返回新闻列表

卡巴斯基实验室专家提醒:Duqu与Stuxnet的幕后团队还创建了其它恶意程序

        新消息证实,Duqu与Stuxnet不仅同属一个恶意程序家族,而且幕后团队也为同一个。由此推测,创建它们时使用的是单一的平台,但该平台可以适用于多样化的环境,以对不同的目标发起攻击。此外,该平台可能早在Stuxnet爆发之前就已经开发完成,而目前的使用也更加频繁。这一结论由卡巴斯基实验室的专家们在对发起Duqu和Stuxnet攻击的驱动程序和一些未知恶意程序详细分析后得出的。

        该平台曾被称为“Tilded”(缘于其创建者倾向于使用Tilde符号(~)开头的文件),卡巴斯基实验室的专家们认为,正是在这个平台上,产生了Stuxnet和Duqu,当然它们的创建者还在此创建了其它的恶意程序。

        Duqu与Stuxnet之间的关系是在对一次Duqu感染事件的分析中被发现的。2011年8月,在对受到Duqu攻击的系统分析中,发现一个驱动程序与Stuxnet其中一个版本使用过的驱动程序十分相似。然而,尽管这两个驱动程序之间有很明显的相似之处,但是在细节上却又不尽相同,例如数字证书的签署日期。另外,能够促使Stuxnet活动的其它相关文件还没有被发现,但是Duqu的活动情况却有迹可循。

        经过卡巴斯基实验室对获取信息的处理,以及对恶意程序数据库的进一步研究,发现了另一个与上述驱动程序特点相似的程序。该程序约在一年前被发现的,但是该文件却在2008年1月完成编译,比Stuxnet所使用的驱动程序创建的时间还要早一年。卡巴斯基实验室的专家们总共发现7种具有相似特点的驱动程序。值得注意的是,其中3种程序还没有信息可以确认它们被何种恶意程序使用过。

        卡巴斯基实验室首席安全专家Alexander Gostev说:“来自未知恶意程序的驱动程序不能影响Stuxnet和Duqu的活动。Stuxnet的传播方式会导致大量携带这种驱动程序的感染,但是由于这些程序编写日期与后期Duqu的传播不吻合,因此,它们不会对更多有针对性的Duqu木马攻击有什么影响。我们认为这些驱动程序要么是在Duqu早期的版本中有所使用,要么是被完全不同的恶意程序所使用,但它们都出自于同一个平台,很有可能的是,出自同一个创建团队。

        卡巴斯基实验室的专家们认为,Duqu和Stuxnet背后的网络犯罪集团在一年之内创建多个新的驱动程序,用来加载恶意程序的主要模块。针对有计划性的新攻击,利用特殊的程序,可以修改驱动程序的几大参数,比如注册表项。根据任务情况,此类文件还能被授予合法的数字证书,或者根本不需要授权。

        因此,Duqu与Stuxnet在本质是两个不同的事件,但它们出自同一个平台——Tilded(大约于2007年底或2008年初开发)。最有可能的推断是这种犯罪活动并不是只有一起,而木马程序不同变种的目的和任务尚且不明。不能排除的可能是,这类平台还会继续发展,并且由于Duqu被安全专家发现,这类平台势必会进行改进。

        欲查阅Alexander Gostev和Igor Sumenkov撰写的报告,请访问Securelist