Eksperci z Kaspersky Lab: Duqu i Stuxnet nie s膮 jedynymi szkodliwymi programami stworzonymi przez tych samych cyberprzest臋pc贸w
Nowe informacje dotycz膮ce trojan贸w Duqu i Stuxnet potwierdzaj膮, 偶e za t膮 rodzin膮 szkodliwych program贸w stoi jednak grupa cyberprzest臋pc贸w. Pozwalaj膮 r贸wnie偶 za艂o偶y膰, 偶e w obu przypadkach wykorzystano t臋 sam膮 platform臋, kt贸ra mo偶e by膰 dostosowywana do okre艣lonych cel贸w. Ponadto, istnieje mo偶liwo艣膰, 偶e platforma ta powsta艂a na d艂ugo przed epidemi膮 Stuxneta i by艂a wykorzystywana o wiele aktywniej ni偶 s膮dzono do tej pory. Do takiego wniosku doszli eksperci z Kaspersky Lab na podstawie szczeg贸艂owej analizy sterownik贸w wykorzystywanych przez Duqu oraz Stuxneta do infekowania system贸w.
Wed艂ug ekspert贸w z Kaspersky Lab, platforma ta, okre艣lona jako "Tilded", ze wzgl臋du na tendencj臋 jej tw贸rc贸w do wykorzystywania plik贸w rozpoczynaj膮cych si臋 od znaku tyldy (~), zosta艂a wykorzystana do stworzenia Stuxneta i Duqu, jak r贸wnie偶 innych szkodliwych program贸w.
Zwi膮zek mi臋dzy Duqu a Stuxnetem zosta艂 wykryty podczas analizy jednego z incydent贸w z udzia艂em Duqu. Podczas badania zainfekowanego systemu, kt贸ry zosta艂 prawdopodobnie zaatakowany w sierpniu 2011 roku, znaleziono sterownik podobny do tego stosowanego przez jedn膮 z wersji Stuxneta. Sterowniki te, mimo wyra藕nych podobie艅stw, r贸偶ni艂y si臋 kilkoma szczeg贸艂ami, takimi jak data podpisu certyfikatu cyfrowego. Nie znaleziono innych plik贸w powi膮zanych z aktywno艣ci膮 Stuxneta, zidentyfikowano jednak 艣lady aktywno艣ci Duqu.
Podczas przetwarzania uzyskanych informacji oraz dalszego przeszukiwania utrzymywanej przez Kaspersky Lab bazy szkodliwych program贸w uda艂o si臋 zidentyfikowa膰 jeszcze jeden sterownik o podobnych cechach. Sterownik ten wykryto ponad rok temu, jednak plik zosta艂 skompilowany w styczniu 2008 r., rok przed stworzeniem sterownik贸w wykorzystywanych przez Stuxneta. 艁膮cznie eksperci z Kaspersky Lab znale藕li siedem typ贸w sterownik贸w o podobnych cechach. Na szczeg贸ln膮 uwag臋 zas艂uguje fakt, 偶e w przypadku trzech z nich jak dot膮d nie wiadomo, z kt贸rymi konkretnie szkodliwymi programami by艂y wykorzystywane.
Aleksander Gostiew, g艂贸wny ekspert ds. bezpiecze艅stwa, Kaspersky Lab, powiedzia艂: "Przypuszczamy, 偶e sterowniki te by艂y wykorzystywane albo we wcze艣niejszej wersji Duqu, albo do infekcji przy u偶yciu ca艂kowicie innych szkodliwych program贸w, kt贸re korzysta艂y z tej samej platformy i - prawdopodobnie - zosta艂y stworzone przez ten sam zesp贸艂".
Wed艂ug ekspert贸w z Kaspersky Lab, cyberprzest臋pcy odpowiedzialni za Duqu i Stuxneta kilka razy w roku tworz膮 now膮 wersj臋 sterownika, kt贸ry s艂u偶y do 艂adowania g艂贸wnego modu艂u tego szkodliwego oprogramowania. Po zaplanowaniu nowych atak贸w przy pomocy specjalnego programu zostaje zmienionych kilka parametr贸w sterownika, na przyk艂ad klucz rejestru. W zale偶no艣ci od zadania, takie pliki mog膮 zosta膰 podpisane legalnym certyfikatem cyfrowym lub pozosta膰 bez podpisu.
Podsumowuj膮c, Duqu i Stuxnet to osobne projekty opieraj膮ce si臋 na jednej platformie - Tilded - kt贸ra powsta艂a mi臋dzy ko艅cem 2007 roku a pocz膮tkiem 2008 roku. Istnieje du偶e prawdopodobie艅stwo, 偶e nie by艂 to jedyny projekt, jednak cele i zadania r贸偶nych wariant贸w tego trojana nie s膮 jeszcze znane. Nie mo偶na wykluczy膰, 偶e platforma ta nadal jest rozwijana. Co wi臋cej, wykrycie Duqu przez ekspert贸w ds. bezpiecze艅stwa oznacza, 偶e w platformie wprowadzane s膮 lub zostan膮 wprowadzone dalsze zmiany.
Szczeg贸艂y techniczne analizy trojan贸w Duqu i Stuxnet mo偶na znale藕膰 w Encyklopedii Wirus贸w VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=692.
殴ród艂o: Kaspersky Lab |