Антивирусные компании продолжают наблюдать за вредоносным кодом Duqu
По словам антивирусных экспертов “Лаборатории Касперского”, набирающий популярность вредоносный код Duqu является универсальным инструментом для проведения целевой атаки на ограниченное число объектов, причем в каждом случае он может быть модифицирован в зависимости от задачи.
На первом этапе исследования специалисты “Лаборатории Касперского” выявили несколько особенностей Duqu. Во-первых, в каждой модификации вредоносной программы использовался видоизмененный драйвер, необходимый для заражения системы. В одном из случаев он задействовал поддельную цифровую подпись, в других – не был подписан. Во-вторых, стала очевидной высокая вероятность наличия и других элементов Duqu, которые пока не найдены. Все это позволило сделать вывод о том, что возможности данной вредоносной программы могут быть изменены в зависимости от того, какая именно цель является объектом атаки.
Малое количество заражений (всего одно на момент публикации первой части исследования “Лаборатории Касперского”) серьезно отличает Duqu от Stuxnet, с которым у нового зловреда есть явные сходства. За время, прошедшее с момента обнаружения вредоносной программы, с помощью облачной системы безопасности Kaspersky Security Network удалось выявить новые случаи заражения. Одно из них было зафиксировано у пользователя в Судане, еще три – в Иране.
В каждом из случаев использовалась уникальная модификация драйвера, необходимого для заражения системы. Более того, на компьютере пользователя из Ирана, были также зафиксированы две попытки сетевых атак через уязвимость, которая ранее использовалась и Stuxnet, и вредоносной программой Kido. Инциденты произошли 4 и 16 октября, и в обоих случаях атака проводилась с одного IP-адреса, формально принадлежащего американскому интернет-провайдеру. Если одиночную атаку можно было бы “списать” на обычную активность Kido, по-прежнему широко распространенного в Сети вируса, то факт ее повторения говорит о том, что речь идет именно о таргетированной атаке на объект в Иране. Возможно, в ходе атаки были задействованы и другие уязвимости в программном обеспечении.
“Несмотря на то, что ряд пострадавших от Duqu систем находятся в Иране, пока нет доказательств их принадлежности к промышленным объектам, тем более ядерным, – комментирует Александр Гостев, главный антивирусный эксперт “Лаборатории Касперского”. – Соответственно, нельзя утверждать, что цель новой вредоносной программы – та же, что и у Stuxnet. Тем не менее, очевидно, что каждый случай заражения Duqu уникален. Собранная нами информация позволяет с уверенностью говорить о том, что Duqu используется для целевой атаки на заранее определенные объекты”.
Сегодня же российское подразделение антивирусной компании Eset разработали метод определения точной даты проникновения вредоносных программ семейства Win32/Duqu в систему компьютера. «После появления у нас образцов Win32/Duqu, наше исследовательское подразделение сразу же сконцентрировалось на детальном анализе этой угрозы, – комментирует Александр Матросов, директор Центра вирусных исследований и аналитики Eset. – Дополнительным стимулом к повышенному интересу с нашей стороны к Duqu было очень большое сходство в технической реализации этой угрозы с червем Stuxnet, который мы детально изучали осенью прошлого года. Однако пока еще рано делать какие-то выводы о точных целях Duqu, и мы активно продолжаем наше исследование».
Российские специалисты также восстановили алгоритм шифрования конфигурационных файлов Duqu и его формат. При этом они разработали методику определения точной даты заражения системы данной троянской программой, что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы также необходимо из-за особенностей распространения Duqu – срок его пребывания в системе компьютера ограничен.
«На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй – 18/08/2011 (07:29:07), – продолжает Матросов. – Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна».
На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может скачивать и устанавливать дополнительный функционал в виде модулей, которые уже выполняют основные цели атаки.