Nieznany język programowania w trojanie Duqu

09-03-2012, 10:01

Część kodu trojana, nazwana przez ekspertów "Szkieletem Duqu", została napisana w nieznanym języku programowania - poinformował Kaspersky Lab, apelując do społeczności programistów o pomoc w analizie.

Według ekspertów Duqu został stworzony przez te same osoby, które są odpowiedzialne za niesławnego robaka Stuxnet. Szkodnik ten pełni przede wszystkim funkcję backdoora otwierającego tylne drzwi do systemu i ułatwia kradzież prywatnych informacji. Duqu wykryto we wrześniu 2011 r., jednak według danych Kaspersky Lab pierwszy ślad tego szkodnika pochodzi z sierpnia 2007 r. Odnotowano kilkanaście incydentów z udziałem Duqu, przy czym zdecydowana większość jego ofiar była zlokalizowana w Iranie. Analiza działalności zaatakowanych organizacji oraz charakteru informacji, na które polowali autorzy trojana, wyraźnie sugeruje, że głównym celem ataków była kradzież informacji dotyczących przemysłowych systemów kontroli wykorzystywanych w wielu branżach, jak również gromadzenie danych o związkach handlowych między wieloma różnymi organizacjami irańskimi.

Czytaj także: Kaspersky Lab doszukał się kolejnych analogii między Duqu a Stuxnetem

Nierozwikłaną dotąd tajemnicą Duqu jest sposób, w jaki szkodnik ten komunikował się ze swoimi serwerami kontroli po zainfekowaniu maszyny ofiary. Po szczegółowym przeanalizowaniu jednej z bibliotek trojana specjaliści odkryli, że pewna jej sekcja, odpowiedzialna właśnie za komunikację, została napisana w nieznanym języku programowania. Kaspersky Lab nazwał tę sekcję „Szkieletem Duqu”.

W przeciwieństwie do pozostałej części trojana „Szkielet Duqu” nie został napisany w języku C++ ani skompilowany przy użyciu Visual C++ 2008 Microsoftu. Jego autorzy mogli zastosować stworzony przez siebie szkielet, aby wygenerować pośredni kod C lub wykorzystać całkowicie inny język programowania. Na razie wiadomo, że jest to obiektowy język programowania, który wykonuje własny zestaw działań charakterystycznych dla aplikacji sieciowych.

Język zastosowany w „Szkielecie Duqu” pozwala bibliotece odpowiedzialnej za komunikację działać niezależnie od innych modułów trojana i łączy ją z jej serwerami kontroli na różne sposoby, łącznie z Windows HTTP, gniazdami sieciowymi oraz serwerami proxy. Umożliwia też bezpośrednie przetwarzanie żądań HTTP, przesyłanie kopii skradzionych informacji z zainfekowanej maszyny do serwera cyberprzestępców, a nawet rozprzestrzenianie infekcji na inne komputery w sieci.

Czytaj także: Twórcy Duqu z wątpliwym poczuciem humoru

- Biorąc pod uwagę rozmach projektu Duqu, możliwe, że za „Szkielet Duqu” odpowiadał całkowicie inny zespół niż ten, który stworzył sterowniki i napisał moduły infekujące system - uważa Aleksander Gostiew, główny ekspert ds. bezpieczeństwa w Kaspersky Lab. Według niego stworzenie wyspecjalizowanego języka programowania świadczy o wysokich umiejętnościach osób pracujących nad trojanem oraz mobilizacji znacznych zasobów finansowych i ludzkich w celu realizacji projektu.

Pełna wersja analizy „Szkieletu Duqu” autorstwa Igora Sołmenkowa i Costina Raiu jest dostępna (w języku angielskim) na stronie www.securelist.com. Kaspersky Lab apeluje do społeczności programistów, prosząc każdego, kto rozpoznaje ten szkielet, zestaw narzędzi lub język programowania, który może wygenerować podobne konstrukcje kodu, o skontaktowanie się z ekspertami firmy pod adresem stopduqu@kaspersky.com

Czytaj także: Stuxnet miał kilku kuzynów


Źródło: Kaspersky Lab
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2020»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
282930