По словам Александра Гостева, разработка Duqu началась не менее четырех лет тому назад. Фото: "Лаборатория Касперского" |
Традиция пасхальных яиц такого рода очень давняя, увидеть их можно только если просматривать код программы при помощи соответствующего инструмента. В эксплойте Duqu содержится строка Copyright (c) 2003 Showtime Inc. All rights reserved. DexterRegularDexter, — отсылка на телесериал «Декстер» о сотруднике полиции, который одновременно является серийным убийцей.
Код эксплойта содержится во внедренном шрифте под названием DexterRegularDexter, который обрабатывается системой Win32k.sys, пишет Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». «Это очередная 'шутка' авторов Duqu», — полагает он.
На самом деле шрифта Dexter не существует, это лишь название, присвоенное авторами файлу, объясняет Костин Райю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского»«Лаборатории Касперского».
«Лаборатория Касперского» и многие другие компании по компьютерной безопасности анализируют Duqu со времени его появления. В некоторых отношениях он похож на Stuxnet, вирус, который, как считается, был создан с целью срыва ядерной программы Ирана путем вмешательства в работу центрифуг, используемых для обогащения урана. Однако эксперты не могут с уверенностью сказать, есть ли связь между разработчиками двух этих вирусов.
Последний пост Гостева в его блоге содержит анализ версии Duqu, поступившей от суданской экстренной компьютерной cлужбы CERT, которая, в свою очередь, получила образец вируса от неназванной организации, инфицированной им.
Компьютер жертвы заражается посредством эксплойта, доставляемого в специально подготовленном документе Microsoft Word. Если его открыть, вирус активизируется. В посте Гостева есть скриншот сообщения электронной почты от «менеджера по маркетингу мистера Б. Джейсона», в котором получателя просят открыть прилагаемый документ Word, содержащий ряд вопросов наподобие «Выполняете ли вы доставку водным транспортом?».
Определенные признаки, найденные при анализе кода трояна, указывают на то, что его разработка началась не менее четырех лет тому назад. Драйвер, загружаемый эксплойтом в ядро Windows, имеет дату компиляции 31 августа 2007 года, — указывает Гостев. Однако Duqu состоит из нескольких компонентов, предположительно созданных в разное время.
Еще одна странность, обнаруженная специалистами «Лаборатории Касперского», состоит в том, что все атаки с помощью Duqu совершались по средам. «Банда Duqu имеет необъяснимое пристрастие к этому дню недели, — утверждает Райю. — Именно по средам они пытались похищать информацию из зараженных систем».
Атакующие приняли множество мер, чтобы после атак оставаться неопознанными. Для каждой жертвы составляется уникальный набор атакующих файлов, и для каждого из таких наборов используется отдельный управляющий сервер. Зараженные файлы Word были отправлены с анонимных аккаунтов электронной почты, возможно, через скомпрометированные компьютеры, отмечает Гостев. Для разных атак даже были подготовлены разные версии шелл-кода.
Полученные свидетельства указывают на высокий уровень сложности вредоносного проекта. «Эксплойт Duqu просто мастерски написан, даже красиво в определенном смысле, — утверждает Райю. — Его авторы — вирусописатели высшего класса».