Duqu, Stuxnet i nie tylko

Nowe informacje dotyczące trojanów Duqu i Stuxnet potwierdzają, że za tą rodziną szkodliwych programów stoi jednak grupa cyberprzestępców.

Pozwalają również założyć, że w obu przypadkach wykorzystano tę samą platformę, która może być dostosowywana do określonych celów. Ponadto, istnieje możliwość, że platforma ta powstała na długo przed epidemią Stuxneta i była wykorzystywana o wiele aktywniej niż sądzono do tej pory. Do takiego wniosku doszli eksperci z Kaspersky Lab na podstawie szczegółowej analizy sterowników wykorzystywanych przez Duqu oraz Stuxneta do infekowania systemów.

Według ekspertów z Kaspersky Lab, platforma ta, określona jako Tilded, ze względu na tendencję jej twórców do wykorzystywania plików rozpoczynających się od znaku tyldy (~), została wykorzystana do stworzenia Stuxneta i Duqu, jak również innych szkodliwych programów.

Związek między Duqu a Stuxnetem został wykryty podczas analizy jednego z incydentów z udziałem Duqu. Podczas badania zainfekowanego systemu, który został prawdopodobnie zaatakowany w sierpniu 2011 roku, znaleziono sterownik podobny do tego stosowanego przez jedną z wersji Stuxneta. Sterowniki te, mimo wyraźnych podobieństw, różniły się kilkoma szczegółami, takimi jak data podpisu certyfikatu cyfrowego. Nie znaleziono innych plików powiązanych z aktywnością Stuxneta, zidentyfikowano jednak ślady aktywności Duqu.

Podczas przetwarzania uzyskanych informacji oraz dalszego przeszukiwania utrzymywanej przez Kaspersky Lab bazy szkodliwych programów udało się zidentyfikować jeszcze jeden sterownik o podobnych cechach. Sterownik ten wykryto ponad rok temu, jednak plik został skompilowany w styczniu 2008 r., rok przed stworzeniem sterowników wykorzystywanych przez Stuxneta. Łącznie eksperci z Kaspersky Lab znaleźli siedem typów sterowników o podobnych cechach. Na szczególną uwagę zasługuje fakt, że w przypadku trzech z nich jak dotąd nie wiadomo, z którymi konkretnie szkodliwymi programami były wykorzystywane.

Według ekspertów z Kaspersky Lab, cyberprzestępcy odpowiedzialni za Duqu i Stuxneta kilka razy w roku tworzą nową wersję sterownika, który służy do ładowania głównego modułu tego szkodliwego oprogramowania. Po zaplanowaniu nowych ataków przy pomocy specjalnego programu zostaje zmienionych kilka parametrów sterownika, na przykład klucz rejestru. W zależności od zadania, takie pliki mogą zostać podpisane legalnym certyfikatem cyfrowym lub pozostać bez podpisu.

źródło: KasperskyLab