Вирус Duqu, который был направлен на крупнейшие мировые компании, содержит в
себе очень много продвинутых функций, которые могли быть разработаны только
группой высоко квалифицированных программистов, сообщают исследователи
безопасности.
Эти функции включают стенографические процессы, которые шифруют украденные
данные и вставляют их в изображения перед тем, как отправить их на серверы,
контролируемые хакерами, это было установлено в ходе анализа исследователей из
NSS.
Duqu является первым известным модульным сетевым руткитом, сообщают
исследователи. Это позволяет хакерам добавлять или удалять функции, а также
очень быстро менять контрольные сервера без особых усилий. Исследователи пришли
к выводу, что Duqu был разработан командой высоко квалифицированных и
мотивированных разработчиков.
"Учитывая сложность системы (качественный код драйвера и впечатляющая
архитектура), невозможно представить, что она была разработана одним человеком
или группой любителей", - сообщили исследователи NSS, Мохамед Саер и Мэтью
Молиньо. "А следовательно, принимая во внимание опыт многих лет, вирус был
разработан группой компетентных программистов, высоко организованных и хорошо
финансируемых".
Модульный дизайн означает, что потенциально вирус состоит из большего
количества компонентов, чем обнаружено на данный момент. NSS выпустила
сканирующий инструмент, который может определить все установленные на зараженную
систему драйверы Duqu. Этот инструмент уже был использован для обнаружения двух
ранее неизвестных драйверов Duqu, сообщили исследователи.
"Мы надеемся, что другие исследователи, смогут использовать этот инструмент
для обнаружения новых драйверов и, при желании анонимно, сообщат нам о находках
для того, чтобы мы изучили угрозу, которую представляет собой Duqu, в более
полной мере", - сообщили они.
Исследователи вторили уже опубликованным докладам, в которых говорится, что
Duqu очень похож на червя
Stuxnet. Анализ NSS показал, что Duqu использует похожий код и техники, но
достаточного количества доказательств того, что Duqu является производным от
Stuxnet, нет.
"Многие исследователи заявляют о том, что создатели Duqu имели доступ к
оригинальному коду Stuxnet", - сообщают они. "Этот факт не был доказан. Каждый
может отреверсить код Stuxnet, изменить и перекомпилировать".
"Нет пока объяснения тому, зачем было создан настолько продвинутый вирус с
первоклассной системой, позволяющей красть необходимую информацию", - сообщают
исследователи. "Зачем нужно было так изощряться, чтобы создать простой
клавиатурный логгер? Учитывая тот факт, что не все драйвера вируса обнаружены,
мы можем отнести Duqu к срытой угрозе, чье действие нам еще предстоит
обнаружить".
