Мы продолжаем изучать целевую атаку Duqu, и вот новая информация, которая позволяет предположить, что этот зловред был создан специально, чтобы шпионить за иранской ядерной программой.

История вопроса и несколько фактов:

В апреле этого года Иран заявил, что стал жертвой кибератаки, содержащей вирус Stars. В этой статье изложены некоторые дополнительные детали атаки.

Сегодня мы можем подтвердить, что некоторые цели Duqu были поражены 21 апреля с использованием того же самого метода, включая использование уязвимости CVE-2011-3402, эксплойта базового уровня для win32k.sys, внедренного через True Type Font (TTF) файл.

По данным IrCERT (Iran's Computer Emergency Response Team) Duqu — это усовершенствованная модификация Stars.

Прежде всего я должен сообщить об ошибке, допущенной в прошлом тексте.

При анализе 4-го инцидента в Иране мы констатировали факт двух сетевых атак на машину жертвы с IP-адреса 63.87.255.149. Это могло бы стать отличной версией происхождения Duqu, но оказалось потрясающей ошибкой.

Судите сами – Duqu в своей работе проверяет наличие подключения к интернету и пытается обратиться к серверу kasperskychk.dyndns.org, который должен находиться по адресу 68.132.129.18. Анализ информации по этому адресу показывает, что он находится в том же самом дата-центре, что и «обнаруженный» нами 63.87.255.149!

Но увы, на самом деле я ошибся при конвертации адреса. Ошибка была вызвана одним единственным аргументом – сравните “1062731669” и “-1062731669”. В первом случае это дает нам 63.87.255.149, а во втором – локальный адрес 192.168.0.107 – в котором, конечно, нет ничего интересного для нашего исследования :(

Дроппер и 0-day

Теперь перейдем к гораздо более интересным новостям. Как стало известно, продолжающееся расследование, проводимое венгерской лабораторией Crysys, привело к обнаружению главного недостающего звена – дроппера, который и проводил первоначальное заражение систем.

Как нами и ожидалось – здесь не обошлось без использования уязвимости. Был обнаружен MS Word doc-файл, который был направлен хакерами одной из жертв. Файл содержит в себе эксплоит ранее неизвестной уязвимости Windows, в результате использования которой из файла извлекались и запускались компоненты Duqu.

В настоящий момент Symantec и Microsoft все еще не предоставили другим антивирусным компаниям ни сам файл дроппер, ни информации о том, в каком компоненте Windows содержится уязвимость, приводящая к повышению привилегий, однако по косвенным признакам, мы можем предположить уязвимость в win32k.sys.

Похожая уязвимость, MS10-073, была обнаружена нами год назад, в ходе анализа червя Stuxnet. Еще одна аналогичная проблема в win32k.sys (MS11-077) была исправлена 11 октября этого года.

Компания Microsoft сообщила, что работает над исправлением новой уязвимости, однако похоже, что патч не будет доступен в ноябрьском обновлении.

Важно отметить, что обнаружение дроппера и пути его проникновения в систему (целевая атака на выбранную жертву, по электронной почте) доказывает правильность нашего предположения о том, что атаки Duqu нацелены на крайне малое число жертв и в каждом случае могут использоваться уникальные наборы файлов.

Для заражения других компьютеров в сети, Duqu использует создание на удаленной машине задач в Планировщике Windows (Scheduler). Точно такую же технику мы уже видели в Stuxnet и это один из любимых трюков атакующих при проведении целевых атак. Все это, вместе с другими уже известными деталями, усиливает теорию о том, что Stuxnet и Duqu были созданы одними и теми же людьми

Дополнительная информация показывает, что атакующие активно взаимодействовали с пораженными системами, тщательно собирая информацию с каждого компьютера и проникая все глубже и глубже в локальную сеть пострадавших. Также мы не исключаем того, что помимо уникального набора файлов Duqu для каждой жертвы – используются и уникальные сервера управления (C2), отдельный для каждого атакованного объекта.

