Xuất hiện tại Iran, trojan Duqu có thể hoàn toàn không phải là “con của Stuxnet”

Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all

By Jon Brodkin | Published about 14 hours ago

Theo: http://arstechnica.com/business/news/2011/10/spotted-in-iran-trojan-duqu-may-not-be-son-of-stuxnet-after-all.ars?utm_source=rss&utm_medium=rss&utm_campaign=rss

Bài được đưa lên Internet ngày: 28/10/2011

Lời người dịch: Cho tới nay, những nghiên cứu về trojan mới Duqu vẫn được tiếp tục dù các công ty an ninh phần mềm khác nhau có những đánh giá khác nhau về trojan này. Có những bằng chứng cho thấy Duqu là khác biệt với Stuxnet và Duqu dù có ít sự lây nhiễm vẫn chứng tỏ là được nhằm sẵn vào một mục tiêu tấn công được định sẵn có chủ đích. Xem thêm [01].

Một năm sau khi sâu Stuxnet đã nhằm vào các hệ thống công nghiệp tại Iran và gây ngạc nhiên cho các nhà nghiên cứu an ninh với sự phức tạp của nó, một Trojan mới có tên là Duqu đã lan truyền như cỏ dại trong khi đang được gọi là “Con của Stuxnet” và một “điềm báo trước một cuộc tấn công như Stuxnet trong tương lai”. Các nhà nghiên cứu từ Symantecs nói Duqu và Stuxnet hình như được viết từ cùng các tác giả và dựa trên cùng mã nguồn.

Nhưng các phân tích xa hơn của các nhà nghiên cứu an ninh từ Dell gợi ý Duqu và Stuxnet có thể hoàn toàn không có liên quan gần gũi gì với nhau. Điều đó không nói được là Duqu không nghiêm trọng, khi mà các cuộc tấn công đã được báo cáo tại Sudan và Iran. Nhưng Duqu có thể không hoàn toàn là nòi giống mới, với một mục tiêu cuối cùng vẫn còn chưa được biết tới.

Một báo cáo ngày hôm qua từ Dell SecureWorks phân tích mối quan hệ với Stuxnet đưa ra nghi ngờ về ý tưởng rằng Duqu có liên quan. Ví dụ, Dell nói:

• Duqu và Stuxnet đều sử dụng một trình điều khiển nhân để giải mã và tải các tệp DLL (thư viện tải động) được mã hóa. Các trình điều khiển nhân phục vụ như một động cơ “tiêm” để tải những DLL này vào một qui trình đặc biệt. Kỹ thuật này không phải là độc nhất cho cả Duqu lẫn Stuxnet và từng được quan sát trong các mối đe dọa không có liên quan khác.
• Các trình điều khiển nhân cho cả Stuxnet và Duqu sử dụng nhiều kỹ thuật tương tự cho mã hóa và giấu giếm, như một rootkit để ẩn dấu các tệp. Một lần nữa, các kỹ thuật này không phải là độc nhất cho cả Duqu hoặc Stuxnet và đã được thấy trong các mối đe dọa không có liên quan khác.

Và trong khi Stuxnet và Duqu mỗi thứ “có những biến thể nơi mà tệp trình điều khiển nhân được ký số có sử dụng ký chứng thực bằng phần mềm”, thì Dell nói sự phổ biến này là bằng chứng không đủ của một sự kết nối “vì việc ký các chứng thực bị tổn thương có thể giành được từ một số các nguồn”.

A year after the Stuxnet worm targeted industrial systems in Iran and surprised security researchers with its sophistication, a new Trojan called Duqu has spread through the wild while being called the “Son of Stuxnet” and a “precursor to a future Stuxnet-like attack.” Researchers from Symantec say Duqu and Stuxnet were likely written by the same authors and based on the same code.

But further analyses by security researchers from Dell suggest Duqu and Stuxnet may not be closely related after all. That’s not to say Duqu isn’t serious, as attacks have been reported in Sudan and Iran. But Duqu may be an entirely new breed, with an ultimate objective that is still unknown.

A report yesterday from Dell SecureWorks analyzing the relationship to Stuxnet casts doubt on the idea that Duqu is related. For example, Dell says:

• Duqu and Stuxnet both use a kernel driver to decrypt and load encrypted DLL (Dynamic Load Library) files. The kernel drivers serve as an "injection" engine to load these DLLs into a specific process. This technique is not unique to either Duqu or Stuxnet and has been observed in other unrelated threats.

• The kernel drivers for both Stuxnet and Duqu use many similar techniques for encryption and stealth, such as a rootkit for hiding files. Again, these techniques are not unique to either Duqu or Stuxnet and have been observed in other unrelated threats.

And while Stuxnet and Duqu each “have variants where the kernel driver file is digitally signed using a software signing certificate,” Dell says this commonality is insufficient evidence of a connection “because compromised signing certificates can be obtained from a number of sources.”

