Duqu un Stuxnet – liela plāna daļas

Kaspersky Lab ir pabeidzis kaitīgo programmatūru Duqu un Stuxnet kārtējo izpētes posmu. Iegūtās informācijas detalizēta analīze ne vien apstiprināja ekspertu pieņēmumu, ka tām ir kopīgs «autors», bet arī deva iespēju izteikt pieļāvumu, ka to pamatā likta vienota platforma.

Platforma ar nosacītu nosaukumu «Tilded», kas, pēc Kaspersky Lab analītiķu domām, ir izmantota Stuxnet, Duqu, kā arī citu kaitīgo programmatūru izveidei, var būt izstrādāta jau sen pirms Stuxnet epidēmijas. Šādu secinājumu eksperti izdarīja, pamatojoties uz sistēmu inficēšanai ar Duqu un Stuxnet, kā arī pagaidām nezināmām kaitīgajām programmatūrām domāto draiveru detalizētu analīzi.

Kaitīgo programmatūru kopējās saknes tika atklātas, analizējot vienu no incidentiem, kas saistīts ar Duqu. Pētot inficēto sistēmu, kurai uzbrukums veikts, iespējams, 2011. gada augustā, eksperti konstatēja draiveri, kas ir ļoti līdzīgs iepriekš kādā no Stuxnet versijām izmantotajam, tomēr ar atšķirībām, piemēram, ciparsertifikāta paraksta datumu. Citas datnes, ko varētu attiecināt uz Stuxnet, upura datorā netika atrastas.

Iegūtās informācijas apstrāde un turpmākie meklējumi Kaspersky Lab kaitīgo programmatūru datubāzē ļāva atklāt vēl vienu draiveri ar līdzīgām īpašībām. Sākotnēji tas tika konstatēts vairāk nekā pirms gada, bet šī datne ir kompilēta jau 2008. gada janvārī – gadu pirms Stuxnet izmantoto draiveru izveides. Kopumā Kaspersky Lab eksperti atrada septiņu veidu draiverus ar līdzīgām īpašībām. Ievērības cienīgs ir fakts, ka par trim no tiem pagaidām nav informācijas, kurai kaitīgajai programmatūra tie ir paredzēti.

«Pagaidām nezināmo kaitīgo programmatūru draiverus nevar attiecināt uz Stuxnet un Duqu darbību,» atzīmē Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Stuxnet izplatīšanas metodes būtu radījušas daudz lielāku skaitu inficēšanas gadījumu, bet uz mērķtiecīgākiem uzbrukumiem domāto trojieti Duqu tos neļauj attiecināt kompilācijas datums. Mēs uzskatām, ka šie draiveri ir izmantoti vai nu Duqu sākotnējās versijās, vai inficēšanai ar pilnīgi citām kaitīgajām programmatūrām, kurām turklāt ir kopīga platforma un, visticamāk, viena veidotāju komanda.»

Kaspersky Lab eksperti uzskata, ka aiz Duqu un Stuxnet stāvošie kibernoziedznieki vairākas reizes gadā izveido jaunu draivera versiju, kas veic kaitīgās programmatūras pamatmoduļa ielādi. Plānojot jaunu uzbrukumu, ar īpašu programmatūru tiek mainīti atsevišķi draivera parametri, piemēram, reģistra atslēga. Atkarībā no uzdevuma šāda datne var būt arī parakstīta ar legālu ciparsertifikātu vai atstāta bez paraksta.

Tādējādi Duqu un Stuxnet ir atsevišķi projekti, kas veidoti uz vienotas platformas «Tilded» pamata, kura ir izstrādāta jau 2007. gada beigās vai 2008. gada sākumā. Visticamāk, ka šie nav vienīgie, taču citu trojieša programmatūras variantu uzdevumi pagaidām nav zināmi. Nav izslēgts, ka šī platforma turpina attīstīties. Turklāt fakts, ka antivīrusu eksperti jau ir atklājuši trojieti Duqu, prasīs, lai uzbrucēji veiktu tajā kārtējās izmaiņas.

Ar visu Aleksandra Gosteva un Igora Sumenkova pārskatu var iepazīties tīmekļa vietnē http://www.securelist.com/en/analysis/204792208/Stuxnet_Duqu_The_Evolution_of_Drivers.