Согласно отчету, опубликованному в пятницу, создатели Duqu, который проник в
системы промышленных компаний как минимум в восьми странах, использовал для
каждой атаки уникальные эксплойты, контрольные серверы и документы-ловушки
Microsoft Word.
Кроме того, у двух драйверов, которые модульный руткит применял для одной из
атак, даты компиляции – 2007 и 2008 год, сказал Александр Гостев, эксперт
лаборатории Касперского и автор
отчета. Если эти даты – не подделка, значит, разработчики потратили
последние четыре года на создание зловреда.
Так же, как следователи судмедэкспертизы прочесывают место убийства в поисках
мельчайших улик, исследователи безопасности по всему миру проверяют каждый email
и компьютерный файл, связанный с Duqu, ради зацепок, которые помогли бы понять,
кто и с какой целью его создал. Еще предстоит установить прямую связь со Stuxnet,
который саботировал работу иранских заводов по обогащению урана, но картины,
которая сейчас складывается, достаточно, чтобы понять, что как и Stuxnet, Duqu
разрабатывался командой обученных и хорошо финансируемых специалистов мирового
класса.
Версию Duqu, которая была рассмотрена в пятничном отчете, обнаружила
суданская команда Computer Emergency Response Team на компьютерах неназванной
компании, которую атаковали ранее. Как и в случае других целей, эта атака была
запущена с помощью
документа Microsoft Word, содержавшего ловушку, рассчитанную на эту
конкретную организацию и эксплуатирующую ранее неизвестную уязвимость в ядре
всех поддерживаемых версий Windows.
Первая попытка атаки провалилась, потому что письмо с файлом попало в папку
для спама. 21 мая, через 4 дня после первой попытки, атакующие попробовали снова
уже со слегка измененным сообщением. Тема письма и название прикрепленного файла
имели отношение конкретно к этой компании. Интересно, что DLL-файл, который
служил главным модулем трояна, был датирован 17 апреля. Это день, когда
состоялась первая попытка атаки.
Когда получатель второго письма открыл документ, зловред моментально взломал
компьютер, но оставался в состоянии покоя еще около 10 минут, сказал Гостев.
Эксплойт не устанавливал шпионских компонентов до тех пор, пока пользователь не
отлучился от компьютера. Зараженный компьютер использовал командно-контрольный
сервер, которого исследователи раньше никогда не видели. На данный момент они
обнаружили 4 подобных сервера, и каждый из них использовался для того, чтобы
посылать и получать данные лишь от одной определенной цели.
В конце мая второй компьютер в атаке, изученной Лабораторией Касперского, был
заражен через локальную сеть компании. Гостев не сказал, каким образом Duqu
распространялся. В другом исследовании, проведенном Symantec, предполагается,
что Duqu распространялся через SMB-соединения, используемые для обмена файлами
между машинами.
Кроме умений и тщательного подхода к делу, атакующие продемонстрировали еще и
интригующее чувство юмора. Вредоносный шелл-код для эксплойта был встроен в
вымышленный шрифт под названием "Dexter regular" и содержал строку "Copyright
(c) 2003 Showtime Inc". Спрятанное сообщение – это очевидная отсылка к сериалу "Декстер",
в котором рассказывается о серийном убийце, работающем исследователем мест
преступлений в полиции Майами.
"Это еще одна шутка от авторов Duqu", - сказал Гостев.
