Duqu i Stuxnet stworzone przez tych samych cyberprzestępców
Nowe informacje dotyczące trojanów Duqu i Stuxnet potwierdzają, że za tą rodziną szkodliwych programów stoi jednak grupa cyberprzestępców. Pozwalają również założyć, że w obu przypadkach wykorzystano tę samą platformę, która może być dostosowywana do określonych celów.
Ponadto, istnieje możliwość, że platforma ta powstała na długo przed epidemią Stuxneta i była wykorzystywana o wiele aktywniej niż sądzono do tej pory. Do takiego wniosku doszli eksperci z Kaspersky Lab na podstawie szczegółowej analizy sterowników wykorzystywanych przez Duqu oraz Stuxneta do infekowania systemów.
Według ekspertów z Kaspersky Lab, platforma ta, określona jako "Tilded", ze względu na tendencję jej twórców do wykorzystywania plików rozpoczynających się od znaku tyldy (~), została wykorzystana do stworzenia Stuxneta i Duqu, jak również innych szkodliwych programów.
Związek między Duqu a Stuxnetem został wykryty podczas analizy jednego z incydentów z udziałem Duqu. Podczas badania zainfekowanego systemu, który został prawdopodobnie zaatakowany w sierpniu 2011 roku, znaleziono sterownik podobny do tego stosowanego przez jedną z wersji Stuxneta. Sterowniki te, mimo wyraźnych podobieństw, różniły się kilkoma szczegółami, takimi jak data podpisu certyfikatu cyfrowego. Nie znaleziono innych plików powiązanych z aktywnością Stuxneta, zidentyfikowano jednak ślady aktywności Duqu.
Podczas przetwarzania uzyskanych informacji oraz dalszego przeszukiwania utrzymywanej przez Kaspersky Lab bazy szkodliwych programów udało się zidentyfikować jeszcze jeden sterownik o podobnych cechach. Sterownik ten wykryto ponad rok temu, jednak plik został skompilowany w styczniu 2008 r., rok przed stworzeniem sterowników wykorzystywanych przez Stuxneta. Łącznie eksperci z Kaspersky Lab znaleźli siedem typów sterowników o podobnych cechach. Na szczególną uwagę zasługuje fakt, że w przypadku trzech z nich jak dotąd nie wiadomo, z którymi konkretnie szkodliwymi programami były wykorzystywane.
Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab, powiedział: "Przypuszczamy, że sterowniki te były wykorzystywane albo we wcześniejszej wersji Duqu, albo do infekcji przy użyciu całkowicie innych szkodliwych programów, które korzystały z tej samej platformy i - prawdopodobnie - zostały stworzone przez ten sam zespół".
Według ekspertów z Kaspersky Lab, cyberprzestępcy odpowiedzialni za Duqu i Stuxneta kilka razy w roku tworzą nową wersję sterownika, który służy do ładowania głównego modułu tego szkodliwego oprogramowania. Po zaplanowaniu nowych ataków przy pomocy specjalnego programu zostaje zmienionych kilka parametrów sterownika, na przykład klucz rejestru. W zależności od zadania, takie pliki mogą zostać podpisane legalnym certyfikatem cyfrowym lub pozostać bez podpisu.
Podsumowując, Duqu i Stuxnet to osobne projekty opierające się na jednej platformie - Tilded - która powstała między końcem 2007 roku a początkiem 2008 roku. Istnieje duże prawdopodobieństwo, że nie był to jedyny projekt, jednak cele i zadania różnych wariantów tego trojana nie są jeszcze znane. Nie można wykluczyć, że platforma ta nadal jest rozwijana. Co więcej, wykrycie Duqu przez ekspertów ds. bezpieczeństwa oznacza, że w platformie wprowadzane są lub zostaną wprowadzone dalsze zmiany.
Szczegóły techniczne analizy trojanów Duqu i Stuxnet można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=692.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.