Эксперты "Лаборатории Касперского"
составили краткий обзор наиболее заметных инцидентов, связанных с
программами типа Wiper. Подавляющее большинство вредоносных файлов
относятся к разряду мошеннического ПО, то есть компьютерных программ,
предназначенных для зарабатывания денег киберпреступниками. Но возможны и
более серьезные последствия.

Wiper: загадка по сей день

В конце 2011-го и начале 2012 года
появились сообщения о компьютерных системах, которые были заражены и не
могли загрузиться. Ущерб, нанесенный этим системам, оказался очень велик
– удалось восстановить лишь очень небольшую долю данных.

Некоторые артефакты на пострадавших
компьютерах указали на возможную связь со Stuxnet и Duqu, однако эта
связь так и не была доказана. Зловред, стоящий за этими атаками, назвали
Wiper.

По всей видимости, у Wiper было два
метода атаки. Файлы с определенными расширениями заполнялись мусорными
данными, а затем "замусоривался" весь жёсткий диск компьютера.

Неизвестно, как это можно было выполнить,
не вызвав сбоя системы. Возможные варианты: при загрузке подгружались
вредоносные драйверы, либо происходило заражение вредоносным буткитом.

Наши исследования Wiper привели к
обнаружению Flame. Сегодня мы считаем, что эти две вредоносные программы
не имели друг к другу отношения. Насколько мы понимаем, Wiper остаётся
загадкой по сей день.

Shamoon: "Разящий меч справедливости"

В августе 2012 года произошла атака на
корпоративную сеть Saudi Aramco: с большого числа (по некоторым оценкам,
более 30 тысяч) компьютеров была стёрта информация, и они перестали
загружаться.

В данном случае вредоносная программа,
ответственная за атаки, была обнаружена и исследована. В Shamoon
использовался простой и грубый метод стирания информации, который
оказался очень эффективным. Хотя ответственность за Shamoon взяла на
себя группа хакеров под названием Cutting Sword of Justice ("Разящий меч
справедливости"), подробности остаются неясными.

После атаки на Saudi Aramco произошла другая аналогичная атака на катарскую компанию Rasgas.

Некоторые СМИ сообщили, что, несмотря на
заявления об ответственности, за этой группой могли стоять иранские
хакеры. Впрочем, в зловреде Shamoon сохранился один артефакт, который
как будто противоречит этому: иранские программисты вряд ли назвали бы
залив "Арабским" (во фразе "Shamoon for Arabian Gulf"), а не
"Персидским".

Narilam: медленный червь

Об обнаружении червя Narilam впервые
сообщила компания Symantec в ноябре 2012 года. Narilam – вредоносная
программа, предназначенная для порчи баз данных определенных
компьютерных программ, которые используются, прежде всего, в Иране.

Искажения, вносимые Narilam в базы
данных, неочевидны, и их может быть нелегко обнаружить. Если позволить
вредоносной программе функционировать на компьютере годами, результат
может оказаться крайне разрушительным, поскольку выявить изменения будет
очень непросто.

В отличие от Wiper, Narilam – это
программа, действующая медленно и рассчитанная на подрыв работы
организации в долгосрочной перспективе. Экспертам "Лаборатории
Касперского" удалось обнаружить множество различных версий Narilam,
причем, некоторые активны с 2008 года.

Groovemonitor/Maya: просто и грубо

Об этой угрозе впервые сообщил в 2012
году иранский центр Maher CERT. Это относительно простая вредоносная
программа, действующая достаточно грубо.

Groovemonitor активизируется в
определенные даты, прописанные в ее коде в явном виде, в период с 10
декабря 2012 года по 4 февраля 2015 года. В эти дни программа просто
удаляет все файлы с дисков с «d»: по «i»: включительно.

Dark Seoul: Сеул во мраке

В полном соответствии со своим названием
программа Dark Seoul (в переводе: "Темный Сеул") была применена в
слаженной атаке против нескольких банков и медиакомпаний в Сеуле (Южная
Корея).

Сообщения об атаках появились в мае 2013
года, однако стоящая за ними группа злоумышленников, по-видимому, начала
активно действовать гораздо раньше. Возможно, еще в начале 2009 года.

* * *

Как видно из приведенного выше списка,
большая часть атак в стиле Wiper за последние несколько лет была
нацелена на Ближний Восток. Но эти инциденты показали также, что
подобное вредоносное ПО может применяться как высокоэффективное
кибероружие.

Возможность удалить данные с десятков
тысяч компьютеров нажатием кнопки или одним кликом мыши – мощное оружие
для любой киберармии. Его можно сделать еще более разрушительным, если
совместить с атакой вооруженных сил в реальном мире с целью парализовать
инфраструктуру страны.

Впрочем, атаки в стиле Wiper в наши дни
достаточно редки, потому что в большинстве случаев вредоносное ПО
используется с целью наживы. Однако учитывая, что каждый день появляется
информация о новых пробелах в безопасности критически важной
инфраструктуры, подобные атаки потенциально чрезвычайно опасны.

По прогнозам экспертов, атаки типа Wiper
будут продолжаться и даже могут в обозримом будущем использоваться для
нанесения удара по критически важной инфраструктуре в точно выбранное
время, чем нанести значительный ущерб.