CNews: «Невідомий мову програмування. самого знаменитого трояна

03.09.2015

«Лабораторія Касперського» оголосила, що зуміла ідентифікувати «невідомий мова програмування», на якому написаний фрагмент коду відомого троян Duqu, використаний при атаках на промислові та урядові об’єкти Ірану.

Нагадаємо, що про труднощі в пізнанні мови програмування експерти «Касперського» заявили 7 березня 2012 р.

Труднощі в ідентифікації стосувалася коду так званого «Фреймворку Duqu», відповідального за взаємодію інфікованого комп’ютера-жертви з командним сервером.

Згідно з повідомленням компанії, дослідження «Фреймворку Duqu» в «Лабораторії Касперського» тривали з листопада 2011 р. За цей час експерти залучили до роботи фахівців-реверсеров з Microsoft і перевірили близько трьох десятків мов програмування, «включаючи екзотичні Brainfuck і Haskell», однак, не знайшли мови, який би створював код, подібний «Фреймворку Duqu».

Після декількох місяців досліджень експерти «Лабораторії Касперського» звернулися за допомогою до спільноти програмістів.

найпопулярнішими гіпотезами, висунутими кореспондентами «Лабораторії Касперського» були різні діалекти LISP, Forth, Erlang, Google Go, Delphi, OO C і старі компілятори C++ та інших мов.

Обробивши отримані відповіді, у «Лабораторії Касперського» зробили висновок, що «Фреймворк Duqu», з високою часткою ймовірності, написаний на C. Однак, при розробці автори використовували власне об’єктно-орієнтоване розширення, що дозволяє вважати використаний мова рідкісним діалектом C. як компілятора, швидше за все, був використаний MSVC 2008.

CNews: «Невідомий мову програмування. самого знаменитого трояна

Троян Duqu використовується для точкових атак на промислові об’єкти Ірану

Відзначаючи нетрадиційність підходу авторів Duqu, вірусний експерт «Лабораторії Касперського» Ігор Суменков зауважує, що використовувати діалект C замість C++ авторів Duqu могли спонукати «недовіра до компиляторам С++, характерне для розробників з багаторічним досвідом, які починали з асемблера», а також широка переносимість.

«Ці два фактори вказують на те, що код був написаний командою досвідчених розробників «старої школи», які хотіли створити легко модифицируемую і портируемую платформу для атак», – говорить експерт.

Головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв зауважує, що авторами Duqu були «не просто «олдскульные» програмісти, а ще й люди, у яких маса «вільного» часу». На його думку, у розробників на написання коду і його налагодження пішло багато часу, хоча таку роботу можна було зробити швидше і простіше. «У них не було завдання зробити роботу швидко. Ми жартували, що, може бути, вони взагалі в тюрмі сидять», — говорить Гостєв.

Розуміння природи коду Duqu допоможе створити для нього евристику», пояснює експерт. Крім того, не виключено, що тепер вдасться знайти легальні програми, при створенні яких використані ті ж методи, і таким чином, вийти на команду розробників.

Варто зауважити, що походження троянів Duqu і близькоспорідненого йому Stuxnet, атакуючого ядерні об’єкти Ірану, досі залишається загадкою.

Нагадаємо, що про трояне Duqu стало відомо 1 вересня 2011 р. За припущенням експертів, цей троян був створений для точкових атак на комп’ютери промислових об’єктів, а також урядових і комерційних структур Ірану.

Duqu був створений на єдиній програмній платформі з іншим знаменитим комп’ютерним хробаком Stuxnet, який в 2011 р. вразив іранські атомні електростанції, а також проник в мережі цілого ряду інших підприємств по всьому світу.

На думку експертів «Лабораторії Касперського», над обома троянами працювала одна й та ж група авторів. На відміну від Stuxnet, Duqu призначений не стільки для безпосередніх шкідливих дій в зараженій системі, скільки для організації каналу доставки і установки в систему додаткових шпигунських модулів.

Оскільки Duqu застосовується для точкових атак, число уражених ним комп’ютерів порівняно невелика. У «Лабораторії Касперського» оцінюють число відомих інцидентів, пов’язаних з Duqu, «приблизно як 25», причому загальна їх загальна кількість навряд чи перевищує 100. У кожному з інцидентів могло брати участь кілька десятків комп’ютерів.

«Немає ніяких сумнівів, що Stuxnet і Duqu були написані в інтересах якогось уряду, але якого саме, доказів немає», — заявляв раніше Олександр Гостєв.

Нагадаємо, що 4 березня 2012 р. колишній глава Агентства національної безпеки США Майкл Хейден (Michael Hayden) в інтерв’ю телеканалу CBS зауважив, що Stuxnet був хорошою ідеєю». При цьому генерал не розповів, яке держава стоїть за створенням цього трояна, наступником якого став Duqu.

Короткий опис статті: програмування на c Експерти «Лабораторії Касперського» за допомогою світової спільноти програмістів зуміли пізнати мову програмування, на якому написаний фрагмент коду троян Duqu. Раніше передбачалося, що для його створення був використаний спеціально створений мову програмування.

Джерело: CNews: «Невідомий мова програмування» самого знаменитого трояна сучасності встановлено

Також ви можете прочитати