Наше исследование зафиксированных нами инцидентов с Duqu в Судане и Иране продолжается. На данный момент мы насчитываем 3 пострадавших в Судане и 4 в Иране. С некоторыми из них мы уже ведем работу по обнаружению всех компонент Duqu и установлению путей первоначального заражения.

Мы ожидаем этих результатов в самое ближайшее время и опубликуем их в очередных выпусках Mystery of Duqu.

Наше исследование троянской программы Duqu продолжается. В первой части отчета, опубликованной несколько дней назад мы указали на существование гораздо большего количества драйверов, чем считалось раньше, а также сделали выводы о возможном наличии других модулей. Кроме того, мы пришли к выводу, что в отличие от массового распространения, как это было со Stuxnet, Duqu атакует только крайне малое число целей.

Однако прежде чем сообщить о наших очередных находках, я должен выразить глубокое уважение к работе, проделанной венгерской исследовательской лабораторией Crysys. Именно они были первыми, кто исследовал компоненты Duqu и подготовил великолепный отчет, который затем был предоставлен ими другим антивирусным компаниям и стал основой для дальнейших исследований. К сожалению, наша компания не была в числе первых получателей этого отчета, но тем интересней эта задача для нас сейчас – выяснить про Duqu всё.

Наши эксперты продолжают проводить глубокий анализ всех файловых компонентов Duqu и находят все больше и больше подтверждений его сходства со Stuxnet. Детальный отчет с анализом работы файлов и их структуры находится в процессе подготовки и будет опубликован позже. Эта часть исследования – сейчас не самое главное и срочное, гораздо важней понять причины происходящего и ход развития событий.

Прежде всего мы считаем необходимым внести ясность в некоторую путаницу с именами файлов и с самими файлами, относящимися к данному инциденту. Для полного понимания ситуации необходимо знать, что на самом деле речь идет о двух (как минимум) разных вредоносных программах. Все, что было сказано в прошедшие сутки о связи Duqu со Stuxnet, в большинстве случаев относится только к первой из этих программ.

Ее основной модуль по сути состоит из трех компонентов:

• драйвер, который осуществляет внедрение dll в системные процессы;
• dll, которая содержит дополнительный модуль и взаимодействует с центром управления;
• файл конфигурации.

Именно этот комплекс и имеет максимальное сходство со Stuxnet, как по внутренней структуре, так и поведению в системе. Однако название Duqu не имеет к основному модулю практически никакого отношения — оно исходит из имен файлов, которые создает в системе совершенно другая вредоносная программа–шпион!

Эта вторая программа в основном является кейлоггером, но также может собирать разнообразную дополнительную информацию. Она была обнаружена у одной из пострадавших компаний вместе с описанным выше основным модулем. С учетом возможностей основного модуля по загрузке дополнительных компонент, на основании этого было сделано предположение о связи этих двух вредоносных программ. В ходе своей работы троянец-шпион сохраняет собранные данные в файлы с именами вида ~DQx.tmp. По этим названиям и было дано имя, под которым теперь подразумевается и основной модуль.

На самом деле код троянца-шпиона свидетельствует о том, что кейлоггер в какой-то степени связан с основным модулем, и вероятней всего он действительно был когда-то им загружен. Что же касается функционала, то это совершенно самостоятельная вредоносная программа, которая может работать и без основного модуля. Точно так же, как и основной модуль может работать без наличия в системе троянца-шпиона. Однако связи между кейлоггером и Stuxnet не столь очевидны, так что его с очень большой натяжкой можно назвать в лучшем случае «внуком», но уж точно никак не «сыном» Stuxnet :)

- Что представляет собой Duqu и какое отношение он имеет к Stuxnet?

Duqu - сложная троянская программа, которая, похоже, была написана создателями скандально известного червя Stuxnet. Её основная цель - действовать в качестве бэкдора в системе, упрощая кражу частной информации. Это его основное отличие от Stuxnet, главной целью которого были диверсии на промышленных объектах. Также важно отметить, что если Stuxnet способен распространтсья с одного компьютера на другой при помощи различных механизмов, Duqu - это троянская программа, которая, судя по всему, не размножается самостоятельно.

- Направлена ли эта программа на оборудование PLC/SCADA? Известно ли, кто или что именно является мишенью программы?

В отличие от Stuxnet, Duqu не нацелен на оборудование PLC/SCADA напрямую, хотя некоторые из его подпрограмм могли бы использоваться для кражи информации, имеющей отношение к промышленным объектам. Duqu, похоже, предназначен для сбора конфиденциальной информации о его мишенях, что может включать практически любые данные, хранящиеся в цифровом формате на ПК жертвы.

- Каким образом Duqu заражает компьютеры? Может ли он распространяться через USB-устройства?

На данный момент мы наблюдаем только его следы в зараженных системах, а не его основной компонент. По-видимому, существует «материнский» дроппер для Duqu, который заражает компьютеры, однако мы пока не располагаем его самплом.

- Есть ли в составе Duqu эксплойт, особенно эксплойт нулевого дня?

Пока мы не обнаружили такового, однако продолжаем анализ. Вредоносный код достаточно сложен, и его анализ требует значительного количества времени.

- Каким образом производители антивирусных решений узнали об этой угрозе? Кто сообщил о ней?

Первое публичное упоминание, о котором нам известно, содержалось в блогпосте некоего венгерского блоггера, который, по-видимому, стал жертвой этой атаки. Позднее он опубликовал больше информации о сертификате, используемом для подписи драйвера Duqu, однако, в конечном счете, удалил все посты, имеющие отношения к этой атаке.

- Когда эта угроза была впервые обнаружена?

Нашими продуктами шпионский компонент (infostealer) детектируется с 14 сентября как Trojan.Win32.Inject.bjyg.

- Сколько существует вариантов Duqu? Есть ли между ними принципиальные отличия?

По-видимому, существует по крайней мере три варианта драйверов Duqu, а также несколько других компонентов. Все они детектируются разными антивирусными компаниями под разными названиями, что создает впечатление существования множества различных вариантов. На момент написания нам было известно об одном компоненте, крадущем конфиденциальную информацию, и трех различных драйверах.

- Говорят, что эта программа направлена именно на центры сертификации. Соответствует ли это действительности? Откуда это известно?

Действительно, существует информация, которая указывает на то, что основной целью Duqu является кража данных с CA, однако на данный момент мы не располагаем информацией, которая однозначно это бы подтверждала.

- По заявлениям Symantec, троянская программа нацелена на определенные организации, возможно, с целью сбора особой информации, которая может использоваться при проведении атак в будущем. Какая информация нужна злоумышленникам, и какие атаки возможны в будущем?

Одно из предположений - Duqu использовался для кражи у центров сертификации сертификатов, которые могут применяться для подписи вредоносного кода, чтобы затруднить его детектирование. На самом деле, backdoor-функционал в Duqu достаточно сложен и может использоваться для гораздо более разнообразных целей. По сути, он может красть все, что угодно.

- C&C-сервер, используемый Duqu, до сих пор активен? Что происходит при обращении зараженной машины к C&C?

C&C-сервер Duqu, раположенный в Индии, более неактивен. Как и в случае с Stuxnet, он был отключен достаточно быстро после распространения новостей о Duqu.

- Почему Duqu работает в течение 36 дней?

Может быть, его автору нравились круглые значения, как, например, 6x6?

- Кто стоит за этой атакой?

Та же группировка, которая создала Stuxnet. Любопытно то, что они, похоже, заинтересовались астрономией; в составе исполняемого файла-шпиона, есть часть JPEG-файла — изображение, полученное с телескопа Hubble (“Interacting Galaxy System NGC 6745”):

На картинке запечатлены последствия прямого столкновения двух галактик (!), которое произошло несколько миллионов лет назад. Об этом можно прочитать здесь.

Продолжение следует...