expo-itsecurity
Антивирусные эксперты "Лаборатории Касперского" полагают, что известный троянец Stuxnet, поразивший ядерные объекты в этом году, является всего лишь одним из пяти разработок, базирующихся на одной и той же платформе. Сама платформа была создана довольно давно - в 2007 году.
Напомним, что ранее ряд авторитетных западных изданий, таких как The New York Times и другие, со ссылками на анонимные источники опубликовали материалы, в которых было сказано, что целью подобных Stuxnet промышленных троянцев были иранские ядерные объекты, а за созданием вредоносных кодов стояли израильская и американская разведки. Впрочем, официальные представители данных ведомств отвергают подобные заявления.
Сам Stuxnet дал рождение более современному промышленному вредоносному коду Duqu, который угрожает другим промышленным объектам, воруя разнообразные закрытые данные с них. В "Лаборатории Касперского" говорят, что как Stuxnet, так и Duqu базируются на одной и той же вредоносной шпионской платформе, причем антивирусные аналитики компании нашли доказательства того, что та же платформа были использована еще для трех образцов вредоносного программного обеспечения.
Сам платформа позволяет кастомизировать вредоносное ПО, создавая для него модули с различным функционалом. Все модули в определенном смысле совместимы друг с другом и подходят для единой платформы, но отличаются по функционалу. То есть заказчики вредоносного ПО могут создавать новые образцы вредоносных программ, просто заменяя или добавляя новые модули.
В "Лаборатории Касперского" условно назвали данную платформу Tilded, так как многие файлы в Stuxnet и Duqu начинаются со значка ~ (тильда). В компании говорят, что три других образца вредоносного ПО на платформе Tilded пока не нашли широкого применения, но они определенно существуют и вполне возможно, что будут популярны в будущем. По словам антивирусных экспертов, Stuxnet и Duqu оставляют в системном реестре Windows определенные ключи. Похожие ключи оставляют и три других комплекса.
В российской антивирусной компании говорят, что уже около двух месяцев исследуют Duqu, но несмотря на это пока нет ответа на главный вопрос - кто именно создал данное ПО.
"С точки зрения архитектуры платформа, на которой созданы Duqu и Stuxnet, одинакова. Это файл-драйвер, который осуществляет загрузку основного модуля, выполненного в виде зашифрованной библиотеки. При этом существует отдельный файл конфигурации всего вредоносного комплекса и специальный блок в системном реестре, определяющий местоположение загружаемого модуля", - говорит Александр Гостев, эксперт "Лаборатории Касперского", - мы считаем, что Duqu и Stuxnet были параллельными проектами, которые поддерживала одна и та же команда разработчиков. Ряд выявленных нами фактов указывает на возможное существование как минимум еще одного шпионского модуля, основанного на той же платформе, в 2007-2008 годах и нескольких других программ неизвестного функционала в период 2008-2010 годов".
Источник: cybersecurity
Ссылки по теме
