В "Лаборатории Касперского" говорят, что они приближаются к разгадке хронологии появления вредоносного кода Duqu и установлению личностей его авторов. По мнению экспертов, некоторые из целей Duqu были
поражены еще в апреле 2011 года; при этом использовалась упомянутая выше
уязвимость CVE-2011-3402. Примерно в тот же период иранские власти
сообщили о выявлении кибератаки с использованием вредоносного ПО Stars.
Некоторые эксперты полагают, что программа Stars представляла собой
раннюю версию Duqu. Если эти предположения верны, то не исключено, что
основная задача Duqu - промышленный шпионаж с целью получения
информации об иранской ядерной программе.
Компания Microsoft выпустила временный патч для обнаруженной уязвимости;
обновление, обеспечивающее полное решение данной проблемы, будет
доступно позднее. В настоящее время продукты "Лаборатории
Касперского" блокируют все вредоносные программы, использующие
CVE-2011-3402, предотвращая эксплуатацию киберпреступниками этой
уязвимости.
"Сопоставляя обнаруженные нами данные с данными, полученными
другими исследователями и антивирусными компаниями, мы выявили общие
черты, которые раскрывают приблизительную хронологию событий и общую
схему, по которой действовали создатели Duqu", - говорит
Александр Гостев, главный антивирусный эксперт "Лаборатории
Касперского".
В ходе проведенного расследования удалось выяснить, что распространение
вредоносной программы происходило через электронную почту. К письму,
адресованному конкретному получателю, прилагался doc-файл, содержащий
эксплойт уязвимости и инсталлятор троянца. Первая подобная рассылка была
проведена еще в апреле 2011 года.
Драйвер, загружаемый эксплойтом в ядро системы, имеет дату компиляции 31
августа 2007. Это говорит о том, что авторы Duqu могли работать над этим
проектом более четырех лет. Стоит отметить, что каждая атака Duqu была
уникальной: троянец имел четко определенную жертву, уникальный набор
файлов, а контроль за его деятельностью каждый раз осуществлялся с
разных серверов управления.
После заражения системы и установления связи с сервером происходила
загрузка и установка дополнительного модуля, предназначенного для сбора
информации о системе, снятия скриншотов, поиска файлов, перехвата
паролей и рядом других функций.
На сегодняшний день эксперты "Лаборатории Касперского"
выявили как минимум 12 уникальных наборов файлов Duqu, исследование
которых до сих пор продолжается.
