ЛК: Кроме Duqu и Stuxnet на основе платформы «Tilded» был создан как минимум еще один шпионский модуль
Лаборатория Касперского уже два месяца исследует троянца Duqu: историю его появления, ареал распространения и схему его работы. Как утверждают представители ЛК, несмотря на огромный объем полученных данных, ответ на главный вопрос – кем был создан Duqu- получить так и не удалось.
Известно, что троянец Duqu и червь Stuxnet были реализованы на одной платформе.
Платформа, на которой созданы Duqu и Stuxnet – это файл-драйвер, который осуществляет загрузку основного модуля, выполненного в виде зашифрованной библиотеки. При этом существует отдельный файл конфигурации всего вредоносного комплекса и специальный блок в системном реестре, определяющий местоположение загружаемого модуля.
Данную платформу представители ЛК условно назвали Tilded, поскольку названия многих файлов в Duqu and Stuxnet начинаются с символа «~» (tilde) и буквы «d».
В ЛК считают, что Duqu и Stuxnet были параллельными проектами, которые поддерживала одна и та же команда разработчиков. «Сходство между двумя вредоносными программами столь значительно, что может свидетельствовать о том, что либо за разработкой обеих программ стоит одна и та же группа, либо разработчики Duqu использовали исходные коды Stuxnet», отметили представители ЛК.
Помимо этого в ЛК заявили о возможном существовании как минимум еще одного шпионского модуля, основанного на той же платформе в 2007-2008 годах, а также нескольких других программ неизвестного функционала в период 2008-2010 годов.
В ЛК считают, что платформа «Tilded» была разработана как минимум в конце 2007 — начале 2008 года, и наиболее значительные изменения претерпела летом — осенью 2010 года. На протяжении 2007-2011 годов существовало несколько проектов по созданию программ на основе платформы «Tilded», из них известны только Stuxnet и Duqu. Остальные же проекты неизвестны до сих пор.