Nieznany język programowania w trojanie Duqu

Eksperci z Kaspersky Lab odkryli, że część trojana Duqu została napisana w nieznanym języku programowania.

Stworzenie trojana Duqu wymagało ogromnych środków i nakładów pracy
Stworzenie trojana Duqu wymagało ogromnych środków i nakładów pracyAFP

Eksperci z firmy odnotowali kilkanaście incydentów z udziałem Duqu, przy czym zdecydowana większość ofiar tego szkodnika była zlokalizowana w Iranie. Analiza działalności zaatakowanych organizacji oraz charakteru informacji, na które polowali autorzy Duqu, wyraźnie sugeruje, że głównym celem ataków była kradzież informacji dotyczących przemysłowych systemów kontroli wykorzystywanych w wielu branżach, jak również gromadzenie danych o związkach handlowych między wieloma różnymi organizacjami irańskimi.

Wielką, nierozwikłaną tajemnicą trojana Duqu jest sposób, w jaki szkodnik ten komunikował się ze swoimi serwerami kontroli po zainfekowaniu maszyny ofiary. Moduł Duqu odpowiedzialny za interakcję z serwerami kontroli stanowi część jego szkodliwej funkcji. Po szczegółowym przeanalizowaniu jednej z bibliotek trojana, eksperci odkryli, że pewna jej sekcja, odpowiedzialna za komunikację z cyberprzestępcami, została napisana w nieznanym języku programowania. Specjaliści nazwali tę sekcję "Szkieletem Duqu".

W przeciwieństwie do pozostałej części trojana "Szkielet Duqu" nie został napisany w języku C++ ani skompilowany przy użyciu Visual C++ 2008 Microsoftu. Jego autorzy mogli zastosować stworzony przez siebie szkielet, aby wygenerować pośredni kod C, lub wykorzystać całkowicie inny język programowania. Jednak eksperci potwierdzili, że jest to obiektowy język programowania, który wykonuje własny zestaw działań charakterystycznych dla aplikacji sieciowych.

Język programowania zastosowany w "Szkielecie Duqu" jest bardzo specjalistyczny. Pozwala bibliotece odpowiedzialnej za komunikację działać niezależnie od innych modułów Duqu i łączy ją z jej serwerami kontroli na różne sposoby, łącznie z Windows HTTP, gniazdami sieciowymi oraz serwerami proxy. Ponadto, unikatowy język programowania umożliwia bezpośrednie przetwarzanie żądań HTTP, potajemnie przesyła kopie skradzionych informacji z zainfekowanej maszyny do serwera cyberprzestępców, a nawet potrafi rozprzestrzeniać dodatkową szkodliwą funkcję do innych maszyn w sieci, co stanowi kontrolowaną i dyskretną formę rozprzestrzeniania infekcji na inne komputery.

"Biorąc pod uwagę rozmach projektu Duqu, możliwe, że za "Szkielet Duqu" odpowiadał całkowicie inny zespół niż ten, który stworzył sterowniki i napisał moduły infekujące system" - powiedział Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab. "Ponadto, niezwykle wysoki poziom adaptacji do własnych potrzeb oraz ekskluzywność, jakie charakteryzują nieznany język programowania, może sugerować, że jego celem było nie tylko uniemożliwienie osobom z zewnątrz zrozumienia operacji cyberszpiegowania oraz interakcji z serwerami cyberprzestepców, ale również odseparowanie go od innych wewnętrznych zespołów tworzących Duqu, które odpowiadały za pisanie dodatkowych komponentów tego szkodliwego programu - tłumaczy Gostiew.

Według Aleksandra Gostiewa, stworzenie wyspecjalizowanego języka programowania świadczy o wysokich umiejętnościach osób pracujących nad tym projektem oraz mobilizacji znacznych zasobów finansowych i ludzkich w celu jego realizacji.

Kaspersky Lab apeluje do społeczności programistycznej i prosi każdego, kto rozpoznaje ten szkielet, zestaw narzędzi lub język programowania, który może wygenerować podobne konstrukcje kodu, o skontaktowanie się z ekspertami z firmy.

INTERIA.PL
Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas