Троян Duqu написан на неизвестном языке программирования

Часть трояна Duqu написана на неизвестном языке программирования, созданного специально для разработки этого вируса, утверждают в «Лаборатории Касперского». По мнению экспертов, это указывает на многомиллионные инвестиции в разработку Duqu и на государственный заказ по его созданию.

Важный фрагмент кода известного трояна Duqu написан на неизвестном до сих пор языке программирования, рассказал CNews главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.

Фрагмент кода, написанный на неизвестном языке программирования, получил в «Лаборатории Касперского» название «Фреймворк Duqu». Он предназначен для обмена информацией между модулем, внедряемым в систему и командными серверами Duqu.

По словам эксперта, при изучении Duqu аналитиками «Лаборатории Касперского» было проверено около трех десятков языков «включая Brainfuck и Haskell». «Мы пытаемся распознать его с ноября 2011 г. Мы спросили самых серьезных специалистов-реверсеров в Microsoft, но не нашли языка, который бы создавал подобный код», — говорит Александр Гостев.

Напомним, что о трояне Duqu стало известно 1 сентября 2011 г. По предположению экспертов, этот троян был создан для точечных атак и кражи информации промышленных объектов, а также правительственных и коммерческих структур Ирана.

Duqu создан на единой программной платформе с другим знаменитым компьютерным червем Stuxnet, который в 2011 г. поразил иранские атомные станции, а также проник в сети целого ряда других предприятий по всему миру. По мнению экспертов «Лаборатории Касперского», над обоими троянами работала одна и та же группа авторов. В отличие от Stuxnet, Duqu предназначен не столько для непосредственных вредоносных действий в зараженной системе, сколько для организации канала доставки и установки в систему дополнительных троянских модулей.

Оценивая масштабы заражения Duqu, Александр Гостев говорит «о числе инцидентов, в каждом из которых могло пострадать разное количество ПК». Например, в одном из них было заражено около 50 компьютеров в сети одной компании. В общей сложности известно «примерно о 25 жертвах Duqu по всему миру», из которых «Лабораторией Касперского» было обнаружено 15-17 инцидентов. Скорее всего, в общей сложности их менее 100, полагает эксперт.

В «Лаборатории Касперского» предполагают, что язык программирования, использованный при написании Duqu, «был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы».

«Нет никаких сомнений, что Stuxnet и Duqu были написаны в интересах какого-то правительства, но какого конкретно, доказательств нет, — говорит Александр Гостев. — Если такого языка программирования никто не видел, это означает серьезный софтверный проект, миллионы долларов, затраченные на разработку, и дополнительный факт в подтверждение того, что за Duqu стоят правительства».

Примечательно, что 4 марта 2012 г. бывший глава Агентства национальной безопасности США Майкл Хэйден (Michael Hayden) в интервью телеканалу CBS заметил, что Stuxnet «был хорошей идеей». При этом генерал не рассказал, какое государство стоит за созданием этого трояна, преемником которого стал Duqu.

Эксперты «Лаборатория Касперского» обратились к сообществу программистов с просьбой связаться с ними всем, кому известно о средстве разработки, языке или компиляторе, который может генерировать код Duqu.

Кто то связывает это заявление с тем, что «Лаборатория Касперского» объявила об изменении структуры акционерного капитала. В рамках рекапитализации компания выкупит все акции, ранее приобретенные американским инвестфондом General Atlantic, а также акции, принадлежащие некоторым миноритариям.

В последние годы компания аккумулировала значительные объемы прибыли, говорится на сайте «Лаборатории». После пересмотра корпоративной стратегии акционеры решили направить часть накопленной прибыли на обратный выкуп акций.

А еще есть мнение, что «неизвестный язык» — это Ассемблер 🙂

Корпорация Symantec сообщила о новых подробностях исследования нашумевшей вредоносной программы Duqu. Совместно с компанией CrySyS специалистам Symantec удалось обнаружить и провести анализ инсталляционного файла трояна, который до сих пор не был никем идентифицирован.

Как выяснилось, данный файл представляет собой документ офисного приложения Microsoft Word (.doc). Инфицирование системы происходит посредством эксплуатации ранее неизвестной и, соответственно, незакрытой уязвимости в ядре Windows, допускающей выполнение вредоносного кода. В случае запуска файла, на целевой компьютер происходит установка файлов Duqu, говорится в сообщении Symantec.

По данным экспертов Symantec, документ был сконфигурирован таким образом, чтобы заражение было возможно только в определенный срок, и предназначался только для обозначенных предприятий. Вредоносной программе было отведено на процесс заражения восемь дней в августе текущего года. Примечательно, что данный образец инсталляционного файла на данный момент является единственным в своем роде, однако не исключено, что существует еще несколько его разновидностей, полагают в компании.

В результате инфицирования целевой системы злоумышленники получают возможность управления действиями Duqu. Как показало расследование, проведенное в одной из пострадавших организаций, управление трояном осуществлялось через сетевой протокол прикладного уровня (SMB), используемого для предоставления удаленного доступа к компьютеру. Важно заметить, что некоторые из зараженных машин не имели подключения к интернету. Однако файлы конфигурации вредоносной программы, найденные на них, были сформированы таким образом, что связь с удаленным контрольно–командным сервером (C&C) осуществлялась через некий общий C&C-протокол, посредством которого «общались» все зараженные компьютеры. Таким образом, с помощью остальных компьютеров, которые в данном случае использовались в качестве прокси-серверов, злоумышленники могли получить доступ к безопасной зоне.

По данным Symantec, угроза успела распространиться в нескольких странах, несмотря на то что общее число компаний, подтвердивших наличие угрозы, сравнительно небольшое. Тем не менее, угроза была замечена в шести организациях, расположенных в восьми странах — во Франции, Нидерландах, Швейцарии, Украине Индии, Иране, Судане и Вьетнаме. Важно отметить, что эта информация была получена через интернет-провайдера, а, следовательно, их количество может быть иным. Более того, невозможно точно идентифицировать предприятие по IP-адресу.

И, наконец, в ходе проведенной работы стало известно о наличии иного образца Duqu, отличного от ранее известных, контрольно–командный сервер которых находился в Индии. У этого экземпляра C&C-сервер находится в Бельгии с IP-адресом 77.241.93.160. В настоящий момент он уже отключен.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s