Wiper è il virus cancella tutto che nasconde i mandanti

Kaspersky ha individuato Wiper, un virus che apparentemente ha lo scopo di cancellare dati compromettenti lasciati da Duqu e Stuxnet. Questi ultimi sono stati usati per spiare e sabotare i siti nucleari iraniani.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Kaspersky ha individuato Wiper, un nuovo malware di alto livello che lo scorso aprile ha colpito il Ministero del Petrolio iraniano, e spinto le autorità del paese mediorientale a scollegare molti computer dalla rete nel tentativo di fermare il diffondersi dell'infezione.

Dopo qualche mese di ricerche gli esperti di Kaspersky non hanno scoperto molto su Wiper, ma sanno che ha qualcosa a che fare con Stuxnet e Duqu, altri due software di spionaggio molto evoluti e pericolosi (Il virus Stuxnet è stato concepito da Stati Uniti e Israele e Duqu, il worm-Stuxnet che spia l'industria UE) scoperti nel 2011.

Wiper...

Wiper però è forse ancora più pericoloso, perché se l'obiettivo degli altri malware era lo spionaggio, sembra che lo scopo di questo sia cancellare tutti i dati presenti sull'hard disk infettato. S'ipotizza quindi che esista un'intera squadra di virus pensati per spiare prima e cancellare poi le proprie tracce, e nel farlo anche i dati della vittima. Un team del male di cui potrebbe far parte anche Flame (Flame è un mostruoso virus per PC che ridicolizza Stuxnet), anche se quest'ultima ipotesi sembra piuttosto fragile.

Kaspersky ipotizza una parentela tra Wiper e gli altri virus a causa di alcune somiglianze nei nomi dei file temporanei che generano, e anche perché questo distruttore cerca prima di tutto di eliminare i file crittografati con estensione .PNF nella cartella INF di Windows; una descrizione che collima con i file principali tanto di Stuxnet quanto di Duqu.

Non si può essere certi del legame tra Wiper e Duqu o Stuxnet, ma è possibile che fosse l'ultimo soldato del gruppo, mandato sul campo con il compito di cancellare le tracce lasciate dagli altri. Perché, forse, si trattava d'indizi e prove così compromettenti che andavano distrutte, anche a costo di compromettere l'operazione.

...e Swiper

Wiper ha svolto il proprio compito praticamente alla perfezione, eliminando quasi tutti i dati che i tecnici forensi avrebbero potuto usare per capirci qualcosa di più. In sostanza potrebbe essere quasi impossibile risalire alle origini delle operazioni.

Ci sono tuttavia ancora dei file la cui natura è sconosciuta. Si può dare per certo quindi che la faccenda non sia conclusa, e che questo non è che un capitolo centrale nella storia dell'attacco informatico più complesso e avanzato di cui si abbia memoria.

Ciò che stiamo osservando con gli occhi di Kasperky sono forse le macerie create da una guerra digitale tra nazioni notoriamente in contrasto? È possibile, ma non c'è modo di affermarlo con certezza; per fortuna, perché se un Paese un giorno potesse affermare oltre ogni dubbio che un altro lo ha attaccato con armi digitali, non possiamo escludere che ricorrerebbe a metodi molto più distruttivi.

Dobbiamo forse sperare di restare all'oscuro, per evitare un male più grande? "Intuisco, ma preferisco non essere certo" sarebbe uno scenario nuovo, a cui né Orwell né Huxley avevano immaginato. E voi?