Duqu powstawał latami?

Zdaniem specjalistów z firmy Kaspersky Lab, autorzy osławionego programu szpiegowskiego Duqu mogli pracować nad jego kodem nawet ponad cztery lata (wskazują na to daty kompilacji poszczególnych komponentów Duqu). Firma obublikowała właśnie nową analizę kodu "szkodnika".

Z analiz kodu Duqu, przeprowadzonych przez ekspertów Kaspersky Lab, dowiadujemy się na przykład, że pewien unikalny sterownik wykorzystywany do infekowania systemu skompilowany został w sierpniu 2007 r. "Oczywiście, nie możemy być w 100% pewni tej daty, ale generalnie pasuje ona do zarysowującego się w naszych analizach kalendarium powstawania Duqu, więc uważamy ją za prawdopodobną" - tłumaczy Roel Schouwenberg, specjalista z rosyjskiej firmy.

Jego zdaniem, tezę tę uprawdopodobnia fakt, iż ów sterownik został wykorzystany wyłącznie w Duqu - nie wykryto go w żadnym innym złośliwym czy niezłośliwym programie.

Zobacz również:

  • Wirusy na Androida - popularne i niebezpieczne zagrożenia

Choć data podana przez Kaspersky Lab wydaje się dość odległa, to analizy przeprowadzane przez innych specjalistów potwierdzają, że prace nad Duqu trwały co najmniej od kilku lat. Wiadomo, że inne specyficzne komponenty "szpiega" były kompilowane np. w lutym 2008 r. Wszystko to jest o tyle zaskakujące, że jedyne odnotowane ataki Duqu przeprowadzono w sierpniu 2011 r.

Wszystkie analizy przeprowadzono na próbkach kodu Duqu, dostarczonych przez pewną sudańską firmę - w tym kraju doszło do dwóch ataków z wykorzystaniem tego szkodnika na lokalną firmę. Pierwszy został zablokowany przez filtr antyspamowy (który uznał wiadomość z załączonym złośliwym plikiem za niepożądaną reklamę), ale drugi okazał się skuteczny.

Microsoft potwierdził już, że Duqu wykorzystywał podczas ataków nieznaną wcześniej lukę w kernelu Windows, związaną z modułem odpowiedzialnym za obsługę czcionek TrueType (koncern szykuje już odpowiednią poprawkę, na razie zaleca użytkownikom wyłączenie wadliwego elementu).

Przedstawiciele Kaspersky Lab podkreślają, że przygotowania do ataków Duqu musiały trwać tygodniami (nie licząc czasu na stworzenie samego złośliwego programu) - za każdym razem "szkodnik" ukryty był w pliku Word, którego treść wyraźnie wskazywała, że jest to wiadomość skierowana do jego odbiorcy i zawierająca przydatne dla niego informacje. Zdobycie danych pozwalających na spreparowanie takich e-maili również musiało zająć sporo czasu.

"To zresztą nie wszystko - każdy atak przeprowadzano z wykorzystaniem unikalnego serwera kontrolnego. Cała operacja została zaplanowana bardzo profesjonalnie, bardzo... biznesowo" - dodaje Roel Schouwenberg.

Specjaliści zwracają uwagę, że analiza dokonana przez Kaspersky Lab różni się dość zasadniczo od wyników wcześniejszych prac np. Symanteca - ale pracownicy obu firm zgadzają się, że nie ma tu sprzeczności. Roel Schouwenberg podkreśla, że kopie Duqu wykorzystywane w kolejnych atakach było radykalnie modyfikowane, dlatego też mogą zasadniczo różnić się od siebie.

Dodajmy, że Kaspersky w całej rozciągłości zgadza się z najważniejszą tezą przedstawioną przez Symantec - że Duqu jest w pewien sposób powiązany z innym słynnym złośliwym programem, czyli Stuxnetem. "Wiem, że niektórzy specjaliści poddają w wątpliwość tę zależność - ale naszym zdaniem ta teza jak najbardziej słuszna i nasze analizy tylko to potwierdzają" - podsumowuje Schouwenberg.

Więcej informacji o Duqu znaleźć można m.in. na stronie U.S.CERT oraz w raporcie przygotowanym przez Symantec.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200