«Лаборатория Касперского» завершила очередной этап исследования вредоносных программ Duqu и Stuxnet. Детальный анализ полученной информации не только подтвердил предположения экспертов о наличии у них общего «автора», но и позволил говорить о существовании единой платформы, лежащей в их основе.
«Лаборатория Касперского» завершила очередной этап исследования вредоносных программ Duqu и Stuxnet. Детальный анализ полученной информации не только подтвердил предположения экспертов о наличии у них общего «автора», но и позволил говорить о существовании единой платформы, лежащей в их основе.
Платформа с условным именем «Tilded», которая, по мнению аналитиков «Лаборатории Касперского», использовалась для создания Stuxnet, Duqu, а также других вредоносных программ, могла быть разработана задолго до начала эпидемии Stuxnet. Такой вывод был сделан экспертами на основе детального анализа драйверов, предназначенных для заражения систем Duqu и Stuxnet, а также пока неизвестными вредоносными программами.
Общие корни вредоносных программам были выявлены в ходе анализа одного из инцидентов, связанных с Duqu. Во время исследования зараженной системы, атака на которую, предположительно, произошла в августе 2011 года, эксперты обнаружили драйвер, очень похожий на тот, который ранее был использован в одной из версий Stuxnet. Однако были и отличия — например, дата подписания цифрового сертификата. Других файлов, которые можно было бы отнести к Stuxnet, на атакованном компьютере обнаружено не было.
Обработка полученной информации и дальнейший поиск в базе вредоносных программ позволили выявить еще один драйвер с похожими характеристиками. Изначально он был обнаружен более года назад, а скомпилирован данный файл был и вовсе в январе 2008 года, за год до создания драйверов, используемых Stuxnet. Всего эксперты «Лаборатории Касперского» нашли 7 типов драйверов со схожими характеристиками. Примечательно, что для трех из них пока нет информации о том, для какой вредоносной программы они предназначались.
По версии экспертов «Лаборатории Касперского», киберпреступники, стоящие за Duqu и Stuxnet, несколько раз в год создают новую версию драйвера, который осуществляет загрузку основного модуля вредоносной программы. При планировании новой атаки с помощью специальной программы изменяются некоторые параметры драйвера, такие как, например, ключ реестра. В зависимости от задачи такой файл также может быть подписан легальным цифровым сертификатом, либо оставлен без подписи.
Таким образом, Duqu и Stuxnet — это отдельные проекты, создававшиеся на основе единой платформы «Tilded», которая была разработана еще в конце 2007 — начале 2008 года. Скорее всего, они не были единственными, но цели и задачи других вариантов троянской программы пока не известны.