Duqu i Stuxnet to nie jedyny problem?

04-01-2012, 07:57

Nowe informacje dotyczące trojanów Duqu i Stuxnet pozwalają założyć, że w obu przypadkach wykorzystano tę samą platformę, która może być dostosowywana do określonych celów - twierdzą eksperci z Kaspersky Lab.

Według Kaspersky Lab platforma ta, określana jako "Tilded" ze względu na tendencję jej twórców do wykorzystywania plików rozpoczynających się od znaku tyldy (~), została wykorzystana do stworzenia Stuxneta i Duqu, jak również innych szkodliwych programów.

Związek między Duqu a Stuxnetem został wykryty podczas analizy jednego z incydentów z udziałem Duqu. Podczas badania zainfekowanego systemu, który został prawdopodobnie zaatakowany w sierpniu 2011 r., znaleziono sterownik podobny do tego stosowanego przez jedną z wersji Stuxneta. Sterowniki te, mimo wyraźnych podobieństw, różniły się kilkoma szczegółami, takimi jak data podpisu certyfikatu cyfrowego. Nie znaleziono innych plików powiązanych z aktywnością Stuxneta, zidentyfikowano jednak ślady aktywności Duqu.

Podczas przetwarzania uzyskanych informacji oraz dalszego przeszukiwania utrzymywanej przez Kaspersky Lab bazy szkodliwych programów udało się zidentyfikować jeszcze jeden sterownik o podobnych cechach. Sterownik ten wykryto ponad rok temu, jednak plik został skompilowany w styczniu 2008 r., rok przed stworzeniem sterowników wykorzystywanych przez Stuxneta. Łącznie eksperci z Kaspersky Lab znaleźli siedem typów sterowników o podobnych cechach. Na szczególną uwagę zasługuje fakt, że w przypadku trzech z nich jak dotąd nie wiadomo, z którymi konkretnie szkodliwymi programami były wykorzystywane.

Czytaj też: Duqu wykorzystuje dziury Windowsa

- Przypuszczamy, że sterowniki te były wykorzystywane albo we wcześniejszej wersji Duqu, albo do infekcji przy użyciu całkowicie innych szkodliwych programów, które korzystały z tej samej platformy i - prawdopodobnie - zostały stworzone przez ten sam zespół - powiedział Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab.

Według analityków z Kaspersky Lab cyberprzestępcy odpowiedzialni za Duqu i Stuxneta kilka razy w roku tworzą nową wersję sterownika, który służy do ładowania głównego modułu tego szkodliwego oprogramowania. Po zaplanowaniu nowych ataków przy pomocy specjalnego programu zostaje zmienionych kilka parametrów sterownika, na przykład klucz rejestru. W zależności od zadania takie pliki mogą zostać podpisane legalnym certyfikatem cyfrowym lub pozostać bez podpisu.

Duqu i Stuxnet to osobne projekty opierające się na jednej platformie "Tilded", która powstała między końcem 2007 r. a początkiem 2008 r. Istnieje duże prawdopodobieństwo, że nie był to jedyny projekt, jednak cele i zadania różnych wariantów trojana nie są jeszcze znane. Nie można wykluczyć, że platforma nadal jest rozwijana. Co więcej, wykrycie Duqu przez ekspertów ds. bezpieczeństwa oznacza, że w platformie wprowadzane są lub zostaną wprowadzone dalsze zmiany.

Czytaj też: Antywirusowe wróżenie z fusów


Źródło: Kaspersky Lab
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031