Duqu атаковал каждую свою жертву уникальным файлом и с уникального сервера
Согласно отчету, опубликованному в пятницу, создатели Duqu, который проник в системы промышленных компаний как минимум в восьми странах, использовал для каждой атаки уникальные эксплойты, контрольные серверы и документы-ловушки Microsoft Word.
Кроме того, у двух драйверов, которые модульный руткит применял для одной из атак, даты компиляции – 2007 и 2008 год, сказал Александр Гостев, эксперт лаборатории Касперского и автор отчета. Если эти даты – не подделка, значит, разработчики потратили последние четыре года на создание зловреда.
Так же, как следователи судмедэкспертизы прочесывают место убийства в поисках мельчайших улик, исследователи безопасности по всему миру проверяют каждый email и компьютерный файл, связанный с Duqu, ради зацепок, которые помогли бы понять, кто и с какой целью его создал. Еще предстоит установить прямую связь со Stuxnet, который саботировал работу иранских заводов по обогащению урана, но картины, которая сейчас складывается, достаточно, чтобы понять, что как и Stuxnet, Duqu разрабатывался командой обученных и хорошо финансируемых специалистов мирового класса.
Версию Duqu, которая была рассмотрена в пятничном отчете, обнаружила суданская команда Computer Emergency Response Team на компьютерах неназванной компании, которую атаковали ранее. Как и в случае других целей, эта атака была запущена с помощью документа Microsoft Word, содержавшего ловушку, рассчитанную на эту конкретную организацию и эксплуатирующую ранее неизвестную уязвимость в ядре всех поддерживаемых версий Windows.
Первая попытка атаки провалилась, потому что письмо с файлом попало в папку для спама. 21 мая, через 4 дня после первой попытки, атакующие попробовали снова уже со слегка измененным сообщением. Тема письма и название прикрепленного файла имели отношение конкретно к этой компании. Интересно, что DLL-файл, который служил главным модулем трояна, был датирован 17 апреля. Это день, когда состоялась первая попытка атаки.
Когда получатель второго письма открыл документ, зловред моментально взломал компьютер, но оставался в состоянии покоя еще около 10 минут, сказал Гостев. Эксплойт не устанавливал шпионских компонентов до тех пор, пока пользователь не отлучился от компьютера. Зараженный компьютер использовал командно-контрольный сервер, которого исследователи раньше никогда не видели. На данный момент они обнаружили 4 подобных сервера, и каждый из них использовался для того, чтобы посылать и получать данные лишь от одной определенной цели.
В конце мая второй компьютер в атаке, изученной Лабораторией Касперского, был заражен через локальную сеть компании. Гостев не сказал, каким образом Duqu распространялся. В другом исследовании, проведенном Symantec, предполагается, что Duqu распространялся через SMB-соединения, используемые для обмена файлами между машинами.
Кроме умений и тщательного подхода к делу, атакующие продемонстрировали еще и интригующее чувство юмора. Вредоносный шелл-код для эксплойта был встроен в вымышленный шрифт под названием “Dexter regular” и содержал строку “Copyright (c) 2003 Showtime Inc“. Спрятанное сообщение – это очевидная отсылка к сериалу “Декстер”, в котором рассказывается о серийном убийце, работающем исследователем мест преступлений в полиции Майами.