Trong khi Stuxnet lan truyền thông qua các đầu USB và các tệp PDF, thì phương pháp lây nhiễm của Duqu vẫn còn chưa rõ, Dell nói. Không giống như Stuxnet, Duqu không có mã nguồn đặc biệt nhằm vào các thành phần SCADA (kiểm soát giám sát và truy cập dữ liệu). Duqu cung cấp cho các kẻ tấn công sự truy cập ở xa tới các máy tính bị tổn thương bằng khả năng chạy các chương trình tùy ý, và có thể về mặt lý thuyết được sử dụng để nhằm tới bất kỳ tổ chức nào, Dell nói.

“Cả Duqu và Stuxnet đều là các chương trình phức tạp cao với nhiều thành phần”, Dell nói. “Tất cả những sự giống nhau từ một quan điểm phần mềm là trong thành phần 'tiêm' được trình điều khiển nhân triển khai. Các tải cuối cùng của Duqu và Stuxnet khác nhau và không có liên quan đáng kể. Một người có thể đoán các thành phần tiêm chia sẻ một nguồn chung, nhưng bằng chứng hỗ trợ là tường tận nhất và không đủ để khẳng định một mối quan hệ trực tiếp. Những sự việc được quan sát thấy thông qua phân tích phần mềm không kết luận được trong thời gian xuất bản về việc chứng minh mối quan hệ trực tiếp giữa Duqu và Stuxnet ở bất kỳ mức độ nào”.

Nhà bán hàng an ninh Bitdefender cũng đưa ra nghi vấn về sự liên kết có thể của Duqu/Stuxnet trên blog Malwarecity của mình. “Chúng tôi tin tưởng rằng đội đứng đằng sau vụ Duqu không có liên quan tới đội đã đưa ra Stuxnet vào năm 2010, vì một số lý do”, Bogdan Botezatu của BitDefender viết. Trong khi một trình điều khiển rootkit được sử dụng trong Duqu là tương tự như được xác định trong Stuxnet, thì điều đó không có nghĩa là nó dựa trên mã nguồn của Stuxnet.

“Một khía cạnh ít biết tới là việc rootkit của Stuxnet đã được kỹ thuật nghịch đảo và được đưa lên Internet”, Botezatu viết. “Đúng là mã nguồn đã được mở vẫn cần một số vặn vẹo, nhưng một người viết phần mềm độc hại có kinh nghiệm có thể sử dụng nó như sự truyền cảm hứng cho các dự án của riêng họ”. Thực tế là Stuxnet và Duqu dường như nhằm vào các hệ thống khác nhau và thực tế là việc sử dụng lại mã nguồn có thể là một động thái thông minh cho lý lẽ của những kẻ tấn công đối với một liên kết, ông tiếp tục.

While Stuxnet spread through USB sticks and PDF files, the Duqu infection method is still unknown, Dell said. Unlike Stuxnet, Duqu doesn’t have specific code targeting SCADA (supervisory control and data acquisition) components. Duqu provides attackers with remote access to compromised computers with the ability to run arbitrary programs, and can theoretically be used to target any organization, Dell said.

“Both Duqu and Stuxnet are highly complex programs with multiple components,” Dell says. “All of the similarities from a software point of view are in the ‘injection’ component implemented by the kernel driver. The ultimate payloads of Duqu and Stuxnet are significantly different and unrelated. One could speculate the injection components share a common source, but supporting evidence is circumstantial at best and insufficient to confirm a direct relationship. The facts observed through software analysis are inconclusive at publication time in terms of proving a direct relationship between Duqu and Stuxnet at any other level.”

The security vendor Bitdefender has also cast doubt on the supposed Duqu/Stuxnet link in its Malwarecity blog. “We believe that the team behind the Duqu incident are not related to the ones that released Stuxnet in 2010, for a number of reasons,” BitDefender’s Bogdan Botezatu writes. While a rootkit driver used in Duqu is similar to one identified in Stuxnet, that doesn’t mean it’s based on the Stuxnet source code.

“A less known aspect is that the Stuxnet rootkit has been reverse-engineered and posted on the Internet,” Botezatu writes. “It’s true that the open-sourced code still needs some tweaking, but an experienced malware writer could use it as inspiration for their own projects.” The fact that Stuxnet and Duqu seem to be targeting different systems and the fact that reusing code would not be a smart move for attackers argue against a link, he continues.

“Sử dụng lại mã nguồn là một thực tế tồi trong nền công nghiệp, đặc biệt khi mã nguồn này ban đầu đã được xem trong những mối đe dọa số như truyền thuyết với Stuxnet”, ông viết. “Cho tới bây giờ, tất cả các nhà bán hàng chống virus đã phát triển những giải pháp mạnh qua thử nghiệm và các thủ tục dò tìm khác chống lại những thứ nặng đối với nền công nghiệp như Stuxnet hoặc Downadup. Bất kỳ biến thể nào của một mối đe dọa số phổ biến có lẽ sẽ kết thúc bị tóm bởi những thủ tục thường lệ, nên tiếp cận chung là 'đánh một lân, sau đó diệt mã nguồn'”.

