Эксперты: Stuxnet и Duqu созданы разными хакерами

width:200px

27.10.11, Чт, 13:30, Мск,
Текст: Сергей Мажаров

Компания Dell SecureWorks сделала заключение: троян Duqu не связан с прошлогодним червём Stuxnet. Российское представительство компании ESET также ведёт исследования вируса.

По данным SecureWorks, некоторое сходство между Duqu и Stuxnet в коде и функциях существует, но мало убедительных доказательств их взаимосвязи между собой. «В поддержку имеются лишь косвенные доказательства, в лучшем случае, и они недостаточны для подтверждения прямой связи», - заявила SecureWorks.

Троянец Duqu был обнаружен в этом месяце малоизвестной венгерской лабораторией - Laboratory of Cryptography and System Security. На прошлой неделе в своём докладе Symantec назвала этот вирус предшественником следующей версии Stuxnet и заявила, что Duqu и Stuxnet имеют много общего в своём исходном коде, и вероятно, созданы одними авторами.

Symantec также отметила, что в отличие от Stuxnet, действия Duqu не направлены непосредственно на управление промышленными системами. Основная цель вируса – обеспечить атакующим возможность хищения данных у производителей промышленных систем управления, которые впоследствии могут быть использованы для нападения на предприятия, использующие эти системы.

Однако технический директор компании Dell SecureWorks Джон Рэмси (Jon Ramsey) заявил, что связь между Duqu и Stuxnet кажется, в лучшем случае, весьма тонкой. И Duqu, и Stuxnet - сложные части вредоносного, многокомпонентного ПО. Все сходство, которое есть между этими двумя вирусами, существует лишь в одном из этих компонентов, сказал Рэмси.

Как Duqu, так и Stuxnet используют драйвер ядра для расшифровки и загрузки некоторых зашифрованных файлов на заражённый компьютер. Согласно заключению SecureWorks, драйвер ядра служит «механизмом вброса», загружающим эти файлы в определённый процесс. В своём докладе поставщик решений безопасности отметил, что для обоих вирусов драйверы ядра применяют схожие методы шифрования и технологий невидимости, такие как руткит (rootkit) для сокрытия файлов.Михаил Садиров, SMART technologies: На тестирование мультивендорных решений есть спрос

Тем не менее, сам этот факт не означает, что они как-то связаны, отметил Рэмси, подчеркнув, что руткиты и прежде применялись на уровне ядра, и это не является уникальным решением для Stuxnet или Duqu. Ранее обнаруженное и вредоносное ПО, вроде BlackEnergy 2 и Rustock используют аналогичные руткиты уровня ядра.

То, что драйвер ядра Duqu был подписан с помощью сертификата, связанного со Stuxnet, был понято как знак того, что эти два вируса связаны между собой. Но скомпрометированный сертификат мог быть получен из нескольких источников, считает Рэмси. Чтобы сделать определённый вывод, кому-то придётся привести неоспоримые доказательства того, что источник сертификата для Duqu и Stuxnet был один, сказал он.

Рамси отметил, что кроме похожести в ​​драйверах ядра Duqu и Stuxnet весьма различны почти во всех остальных аспектах.

Duqu предназначен исключительно для хищения данных и обеспечения удалённого доступа к скомпрометированной системе. Stuxnet был создан специально для атак на промышленные системы управления.

Stuxnet использовал четыре уязвимости zero-day, в то время как Duqu не применяет эксплойты, сказал Рэмси. Stuxnet использует пиринговые технологии и сети для самостоятельного распространения, в то время как Duqu этого не умеет. Кроме того, Stuxnet оснащён встроенным функционалом кражи информации, Duqu лишь обеспечивает возможность доступа извне.

В российском представительстве ESET сообщили, что специалистами компании восстановлены алгоритм и формат шифрования конфигурационных файлов Duqu. При этом разработана методика определения точной даты заражения системы, что очень важно при проведении криминалистической экспертизы в случаях, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы необходимо из-за особенностей реализации Duqu – срок его пребывания в системе компьютера ограничен.

По мнению компании, наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может загружать и устанавливать дополнительный функционал в виде модулей, которые реализуют основные задачи в процессе атаки.