Инциденты

Деструктивные вредоносные программы: пять зловредов типа Wiper

Каждый день «Лаборатория Касперского» обрабатывает более 300000 новых образцов вредоносного ПО. Подавляющее большинство этих вредоносных файлов относятся к разряду мошеннического ПО, т.е. компьютерных программ, предназначенных для зарабатывания денег киберпреступниками. Небольшой процент из оставшихся – это программы, предназначенные исключительно для кибершпионажа и используемые продвинутыми киберпреступниками разного толка.

Далее остаётся небольшая категория, составляющая ещё меньший процент от всего числа и включающая редкие и необычные зловреды. Программы типа Wiper весьма деструктивны и являются одним из наиболее редких видов вредоносного ПО; однако их использование за последние годы резко выросло.В старые добрые времена все вредоносные программы писались программистами-энтузиастами, киберхулиганами и шутниками. Следовательно, деструктивные вирусы, или троянцы, были гораздо более распространены. Один из примеров – вирус BadSectors, который помечает секторы диска как повреждённые (даже если они такими не являются), из-за чего происходит своеобразная порча данных. Другой пример – вирус OneHalf, который шифровал жесткий диск по отдельным цилиндрам, а при обращении к данным расшифровывал их «на лету», но только пока был активен на компьютере. Если вирус удалялся, то данные на диске оказывались в зашифрованными и недоступными, а простого способа их расшифровать не было.

Пожалуй, самым известным примером является вирус CIH, или «Чернобыль». CIH – это инициалы автора вируса Чэнь Инхао. Вирус удалял флэш-память BIOS, после чего компьютеры не могли загружаться. Для обычных компьютеров это не было большой проблемой: в них память BIOS хранилась на чипе, который можно было извлечь и перепрограммировать на другом компьютере. Однако ноутбуки таким образом вылечить было нельзя.

За последние несколько лет произошло несколько крупных инцидентов, связанных с деструктивной деятельностью вредоносных программ. Мы решили составить короткий обзор наиболее заметных инцидентов, связанных с программами типа «Wiper»:

1. Wiper

В конце 2011 и начале 2012 г. появились сообщения о компьютерных системах, которые были заражены и не могли загрузиться. Ущерб, нанесенный этим системам, оказался очень велик – удалось восстановить лишь очень небольшую долю данных. Некоторые артефакты на пострадавших компьютерах указали на возможную связь со Stuxnet и Duqu, однако эта связь так и не была доказана.Зловред, стоящий за этими атаками, назвали «Wiper»; мы писали о нём здесь.

По всей видимости, у Wiper было два метода атаки. Файлы с определенными расширениями заполнялись мусорными данными, а затем «замусоривался» весь жёсткий диск компьютера. Неизвестно, как это можно было выполнить, не вызвав сбоя системы. Возможные варианты: при загрузке подгружались вредоносные драйверы, либо происходило заражение вредоносным буткитом.

Наши исследования Wiper привели к обнаружению Flame. Сегодня мы считаем, что эти две вредоносные программы не имели друг к другу отношения. Насколько мы понимаем, Wiper остаётся загадкой по сей день.

2. Shamoon

В августе 2012 г. произошла атака на корпоративную сеть Saudi Aramco – с большого числа (по некоторым оценкам, более 30000) компьютеров была стёрта информация, и они перестали загружаться. Об этом инциденте мы писали здесь.

В данном случае вредоносная программа, ответственная за атаки, была обнаружена и исследована. В Shamoon использовался простой и грубый метод стирания информации, который оказался очень эффективным. Хотя ответственность за Shamoon взяла на себя группа хакеров под названием «Cutting Sword of Justice» («Разящий меч справедливости»), подробности остаются неясными.

После атаки на Saudi Aramco произошла другая аналогичная атака на катарскую компанию Rasgas.

Некоторые СМИ сообщили, что, несмотря на заявления об ответственности, за этой группой могли стоять иранские хакеры. Впрочем, в зловреде Shamoon сохранился один артефакт, который как будто противоречит этому: иранские программисты вряд ли назвали бы залив «Арабским» (во фразе «Shamoon for Arabian Gulf»), а не Персидским (см. в Википедии).

3. Narilam

Об обнаружении червя Narilam впервые сообщила компания Symantec в ноябре 2012 года. Мы писали о нем здесь.

Narilam – интересная вредоносная программа: она предназначена для порчи баз данных определенных компьютерных программ, которые используются прежде всего в Иране. Искажения, вносимые Narilam в базы данных, неочевидны, и их может быть нелегко обнаружить. Если позволить вредоносной программе функционировать на компьютере годами, результат может оказаться крайне разрушительным, поскольку выявить изменения будет очень непросто. В отличие от Wiper, Narilam – это программа, действующая медленно и рассчитанная на подрыв работы организации в долгосрочной перспективе. Нам удалось обнаружить множество различных версий Narilam, некоторые из которых активны с 2008 года.

4. Groovemonitor / Maya

Мы писали об атаках Groovemonitor/Maya здесь.

Об этой угрозе впервые сообщил в 2012 году иранский центр Maher CERT. Это относительно простая вредоносная программа, действующая достаточно грубо. Groovemonitor активизируется в определенные даты, прописанные в ее коде в явном виде, в период с 10 декабря 2012 года по 4 февраля 2015 года. В эти дни программа просто удаляет все файлы с дисков с «d»: по «i»: включительно.

5. Dark Seoul

Мы писали об атаках Dark Seoul здесь.

В полном соответствии со своим названием программа Dark Seoul (в переводе – темный Сеул) была применена в слаженной атаке против нескольких банков и медиакомпаний в Сеуле (Южная Корея). Сообщения об атаках появились в мае 2013 года, однако стоящая за ними группа злоумышленников, по-видимому, начала активно действовать гораздо раньше – возможно, еще в начале 2009 года.

Выводы

Как видно из приведенного выше списка, большая часть атак в стиле Wiper за последние несколько лет была нацелена на Ближний Восток. Но эти инциденты показали также, что подобное вредоносное ПО может применяться как высокоэффективное кибероружие. Возможность удалить данные с десятков тысяч компьютеров нажатием кнопки или одним кликом мыши – мощное оружие для любой кибер-армии. Его можно сделать еще более разрушительным, если совместить его применение с атакой вооруженных сил в реальном мире с целью парализовать инфраструктуру страны.

Подытожим: атаки в стиле Wiper в наши дни достаточно редки, потому что в большинстве случаев вредоносное ПО используется с целью наживы. Однако, учитывая, что каждый день появляется информация о новых пробелах в безопасности критически важной инфраструктуры, подобные атаки потенциально чрезвычайно опасны.

По нашим прогнозам, атаки типа Wiper будут продолжаться и даже могут в обозримом будущем стать более популярными как способ нанести удар по критически важной инфраструктуре в точно выбранное время и этим нанести значительный ущерб.

Деструктивные вредоносные программы: пять зловредов типа Wiper

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике