Duqu и Stuxnet как часть большого плана
«Лаборатория Касперского» завершила очередной этап исследования вредоносных программ Duqu и Stuxnet. Детальный анализ полученной информации не только подтвердил предположения экспертов о наличии у них общего «автора», но и позволил говорить о существовании единой платформы, лежащей в их основе.
Платформа с условным именем «Tilded», которая, по мнению аналитиков «Лаборатории Касперского», использовалась для создания Stuxnet, Duqu, а также других вредоносных программ, могла быть разработана задолго до начала эпидемии Stuxnet. Такой вывод был сделан экспертами на основе детального анализа драйверов, предназначенных для заражения систем Duqu и Stuxnet, а также пока неизвестными вредоносными программами.
Общие корни вредоносных программам были выявлены в ходе анализа одного из инцидентов, связанных с Duqu. Во время исследования зараженной системы, атака на которую, предположительно, произошла в августе 2011 года, эксперты обнаружили драйвер, очень похожий на тот, который ранее был использован в одной из версий Stuxnet. Однако были и отличия — например, дата подписания цифрового сертификата. Других файлов, которые можно было бы отнести к Stuxnet, на атакованном компьютере обнаружено не было.
Обработка полученной информации и дальнейший поиск в базе вредоносных программ «Лаборатории Касперского» позволили выявить еще один драйвер с похожими характеристиками. Изначально он был обнаружен более года назад, а скомпилирован данный файл был и вовсе в январе 2008 года, за год до создания драйверов, используемых Stuxnet. Всего эксперты «Лаборатории Касперского» нашли 7 типов драйверов со схожими характеристиками. Примечательно, что для трех из них пока нет информации о том, для какой вредоносной программы они предназначались.
«Драйверы от пока неизвестной вредоносной программы нельзя отнести к активности Stuxnet и Duqu, — отмечает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Методы распространения Stuxnet привели бы к гораздо большему числу заражений, а к более таргетированному троянцу Duqu их не позволяет отнести дата компиляции. Мы считаем, что эти драйверы использовались либо в ранних версиях Duqu, либо для заражения совершенно другими вредоносными программами, которые при этом имеют общую платформу и, скорее всего, единую команду создателей».
По версии экспертов «Лаборатории Касперского», киберпреступники, стоящие за Duqu и Stuxnet, несколько раз в год создают новую версию драйвера, который осуществляет загрузку основного модуля вредоносной программы. При планировании новой атаки с помощью специальной программы изменяются некоторые параметры драйвера, такие как, например, ключ реестра. В зависимости от задачи такой файл также может быть подписан легальным цифровым сертификатом, либо оставлен без подписи.
Таким образом, Duqu и Stuxnet — это отдельные проекты, создававшиеся на основе единой платформы «Tilded», которая была разработана еще в конце 2007 — начале 2008 года. Скорее всего, они не были единственными, но цели и задачи других вариантов троянской программы пока не известны. Не исключено, что данная платформа продолжает развиваться. Причем тот факт, что троянец Duqu уже обнаружен антивирусными экспертами, потребует от злоумышленников внесения в нее очередных изменений.
Полная версия отчета Александра Гостева и Игоря Суменкова доступна на сайте www.securelist.com/ru.