eGospodarka.pl › Wiadomości › Technologie › Internet › Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"

Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"

2012-01-05 11:00

Konwencjonalna architektura platformy dla Stuxneta i Duqu © fot. mat. prasowe

Nowe informacje dotyczące trojanów Duqu i Stuxnet potwierdzają, że za tą rodziną szkodliwych programów stoi jednak grupa cyberprzestępców. Pozwalają również założyć, że w obu przypadkach wykorzystano tę samą platformę, która może być dostosowywana do określonych celów. Ponadto, istnieje możliwość, że platforma ta powstała na długo przed epidemią Stuxneta i była wykorzystywana o wiele aktywniej niż sądzono do tej pory. Do takiego wniosku doszli eksperci z Kaspersky Lab na podstawie szczegółowej analizy sterowników wykorzystywanych przez Duqu oraz Stuxneta do infekowania systemów.

Przeczytaj także: Ukierunkowane ataki trojana Duqu

Od dwóch miesięcy badamy trojana Duqu, próbując ustalić, w jaki sposób pojawił się ten szkodnik, w jakich miejscach był rozprzestrzeniany i w jaki sposób działa. Mimo ogromnej ilości uzyskanych danych (z których większość nie została jeszcze opublikowana) nadal nie znamy odpowiedzi na podstawowe pytanie – kto stoi za Duqu?

Istnieją również inne kwestie, w większości dotyczące stworzenia tego trojana lub raczej platformy wykorzystywanej do implementacji Duqu oraz Stuxneta.

Pod względem architektury platforma wykorzystana do stworzenia Duqu i Stuxneta jest taka sama. Jest to plik sterownika, który ładuje główny moduł w postaci zaszyfrowanej biblioteki. Jednocześnie istnieje osobny plik konfiguracyjny dla całego szkodliwego „zespołu” oraz zaszyfrowany blok w rejestrze systemowym, który określa lokalizację ładowanego modułu i nazwę procesu do wstrzyknięcia.

Konwencjonalna architektura platformy dla Stuxneta i Duqu

Kliknij, aby powiekszyć

fot. mat. prasowe

Konwencjonalna architektura platformy dla Stuxneta i Duqu

Kliknij, aby przejść do galerii (9)

Platformę można określić nazwą ‘Tilded’, ponieważ z jakichś powodów jej autorzy stosują nazwy plików rozpoczynające się od znaku tyldy i litery d: "~d".

Uważamy, że Duqu i Stuxnet stanowiły równoległe projekty wspierane przez ten sam zespół twórców.

Na jaw wyszły również inne szczegóły sugerujące, że w latach 2007-2008 istniał prawdopodobnie jeszcze jeden moduł spyware oparty na tej samej platformie oraz kilka innych programów, których funkcjonalność nie była jasna między 2008, a 2010 rokiem.

Fakty te w poważnym stopniu podważają „oficjalną” historię Stuxneta. Postaramy się przytoczyć je w tym artykule, najpierw jednak podsumujemy to, co wiadomo na temat tego szkodnika.

„Oficjalna” historia Stuxneta

Zacznijmy od pytania: jak wiele plików sterowników Stuxneta jest znanych? Na dzień dzisiejszy odpowiedź brzmi: cztery. Więcej informacji na ich temat zawiera tabela poniżej.

Kliknij, aby powiekszyć

fot. mat. prasowe

Ilość plików sterowników Stuxneta

Kliknij, aby przejść do galerii (9)

Pierwsza modyfikacja robaka Stuxnet, stworzona w 2009 roku, wykorzystywała tylko jeden plik sterownika - mrxcls.sys bez podpisu cyfrowego.

W 2010 roku autorzy szkodnika stworzyli drugi sterownik mrxnet.sys (w celu ukrycia plików komponentów robaka na urządzeniach USB) i wyposażyli sterowniki mrxnet.sys oraz mrxcls.sys w cyfrowe certyfikaty Realtek. Sterownik mrxnet.sys nie odgrywa znaczącej roli w naszej opowieści, ponieważ jest to oddzielny moduł, który nie stanowi części ogólnej architektury platformy.

Przeczytaj także: