Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo

Opisi virusa, 21.10.2011, 09:51 AM

Novo sajber oružje zove se Duqu, a njegova pojava je ove nedelje bila praćena brojnim spekulacijama i raspravama u kojima je dominantna dilema - da li je novi malware direkntni naslednik Stuxnet-a dizajniran sa namerom da nanese štetu infrastrukturi razvijenim državama zapadne hemisfere.

Neki od ključnih elemenata u sastavu i ponašanju malware-a Duqu kao i okolnosti pod kojima je otkriven, doveli su mnoge stručnjake do zaključka da su ova dva malware-a zaista nekako povezani. Konkretno, nešto od koda u glavnom modulu Duqu malware-a je skoro identično delovima koda Stuxnet-a a i struktura im je slična.

I Duqu i Stuxnet koriste modularnu arhitekturu koja se sastoji od glavnog modula sa drajverom ili setom drajvera koji ubacuju DLL u sistemske procese. Takođe postoji DLL koji uključuje još jedan modul i kod za povezivanje sa C&C serverom i konfiguracijski fajl. Stuxnet takođe ima odvojenu komponentu koja je payload, a taj payload može biti zamenjen potpuno odvojenom komponentom koja je u osnovi keylogger.

Još jedna ključna sličnost između Stuxnet-a i Duqu-a je upotreba ukradenih digitalnih sertifikata za jedan ili više njihovih drajvera, što je tehnika koja pomaže malware-u da izbegne otkrivanje.

Ali to je otprilike sve kada se govori o sličnostima. Da li ovakvi argumenti, razmatrani zajedno, dokazuju da je Duqu zaista potekao od Stuxnet-a ili da ga je napravila ista grupa koja je odgovorna za Stuxnet? Ne, jer nema ni indicija da je Duqu zamišljen kao oružje za ometanje rada industrijskih kontrolnih sistema ili drugih sistema povezanih sa kritičnom infrastrukturom. Ustvari, Duqu nema kapacitete i ne uključuje bilo kakve komponente sposobne za napad na industrijske kontrolne sisteme.

Ono što pokazuju sada dostupni dokazi je da su oba malware-a osmišljena tako da ostanu neprimećeni i da kompromituju određene vrste sistema. Stuxnet je napravljen sa jednim jedinim ciljem - da napadne određene PLC (Programmable Logic Controller) uređaje. On je ispunio misiju ali je usled nekih nepredvih događaja crv našao put do Windows-a i započeo sa širenjem na korisničkim računarima, što je ubrzalo njegovo otkrivanje.

Duqu je takođe napravljen sa određenim ciljem, kažu istraživači, ali nije jasno kakav bi to cilj mogao biti.

“Za razliku od Stuxnet-a, koji je inficirao mnogo sistema ali tragao za određenom metom, Duqu inficira veoma mali broj veoma specifičnih sistema širom sveta, ali koristi potpuno različite module za svaki sistem. Pored toga, trenutno niko nije pronašao instalacioni fajl (dropper), koji bi morao biti prvi link u lancu infekcije - odgovoran za instalaciju i drajvera i DLL. Taj fajl bi mogao biti crv i koristiti različite exploit-e. Taj fajl je ključ za rešenje zagonetke zvane Duqu,” kaže Aleks Gostev iz Kaspersky Laboratorije u svojoj analizi ovog malware-a.

Sasvim je moguće da je Duqu delo iste grupe koja stoji iza Stuxnet-a. Mnogi stručnjaci smatraju da je ovo najprihvatljivija teorija zbog toga što kod Stuxnet-a nije dostupan javnosti.

Ostajući u domenu nagađanja, moglo bi se pretpostaviti da su autori Stuxnet-a, budući da su imali uspeha koristeći Stuxnet za napad na nuklearno postrojenje u Iranu, sada na drugom zadatku. Stručnjaci kažu da je do ovog trenutka uočeno nekoliko verzija Duqu, ali da se ne može znatti koliko ih je još u opticaju, koji tiho rade ono zbog čega je osmišljen Duqu.

Ipak, treba biti oprezan kada se govori o Duqu kao o nasledniku Stuxnet-a jer dovođenje u vezu ta dva malware-a nužno implicira pretpostavke o prirodi ove pretnje. Dovoljno je pogledati naslove tekstova čiji se autori bave Duqu malware-om pa da bude jasno da je on već viđen kao oružje sajber rata.

“Kako takvi visokocilajni napadi budu postajali sve češći a tema elektronskog ratovanja i špijunaže sve cenjenija u popularnoj kulturi, oni koji u zajednici okupljenoj oko bezbednosti razumeju prirodu i ozbiljnost ovakvih pretnji i napada bi trebalo da preuzmu na sebe odgovornost kada koriste Stuxnet kao osnovu za poređenje,” zaključuje Denis Fišer koluminista ThreatPost-a.