Kaspersky Lab prosi o pomoc w identyfikacji języka programowania trojana Duqu

Eksperci Kaspersky Lab po rozebraniu na czynniki pierwsze trojana Duqu stwierdzili, że jego część została napisana w nieznanym języku programowania. Wystosowali apel do społeczności programistycznej z prośbą o pomoc w jego analizie.

Trojan Duqu zawiera nieznany język programowania

Duqu to trojan, za którym stoją twórcy robaka Stuxnet. Pełni on przede wszystkim funkcję backdoora ułatwiając kradzież prywatnych informacji. Według danych Kaspersky Lab, pierwszy ślad z nim związany pochodzi z sierpnia 2007 r (oficjalnie został jednak wykryty we wrześniu 2011 r).

Większość ofiar szkodnika (do tej pory odnotowano kilkanaście incydentów) zlokalizowana była w Iranie. Jego celem była "kradzież informacji dotyczących przemysłowych systemów kontroli wykorzystywanych w wielu branżach, jak również gromadzenie danych o związkach handlowych między wieloma różnymi organizacjami irańskimi".

Nierozwikłana tajemnica i prośba o pomoc

Eksperci Kaspersky Lab podczas analizy trojana odkryli, że pewna sekcja (nazwali ją "Szkieletem Duqu"), która odpowiadała za komunikację z cyberprzestępcami, napisana została w nieznanym języku programowania (pozostała część trojana napisana została w języku C++ i skompilowana przy użyciu Visual C++ 2008 Microsoftu). Potwierdzili jednocześnie, że jest to obiektowy język programowania, który wykonuje własny zestaw działań charakterystycznych dla aplikacji sieciowych.

"Język "Szkieletu Duqu" jest bardzo specjalistyczny i pozwala bibliotece odpowiedzialnej za komunikację działać niezależnie od innych modułów Duqu i łączy ją z jej serwerami kontroli na różne sposoby, łącznie z Windows HTTP, gniazdami sieciowymi oraz serwerami proxy. Umożliwia ponadto bezpośrednie przetwarzanie żądań HTTP, potajemnie przesyła kopie skradzionych informacji z zainfekowanej maszyny do serwera cyberprzestępców, a nawet potrafi rozprzestrzeniać dodatkową szkodliwą funkcję do innych maszyn w sieci, co stanowi kontrolowaną i dyskretną formę rozprzestrzeniania infekcji na inne komputery." - czytamy w informacji prasowej Kaspersky Lab.

"Biorąc pod uwagę rozmach projektu Duqu, możliwe, że za "Szkielet Duqu" odpowiadał całkowicie inny zespół niż ten, który stworzył sterowniki i napisał moduły infekujące system. Ponadto, niezwykle wysoki poziom adaptacji do własnych potrzeb oraz ekskluzywność, jakie charakteryzują nieznany język programowania, może sugerować, że jego celem było nie tylko uniemożliwienie osobom z zewnątrz zrozumienia operacji cyberszpiegowania oraz interakcji z serwerami cyberprzestepców, ale również odseparowanie go od innych wewnętrznych zespołów tworzących Duqu, które odpowiadały za pisanie dodatkowych komponentów tego szkodliwego programu" - powiedział z kolei Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab.

Podkreśla on ponadto, że aby stworzyć tak wyspecjalizowany język programowania trzeba mieć wysoki poziom umiejętności w tym zakresie oraz dysponować pokaźnymi środkami finansowymi i ludzkimi.

Nie mogąc sobie poradzić z tym problemem Kaspersky Lab wystosował apel o pomoc do każdego, kto rozpoznaje ten szkielet, zestaw narzędzi lub język programowania, który może wygenerować podobne konstrukcje kodu.

Jeżeli możesz i chcesz pomóc skontaktuj się z ekspertami z firmy pod adresem stopduqu@kaspersky.com. Pełną wersję analizy (w języku angielskim) "Szkieletu Duqu" znajdziesz pod tym adresem.

Źródło: informacja prasowa Kaspersky Lab

__________________

Niestety nie ma szansy, żebym ja im w tym pomógł. Ale może ktoś z was da radę?


Zobacz również