Обнаружен неизвестный язык программирования в троянце Duqu

Обнаружен неизвестный язык программирования в троянце Duqu

 В ходе проведения детального анализа вредоносного кода троянца Duqu антивирусные эксперты «Лаборатории Касперского» пришли к выводу, что часть вредоносной программы написана на неизвестном языке программирования.



Duqu представляет собой сложную троянскую программу, созданную авторами скандально известного червя Stuxnet. Главная задача Duqu – обеспечить злоумышленникам доступ в систему с целью кражи конфиденциальной информации. Впервые этот троянец был обнаружен в сентябре 2011 года, однако, по данным «Лаборатории Касперского», следы вредоносного кода, имеющего отношение к Duqu, появились еще в августе 2007 года. Специалисты компании зафиксировали более десятка инцидентов, произошедших при участии этого зловреда, причем большинство его жертв находились в Иране. Анализ рода деятельности организаций, пострадавших в результате соответствующих инцидентов, а также характера информации, на получение которой были направлены атаки, позволяет предположить, что основной целью создателей троянца была кража информации об автоматизированных системах управления, используемых в различных отраслях промышленности, а также сбор данных о коммерческих связях целого ряда иранских организаций.

Одним из важнейших нерешенных вопросов, связанных с Duqu, является то, как эта троянская программа обменивалась информацией со своими командными серверами (C&C) после заражения компьютера-жертвы. Модуль Duqu, отвечающий за коммуникацию с командными серверами, является частью его библиотеки с основным кодом (Payload DLL). При детальном изучении данной библиотеки эксперты «Лаборатории Касперского» обнаружили, что часть её кода, отвечающая за коммуникацию с командным сервером, написана на неизвестном языке программирования, и назвали этот участок «Фреймворк Duqu».

В отличие от остального кода Duqu, Фреймворк Duqu не написан на языке C++ и скомпилирован не при помощи Microsoft's Visual C++ 2008. Возможно, авторы использовали собственные средства разработки для генерации промежуточного кода на C, либо они использовали совершенно иной язык программирования. В любом случае, эксперты пришли к выводу, что язык является объектно-ориентированным и оптимально подходит для разработки сетевых приложений.

Язык, использованный в Фреймворке Duqu, является высокоспециализированным. Он позволяет Payload DLL работать независимо от остальных модулей Duqu и обеспечивает подключение к выделенному командному серверу несколькими способами, в т.ч. через Windows HTTP, сетевые сокеты и прокси-серверы. Он также позволяет библиотеке обрабатывать прямые HTTP-запросы от командного сервера, незаметно пересылает копии украденных данных с зараженной машины на командный сервер и даже может доставлять дополнительные вредоносные модули на другие компьютеры в составе сети, т.е. создает возможность контролируемо и скрытно распространять заражение на другие компьютеры.

«Учитывая масштаб проекта Duqu, весьма вероятно, что созданием Фреймворка Duqu занималась совершенно другая команда – не та, что разрабатывала драйверы и писала эксплойты для заражения системы, – считает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». – Принимая во внимание чрезвычайно высокий уровень кастомизации и эксклюзивности, имевший место при создании языка программирования, можно предположить, что он был разработан с целью не только затруднить понимание сторонними лицами особенностей операции по кибершпионажу и взаимодействия с командными серверами, но и отделить этот проект от работы других групп, участвовавших в создании Duqu и отвечавших за написание дополнительных элементов вредоносной программы».

По словам Александра Гостева, создание специализированного языка программирования демонстрирует высочайший уровень квалификации разработчиков, участвовавших в проекте, и указывает на то, что для его реализации были мобилизованы значительные финансовые и людские ресурсы.

 В ходе проведения детального анализа вредоносного кода троянца Duqu антивирусные эксперты «Лаборатории Касперского» пришли к выводу, что часть вредоносной программы написана на неизвестном языке программирования. " />
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Данные утекали почти из каждой компании стран глобального Юга

Эксперты центра противодействия кибератакам Solar JSOC ГК «Солар» пришли к выводу, что утечки данных происходили практически у всех компаний стран СНГ и глобального Юга. Самая частая проблема, которая встречается в 98% организаций, — компрометация учетных данных сотрудников.

Отчет Solar JSOC  был составлен на основе анализа более 150 крупнейших организаций из госсектора и ключевых отраслей экономики стран СНГ (исключая Россию), а также Таиланда, Кубы, Ирана, Ирака, Эфиопии, Объединённых Арабских Эмиратов (ОАЭ).

По оценкам Solar JSOC, хуже всего дела обстоят в госсекторе, транспорте и здравоохранении. Чуть лучше дела обстоят в силовых структурах и банковском секторе.

Одной из основных причин утечек корпоративных аккаунтов в странах СНГ и глобального Юга становится использование рабочих учетных данных (логина и пароля) при регистрации на сторонних сайтах и сервисах (например, бесплатной почты) с помощью корпоративного ящика. Среднее количество утекших записей на одну организацию составляет 4, а максимальное число — более 120 записей.

Проблема компрометации рабочих учеток актуальна и для России. По данным «Солара», в 2024 году 40% успешных атак начинались именно со взлома корпоративных аккаунтов. Это втрое больше, чем год назад.

Второй по значимости причиной инцидентов стали незакрытые уязвимости на ИТ-периметрах. Как показало исследование, в среднем на одну организацию приходится около 10 опубликованных веб-сервисов, которые содержат уязвимости выше 8,5 из 10 баллов по шкале CVSS score. В 75% организаций обнаружены незакрытые уязвимости, позволяющие злоумышленнику получить удаленный доступ в инфраструктуру через известные эксплойты.

Для России проблема уязвимостей также актуальна: доля подобных атак, в расследовании которых в 2024 году принимали участие эксперты «Солара», составляет 40% (против 61% в 2023 году). По мнению экспертов, это является свидетельством того, что под серьезным натиском атак российские организации стараются закрывать бреши на своих ИТ-периметрах.

«Проблема усугубляется тем, что в 80% исследованных организаций для удаленного доступа к корпоративным ресурсам (например, при работе из дома) не используется второй фактор аутентификации. То есть украденный пароль позволяет злоумышленнику беспрепятственно получить прямой доступ в инфраструктуру жертвы. В России аналогичные проблемы удаленного доступа имеют менее 20% ключевых организаций», — отметил директор центра противодействия кибератакам Solar JSOC Владимир Дрюков.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru