Kapsersky မွ Security သုေတသီမ်ားဟာ April လကတည္းက wiper malware ေတြဟာ Iran Oil Ministry မွာရွိတဲ့ Servers ေတြဆီမွာရိွေနေၾကာင္း Aug 30,2012 ကထုတ္ျပန္လိုက္ပါတယ္။
Kaspersky မွ Security သုေတသီမ်ားဟာ April လအတြင္း Iran Oil Ministry ကို attacking လုပ္ခဲ့
တဲ့ mysterious wiper malware ဟာ ယခင္ကေပၚေပါက္ခဲ့တဲ့ stuxnet နဲ ့Duqu တို ့နဲ ့ပါခ်ိတ္ဆက္
ျပီး Cyber crime လုပ္ခဲ့ေၾကာင္းထုတ္ေဖာ္လိုက္ပါတယ္။
April လကထုတ္ျပန္တဲ့ reports ေတြအရ Iran မွာရိွတဲ့ Server ေပါင္းမ်ားစြာထဲက data ေတြဟာ
ဖ်က္ဆီးခံရေၾကာင္း၊ ဘာေၾကာင့္အဲလိုျဖစ္တာလဲဆိုတာ ITU ( International Telecommunication
Union) ကေနျပီး Kaspersky Lab ကို ဒီကိစၥနဲ ့ပတ္သက္ျပီးစံုစမ္းေစခဲ့ရာမွ ဒီ malware ေၾကာင့္ဆိုတာ
ေပၚလာတာျဖစ္ပါတယ္။
Kaspersky က Security သုေတသီေတြဟာပထမေတာ့ အစရွာလို ့မရေအာင္ပဲ အခက္အခဲေတြေတြ ့
ခဲ့ၾကေပမယ့္ ...(အဲဒီ malware ရဲ ့Data Store Devices ( Harddisk, ....) ေတြမွာ wipe လုပ္ထားတာ
ေၾကာင့္ေျခရာခံဖို ့အခက္ေတြ ့ခဲ့ၾကေပမယ့္လည္း )ေနာက္ပိုင္းေတာ့ Affected ျဖစ္ေနတဲ့ Harddisk
Drives ေတြရဲ ့အစိတ္အပို္င္းအခ်ိဳ ့ကေန ေျခရာခံႏိုင္ခဲ့ျပီးေဖာ္ထုတ္ႏိုင္ခဲ့တာျဖစ္ပါတယ္။
သူတို ့အဲဒီ malware ကိုေတြ ့ရိွမွဳေၾကာင့္ အဲဒီ malware နဲ ့စပ္ဆက္ေနတဲ့ Flame( stuxnet ) နဲ ့
Gauss တို ့နဲ ့ခ်ိတ္ဆက္ျပီး national state အဆင့္ရိွတဲ့ network ေတြကိုရွဳပ္ေထြးလွတဲ့
cyberespionage threats အျဖစ္တိုက္ခိုက္ခဲ့ေၾကာင္းလည္း ေတြ ့ရိွခဲ့ရပါတယ္။
သုေတသီေတြဟာ Affected ျဖစ္ေနတဲ့ Harddisk ရဲ ့data storage bit unit အခ်ိဳ ့ကိုစမ္းသပ္
ခဲ့ျပီးေနာက္ Flame componet မ်ားလိုမဟုတ္ပဲနဲ ့့harddisk ထဲမွာ malware အနည္းငယ္
က်န္ေနရံုနဲ ့ရွဳပ္ေထြးလွတဲ့ wipe algorithm တို ့ေၾကာင့္ Malware ဟာ harddisk ထဲမွာ ကိုယ္
ေရာင္ေပ်ာက္ေနႏိုင္ေၾကာင္းဆိုပါတယ္။ ( Malware ရိွလို ့ရိွမွန္းမသိေအာင္ hidden လုပ္ျပီး
ေနႏိုင္တာကိုဆိုလုိတာပါ )
" ဒီ malware တိုက္ခိုက္မွဳဟာ April 2012 ကတည္းက စျပီး တိုက္ခိုက္ခဲ့တာျဖစ္တယ္ဆိုတာကြ်န္
ေတာ္တို ့အတိအက်ေျပာႏိုင္ပါျပီ။" လို ့Kaspersky's global research and analysis team က
သုေတသီေတြက သူတို ့ရဲ ့blog မွာဗုဒၶဟူးေန ့ကၾကျငာခဲ့ပါတယ္။" အဲဒီလိုျဖစ္ရပ္မ်ိဳးေတြ ဟာ