Tuy nhiên, Symantec, dường như bị thuyết phục có liên quan tới Stuxnet. “Duqu về cơ bản là điềm báo trước một cuộc tấn công giống như Stuxnet trong tương lai”, Symantec nói. “Mối đe dọa đã được viết từ cùng các tác giả (hoặc những người mà đã có sự truy cập tới mã nguồn của Stuxnet) và dường như được tạo ra kể từ khi tệp Stuxnet cuối cùng được phát hiện. Mục tiêu của Duqu là thu thập các dữ liệu tình báo và các tài sản từ các thực thể, như các nhà sản xuất các hệ thống kiểm soát công nghiệp, để tiến hành dễ dàng hơn một cuộc tấn công trong tương lai chống lại bên thứ 3 khác. Những kẻ tấn công đang tìm kiếm thông tin như các tài liệu thiết kế có thể giúp chúng tiến hành một cuộc tấn công trong tương lai vào một cơ sở kiểm soát công nghiệp”. Symantec đã nhấn mạnh trường hợp của mình bằng việc lưu ý rằng việc có thể thực hiện được được thiết kế để ghi lại việc gõ bàn phím và thông tin hệ thống “có sử dụng mã nguồn Stuxnet” đã được phát hiện.

Kaspersky Lab đồng ý rằng Stuxnet và Duqu là tương tự và trong thực tế nói yếu tố khác biệt chính giữa 2 loại này là “sự dò tìm ra chỉ rất ít những lây nhiễm của Duqu”. Một nhúm các lây nhiễm đã được tìm thấy, bao gồm một tại Sudan và 3 tại Iran. Nhưng mục tiêu của Duqu còn chưa rõ.

Lãnh đạo của Kaspersky Lab Alexander Gostev nói trong một tuyên bố, “bất chấp thực tế là địa điểm các hệ thống bị Duqu tấn công nằm ở Iran, tới nay không có bằng chứng nào về có các hệ thống nào có liên quan tới chương trình hạt nhân hoặc công nghiệp. Vì thế, không có khả năng để khẳng ddienhj rằng mục tiêu của chương trình độc hại mới này là y hệt như của Stuxnet. Tuy nhiên, còn chưa rõ mỗi sự lây nhiễm của Duqu có là độc nhất hay không. Thông tin này cho phép một người nói với sự chắc chắn rằng Duqu là đang dựa vào các cuộc tấn công có chủ đích vào các mục tiêu được xác định trước”.

Các nhà nghiên cứu sẽ không nghi ngờ gì tiết lộ thêm các thông tin về Duqu trong những tuần tới và đi với các phương pháp cản trở các cuộc tấn công của Duqu. Microsoft, trong số nhiều thứ khác, đã đưa ra các cập nhật chữ ký chống virus bao trùm các biến thể của Duqu Trojan.

“Code reuse is a bad practice in the industry, especially when this code has been initially seen in legendary e-threats such as Stuxnet,” he writes. “By now, all antivirus vendors have developed strong heuristics and other detection routines against industry heavy-weights such as Stuxnet or Downadup. Any variant of a known e-threat would likely end up caught by generic routines, so the general approach is ‘hit once, then dispose of the code.’”

Symantec, however, seems convinced of the link to Stuxnet. “Duqu is essentially the precursor to a future Stuxnet-like attack,” Symantec writes. “The threat was written by the same authors (or those that have access to the Stuxnet source code) and appears to have been created since the last Stuxnet file was recovered. Duqu's purpose is to gather intelligence data and assets from entities, such as industrial control system manufacturers, in order to more easily conduct a future attack against another third party. The attackers are looking for information such as design documents that could help them mount a future attack on an industrial control facility.” Symantec bolsters its case by noting that executables designed to capture keystrokes and system information “using the Stuxnet source code” have been discovered.

Kaspersky Lab agrees that Stuxnet and Duqu are similar and in fact says the main distinguishing factor between the two is the “detection of only a very few [Duqu] infections.” A handful of infections have been found, including one in Sudan and three in Iran. But the Duqu end game is unknown.

Kaspersky Lab Chief Security Expert Alexander Gostev says in a statement, “Despite the fact that the location of the systems attacked by Duqu are located in Iran, to date there is no evidence of there being industrial or nuclear program-related systems. As such, it is impossible to confirm that the target of the new malicious program is the same as that of Stuxnet. Nevertheless, it is clear that every infection by Duqu is unique. This information allows one to say with certainty that Duqu is being used for targeted attacks on pre-determined objects.”

Researchers will no doubt uncover more information about Duqu in the coming weeks and come up with methods of thwarting Duqu-based attacks. Microsoft, among many others, has released antivirus signature updates covering variants of the Duqu Trojan.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com