarom nog steeds niet geïdentificeerd. In de tussentijd heeft Wiper’s destructieve capaciteiten mogelijk na-apers aangespoord om destructieve malware te creëren zoals Shamoon, dat in augustus 2012 opdook.

Samenvatting van onze bevindingen:

- Kaspersky Lab bevestigt dat Wiper verantwoordelijk was voor de aanvallen op computersystemen in West-Azië in de periode van 21 tot 30 april 2012.

- De analyse van de harddisk images van de computers die door Wiper zijn vernietigd, legde een specifiek data-wipe patroon bloot, in combinatie met een bepaalde malware-componentnaam beginnend met ~D. Deze bevindingen doen denken aan Duqu en Stuxnet, die ook bestandsnamen gebruikten die met ~D begonnen en beide gebouwd werden op hetzelfde aanvalsplatform, bekend onder de naam Tilded.

- Kaspersky Lab startte zijn onderzoek naar andere met ~D beginnende bestanden via het Kaspersky Security Network (KSN), om zo meer bestanden van Wiper te vinden op basis van de connectie met het Tilded-platform.

- Tijdens dit proces identificeerde Kaspersky Lab een aanzienlijk aantal bestanden in West-Azië met de naam ~DEB93D.tmp. Nadere analyse toonde aan dat dit bestand eigenlijk een deel was van een ander type malware: Flame. Op deze manier ontdekte Kaspersky Lab Flame.

- Ondanks het feit dat Flame werd ontdekt tijdens de zoektocht naar Wiper, gelooft het onderzoeksteam van Kaspersky Lab dat Wiper en Flame twee afzonderlijke en duidelijk verschillende kwaadaardige programma`s zijn.

- Hoewel Kaspersky Lab sporen analyseerde van de Wiper-infectie, is de malware nog steeds onbekend. Er hebben zich namelijk geen extra wipe-incidenten voorgedaan die hetzelfde patroon volgden, en de malware is niet meer gedetecteerd via Kaspersky Lab`s proactieve bescherming.

- Wiper was zeer effectief en kan anderen aansporen om nieuwe vergelijkbare soorten destructieve malware te creëren, zoals in het geval van Shamoon.

Voor het volledige onderzoeksrapport over Wiper verwijzen wij u graag naar Securelist.com.