December 2011 ကတည္းက ျဖစ္ခဲ့တယ္ " လို ့ဆိုပါတယ္။
Flame attack နဲ ့မတူညီတာကေတာ့ stuxnet နဲ ့Duqu တို ့နဲ ့ခ်ိတ္ဆက္ေနေၾကာင္း အေထာက္
အထားေတြ ေတြ ့ခဲ့ရလို ့ပဲျဖစ္ပါတယ္။
ဥပမာဆိုရရင္....harddisk အခ်ိဳ ့ကို analysted လုပ္ျပီးတဲ့အခါမွာ သုေတသီေတြ ဟာRAHDAUD64
လို ့ေခၚတဲ ့traces of a service တစ္ခုကိုေတြ ့ရမွာျဖစ္ပါတယ္။ အဲဒီ ထဲမွာDFXX.tmp လို ့ေခၚတဲ့ file
ကအလုပ္လုပ္ပါတယ္။ XX ဆိုတာကေတာ့ random 2 digits ျဖစ္ျပီးေတာ့ အဲဒီ 2 digits ဟာ C:\windows\ထဲက temp folder ကိုညြန္းထားတာျဖစ္ပါတယ္။
"ကြ်န္ေတာ္တို ့အဲဒါကိုစစ္ေနခ်ိန္မွာကြ်န္ေတာ္တို ့ဟာ Duqu file နဲ ့format နဲ temp file တစ္ခု တက္လာတာကိုေျခရာခံမိရင္းကေန Duqu ကို track လုပ္မိတာျဖစ္ပါတယ္။" လို ့သုေတသီက ဆို
ပါတယ္။ "the CrySyS lab ကဟန္ေဂရီသုေတသီ Boldizsar Bencsath က Duqu ရဲ ့temp file
ကို ?dqXX.tmpA လို ့သတ္မွတ္ခဲ့တာျဖစ္ျပီးေတာ့ ကြ်န္ေတာ္တို ့ဟာ အဲဒီ temp file ကိုေတြ ့ခဲ့တာ
ျဖစ္ပါတယ္။" လို ့သုေတသီကဆိုပါတယ္။
"" (tilde) symbolကို file name အစျဖစ္သံုးထားတဲ့ temp file ေပါင္းမ်ားစြာကိုစစ္ေဆးေတြ ့ရိွခဲ့ရ
ျပီးေနာက္ Tilded Platform တစ္ခုတည္းမွာပဲ Stuxnet နဲ ့Duqu တို ့affect ျဖစ္ႏိုင္ေအာင္လုပ္ေဆာင္
ထားတာကိုလည္း Kaspersky သုေတသီေတြက ေတြ ့ရိွခဲ့ပါတယ္။
သုေတသီေတြဟာ DFXX.tmp ကိုေတာ ့wiper data destruction route ေၾကာင့္မို ့လို ့recover ေတာ့
ျပန္လုပ္လို ့မရႏိုင္ေတာ့ဘူးလို ့ဆိုပါတယ္။( ဆိုလိုတာကေတာ့...အဲဒီ temp file ကို recover လုပ္ႏိုင္
ရင္ harddisk ထဲမွာ virus မရိွႏိုင္ေတာ့ဘူးေပါ့ဗ်ာ။ )
တကယ္ေတာ့ဒီ wiper က stuxnet နဲ ့duqu တို ့ကို prioritized လုပ္ထားတဲ့ process link ပါတယ္လို ့
ဆိုလိုပါတယ္။ ဒီ malware ၀င္ေရာက္လာျပီး *.PNF အေနနဲ ့wipe process လုပ္ပါတယ္။ အဲဒီ *.PNF
ထဲမွာ Stuxnet နဲ ့Duqu တို ့ရဲ ့virus components ေတြကို encrypted လုပ္ထားေစပါတယ္လို ့
သုေတသီေတြကေျပာပါတယ္။
ဒီျဖစ္စဥ္ေတြေၾကာင့္ Wiper Malware ဟာ Stuxnet တို ့Duqu တို ့နဲ ့ခ်ိတ္ဆက္ျပီး process လုပ္ေန
နိုင္ေၾကာင္း။ေနာက္ PC & Networking Security ပိုင္းေတြအတြက္သတိျပဳစရာ Malware တစ္ခုျဖစ္
