С октября 2011 года аналитики «Лаборатории Касперского» на Securelist опубликовали около 10 записей, посвящённых троянцу Duqu. Последняя из задач, которая была решена в ходе анализа данного троянца – определение языка программирования для некоторых из компонентов Duqu.
Duqu является сложной троянской программой, предназначенной для сбора и кражи конфиденциальной информации, циркулирующей в корпоративных сетях промышленных предприятий. Для создания Duqu были потрачены ресурсы, которые вряд ли могут концентрироваться в руках злоумышленников-одиночек или небольших организованных групп. Скорее мы можем предполагать, что данная угроза возникла в результате противодействия киберспециалистов различных стран. Соответственно, её можно отнести к классу угроз, который принято обозначать аббревиатурой APT (Advanced Persistent Threat).
В связи с тем, что в России на протяжении последних месяцев анализом троянца Duqu вплотную занимается «Лаборатория Касперского», мы попросили рассказать об успехах в этом исследовании одного из специалистов этой компании – Александра Гостева.
«Детальный анализ вредоносной программы дает нам все основания предполагать, что Duqu имеет тех же авторов, что и скандально известный червь Stuxnet, главной целью которого были диверсии на промышленных объектах за счет физического выведения из строя ключевых элементов инфраструктуры», – рассказывает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
При этом важно сказать о том, что в отличие от червя Stuxnet, который содержит в себе функционал, позволяющий самостоятельно распространяться, троянец Duqu, судя по результатам исследований, такой возможности не имеет.
Судя по объёму и количеству материалов, которые публикует «Лаборатория Касперского» относительно троянца Duqu, интерес к ней вызван не случайно. Вот как это объясняет Александр Гостев: «Столь пристальное внимание к этой вредоносной программе можно объяснить тем, что это, по сути, первый случай использования столь масштабного, с точки зрения задействования в нем ресурсов высококлассных программистов, троянского проекта. При этом весьма ограниченное количество выявленных нами инцидентов говорит о том, что речь идет о проведении целевых атак, направленных на конкретные организации, а не массовом заражении корпоративных пользователей».
Также Александр Гостев сообщил, что «Backdoor-функционал в Duqu достаточно сложен и может использоваться для разнообразных целей. Однако на данный момент мы с уверенностью можем говорить лишь о краже различной информации».
В целом специалисты «Лаборатории Касперского» согласны с гипотезой о том, что к созданию Duqu прилагают усилия государственные структуры – настолько велик предположительный объём ресурсов, который ушёл на создание этого троянца. «Версия о том, что в процесс создания Duqu были вовлечены государственные ресурсы, которыми, как правило, не обладают обычные (даже очень масштабные) киберпреступные группировки, существовала у нас с самого начала», – продолжает Александр Гостев. – «В пользу этого предположения говорили и цели троянца, расположенные в Иране и Судане, и его «родственные связи» со Stuxnet, и использование неизвестных ранее уязвимостей, и очевидное наличие большой команды разработчиков.
По результатам наших последних исследований мы сделали вывод, что разработчики не были ограничены временем, потраченном на написание кода и отладку: все то же самое можно было сделать быстрее и проще. Это говорит о том, что разработка явно велась по принципам создания крупных софтверных проектов, а не «традиционных» киберпреступных, где все направлено на получение максимальной финансовой выгоды за минимальные сроки».
Несмотря на то, что Duqu и Stuxnet имеют «общие корни», они имеют разную целевую направленность. Если Stuxnet направлен, прежде всего, на оборудование PLC/SCADA и на физическое выведение из строя элементов атакуемой инфраструктуры, то троянец Duqu ставит своей целью сбор любой конфиденциальной информации, хранящейся в электронном виде на компьютере жертвы.
Исследователи «Лаборатории Касперского» достаточно часто сталкиваются с препятствиями различного рода при анализе троянца Duqu, причём не все из препятствующих факторов имеет техническую сторону. «Большая проблема есть и при расследовании инцидента на стороне конечной жертвы», – говорит Александр Гостев, – «Поскольку большинство из них находится в Иране – прямой контакт с ними затруднен. Некоторые из них никак не реагируют на наши письма к ним, некоторые отказываются от сотрудничества. Если бы все они проявляли больше сознательности – это бы значительно помогло и им самим и другим жертвам Дуку, не говоря уже об самом Иране».
Тем не менее, основной проблемой является исследование серверов управления Duqu. Для того, чтобы получить к ним доступ или какую-либо информацию с этих серверов, требуется одобрение не только хостеров, но и правоохранительные органы различных стран мира. Соответственно, это требует значительного количества ресурсов и времени, которое авторы Duqu тратят на заметание следов, удаляя информацию с замеченных вредоносных серверов. В настоящее время «Лаборатории Касперского» удалось получить доступ только 5 из 10 выявленных серверов, другие 5 недоступны, и вероятность получения доступа к ним крайне низка.
При анализе троянца Duqu "Лаборатория Касперского" обращается за помощью к внешним специалистам. Так произошло и при анализе фреймворка, который использовался при компиляции исполняемых файлов, входящих в компонент троянца Duqu. Александр Гостев по просьбе редакции портала Anti-Malware.Ru поделился собственными впечатлениями от такого сотрудничества: «Поскольку в данном случае задача была решена менее чем за неделю – да, мы очень довольны. Подобные ситуации возникают не часто, но если мы просим помощи сообщества – поверьте, значит, у нас уже нет другого выхода. Мы благодарны всем комментариям и мнениям, даже если они оказываются неверными. Что касается оплаты, то мы готовы, что называется, «делиться славой», – улыбается Александр Гостев. – «Это включает в себя совместные выступления на различных конференциях, публикациях в СМИ. Разумеется, хорошие специалисты нужны и нам самим, и такие акции – это в том числе и их поиск. Так что платить деньги им тоже можем, когда они станут нашими коллегами, то есть сотрудниками нашей «Лаборатории».
Несмотря на то, что одни производители антивирусных решений, такие как «Лаборатория Касперского», Symantec, Microsoft считают целесообразным проведение глубокого исследования таких вредоносных программ как Duqu, сотрудники других производителей, тем не менее, говорят о том, что подобным исследованиям уделяется слишком большое значение, и их публикация, а также привлечение внешних специалистов не столь необходимы.
В частности, Константин Юдин, главный разработчик продуктов для Windows российской компании «Доктор Веб», в своей традиционной эмоциональной манере пишет на официальном форуме компании буквально следующее об определении языка программирования, на котором написаны компоненты Duqu (отредактировано по правилам русского языка): «М-да, развязка оказалась, трагической. Оказывается, это был Microsoft Visual C. Видно, у ЛК ребят старой школы совсем не осталось, раз не смогли распознать диалект «си» с классами. А пиару – на весь мир, международной конференции лучших умов, жаль, не собрали... Больше получился антипиар в глазах профессионалов...». «У нас миссия проще – защитить пользователей», – резюмирует Константин Юдин.
Что ж, такое мнение тоже имеет право на существование, а кто окажется лучше подготовленным к новым угрозам, более совершенным, чем Duqu – те специалисты, которые исследовали эту программу или те, что использовали доступные ресурсы для других, более важных целей, покажет время, а Anti-Malware.ru будет следить за развитием событий.