ေၾကာင္းKapsersky Lab မွ Security သုေတသီေတြကိုးကားခ်က္ကိုမွီျငမ္းျပီးေရးသားလိုက္ရပါတယ္။
Kaspersky မွ Security သုေတသီမ်ားဟာ April လအတြင္း Iran Oil Ministry ကို attacking လုပ္ခဲ့
တဲ့ mysterious wiper malware ဟာ ယခင္ကေပၚေပါက္ခဲ့တဲ့ stuxnet နဲ ့Duqu တို ့နဲ ့ပါခ်ိတ္ဆက္
ျပီး Cyber crime လုပ္ခဲ့ေၾကာင္းထုတ္ေဖာ္လိုက္ပါတယ္။
April လကထုတ္ျပန္တဲ့ reports ေတြအရ Iran မွာရိွတဲ့ Server ေပါင္းမ်ားစြာထဲက data ေတြဟာ
ဖ်က္ဆီးခံရေၾကာင္း၊ ဘာေၾကာင့္အဲလိုျဖစ္တာလဲဆိုတာ ITU ( International Telecommunication
Union) ကေနျပီး Kaspersky Lab ကို ဒီကိစၥနဲ ့ပတ္သက္ျပီးစံုစမ္းေစခဲ့ရာမွ ဒီ malware ေၾကာင့္ဆိုတာ
ေပၚလာတာျဖစ္ပါတယ္။
Kaspersky က Security သုေတသီေတြဟာပထမေတာ့ အစရွာလို ့မရေအာင္ပဲ အခက္အခဲေတြေတြ ့
ခဲ့ၾကေပမယ့္ ...(အဲဒီ malware ရဲ ့Data Store Devices ( Harddisk, ....) ေတြမွာ wipe လုပ္ထားတာ
ေၾကာင့္ေျခရာခံဖို ့အခက္ေတြ ့ခဲ့ၾကေပမယ့္လည္း )ေနာက္ပိုင္းေတာ့ Affected ျဖစ္ေနတဲ့ Harddisk
Drives ေတြရဲ ့အစိတ္အပို္င္းအခ်ိဳ ့ကေန ေျခရာခံႏိုင္ခဲ့ျပီးေဖာ္ထုတ္ႏိုင္ခဲ့တာျဖစ္ပါတယ္။
သူတို ့အဲဒီ malware ကိုေတြ ့ရိွမွဳေၾကာင့္ အဲဒီ malware နဲ ့စပ္ဆက္ေနတဲ့ Flame( stuxnet ) နဲ ့
Gauss တို ့နဲ ့ခ်ိတ္ဆက္ျပီး national state အဆင့္ရိွတဲ့ network ေတြကိုရွဳပ္ေထြးလွတဲ့
cyberespionage threats အျဖစ္တိုက္ခိုက္ခဲ့ေၾကာင္းလည္း ေတြ ့ရိွခဲ့ရပါတယ္။
သုေတသီေတြဟာ Affected ျဖစ္ေနတဲ့ Harddisk ရဲ ့data storage bit unit အခ်ိဳ ့ကိုစမ္းသပ္
ခဲ့ျပီးေနာက္ Flame componet မ်ားလိုမဟုတ္ပဲနဲ ့့harddisk ထဲမွာ malware အနည္းငယ္
က်န္ေနရံုနဲ ့ရွဳပ္ေထြးလွတဲ့ wipe algorithm တို ့ေၾကာင့္ Malware ဟာ harddisk ထဲမွာ ကိုယ္
ေရာင္ေပ်ာက္ေနႏိုင္ေၾကာင္းဆိုပါတယ္။ ( Malware ရိွလို ့ရိွမွန္းမသိေအာင္ hidden လုပ္ျပီး
ေနႏိုင္တာကိုဆိုလုိတာပါ )
" ဒီ malware တိုက္ခိုက္မွဳဟာ April 2012 ကတည္းက စျပီး တိုက္ခိုက္ခဲ့တာျဖစ္တယ္ဆိုတာကြ်န္
ေတာ္တို ့အတိအက်ေျပာႏိုင္ပါျပီ။" လို ့Kaspersky's global research and analysis team က
သုေတသီေတြက သူတို ့ရဲ ့blog မွာဗုဒၶဟူးေန ့ကၾကျငာခဲ့ပါတယ္။" အဲဒီလိုျဖစ္ရပ္မ်ိဳးေတြ ဟာ
December 2011 ကတည္းက ျဖစ္ခဲ့တယ္ " လို ့ဆိုပါတယ္။
Flame attack နဲ ့မတူညီတာကေတာ့ stuxnet နဲ ့Duqu တို ့နဲ ့ခ်ိတ္ဆက္ေနေၾကာင္း အေထာက္
အထားေတြ ေတြ ့ခဲ့ရလို ့ပဲျဖစ္ပါတယ္။
ဥပမာဆိုရရင္....harddisk အခ်ိဳ ့ကို analysted လုပ္ျပီးတဲ့အခါမွာ သုေတသီေတြ ဟာRAHDAUD64
လို ့ေခၚတဲ ့traces of a service တစ္ခုကိုေတြ ့ရမွာျဖစ္ပါတယ္။ အဲဒီ ထဲမွာDFXX.tmp လို ့ေခၚတဲ့ file
ကအလုပ္လုပ္ပါတယ္။ XX ဆိုတာကေတာ့ random 2 digits ျဖစ္ျပီးေတာ့ အဲဒီ 2 digits ဟာ C:\windows\ထဲက temp folder ကိုညြန္းထားတာျဖစ္ပါတယ္။
"ကြ်န္ေတာ္တို ့အဲဒါကိုစစ္ေနခ်ိန္မွာကြ်န္ေတာ္တို ့ဟာ Duqu file နဲ ့format နဲ temp file တစ္ခု တက္လာတာကိုေျခရာခံမိရင္းကေန Duqu ကို track လုပ္မိတာျဖစ္ပါတယ္။" လို ့သုေတသီက ဆို
ပါတယ္။ "the CrySyS lab ကဟန္ေဂရီသုေတသီ Boldizsar Bencsath က Duqu ရဲ ့temp file
ကို ?dqXX.tmpA လို ့သတ္မွတ္ခဲ့တာျဖစ္ျပီးေတာ့ ကြ်န္ေတာ္တို ့ဟာ အဲဒီ temp file ကိုေတြ ့ခဲ့တာ
ျဖစ္ပါတယ္။" လို ့သုေတသီကဆိုပါတယ္။
"" (tilde) symbolကို file name အစျဖစ္သံုးထားတဲ့ temp file ေပါင္းမ်ားစြာကိုစစ္ေဆးေတြ ့ရိွခဲ့ရ
ျပီးေနာက္ Tilded Platform တစ္ခုတည္းမွာပဲ Stuxnet နဲ ့Duqu တို ့affect ျဖစ္ႏိုင္ေအာင္လုပ္ေဆာင္
ထားတာကိုလည္း Kaspersky သုေတသီေတြက ေတြ ့ရိွခဲ့ပါတယ္။
သုေတသီေတြဟာ DFXX.tmp ကိုေတာ ့wiper data destruction route ေၾကာင့္မို ့လို ့recover ေတာ့
ျပန္လုပ္လို ့မရႏိုင္ေတာ့ဘူးလို ့ဆိုပါတယ္။( ဆိုလိုတာကေတာ့...အဲဒီ temp file ကို recover လုပ္ႏိုင္
ရင္ harddisk ထဲမွာ virus မရိွႏိုင္ေတာ့ဘူးေပါ့ဗ်ာ။ )
တကယ္ေတာ့ဒီ wiper က stuxnet နဲ ့duqu တို ့ကို prioritized လုပ္ထားတဲ့ process link ပါတယ္လို ့
ဆိုလိုပါတယ္။ ဒီ malware ၀င္ေရာက္လာျပီး *.PNF အေနနဲ ့wipe process လုပ္ပါတယ္။ အဲဒီ *.PNF
ထဲမွာ Stuxnet နဲ ့Duqu တို ့ရဲ ့virus components ေတြကို encrypted လုပ္ထားေစပါတယ္လို ့
သုေတသီေတြကေျပာပါတယ္။
ဒီျဖစ္စဥ္ေတြေၾကာင့္ Wiper Malware ဟာ Stuxnet တို ့Duqu တို ့နဲ ့ခ်ိတ္ဆက္ျပီး process လုပ္ေန
နိုင္ေၾကာင္း။ေနာက္ PC & Networking Security ပိုင္းေတြအတြက္သတိျပဳစရာ Malware တစ္ခုျဖစ္
ေၾကာင္းKapsersky Lab မွ Security သုေတသီေတြကိုးကားခ်က္ကိုမွီျငမ္းျပီးေရးသားလိုက္ရပါတယ္။
No comments:
Post a Comment