Trojan Duqu được phát hiện được biến hình giết người hàng loạt

Duqu Trojan revealed to be shape-shifting serial killer

Embedded in the code are humorous references to the Showtime show 'Dexter'

By Paul Wagenseil

updated 11/11/2011

Theo: http://www.msnbc.msn.com/id/45263325/ns/technology_and_science-security/

Bài được đưa lên Internet ngày: 11/11/2011

Lời người dịch: Chuyên gia an ninh của Kaspersky Lab cho rằng Duqu có nhiều biến thể khác nhau và mỗi biến thể nhằm vào một đích cụ thể khác nhau và chúng đã có từ năm 2007, nghĩa là khoảng hơn 4 năm về trước. Duqu dấu mình trong một máy tính cá nhân PC thông qua một phông chữ được nhúng vào trong một tài liệu Word. (Chỗ bị tổn thương của Windows, đã không được biết trước đó, còn chưa được vá, dù đã có một sự khắc phục) và cũng có ý định đánh vào các hạ tầng công nghiệp. Xem thêm [01], [02], [03].

Các nhà phân tích an ninh đã thấy các chi tiết huyền bí hơn nhưng cũng thú vị trong Trojan Duqu, cái gọi là “con của Stuxnet” được phát hiện chỉ 2 tháng trước.

Kaspersky Lab tại Moscow đã có được một biến thể khác của Duqu so với bản gốc, và thấy rằng những kẻ tạo ra Trojan này không chỉ có thể đã và đang làm việc về Duqu từ năm 2007, mà dường như còn có cả khiếu hài hước nữa.

Theo Alexander Gostev của Kaspersky, thì vật trung gian gây lây nhiễm của Duqu được tùy biến cho từng mục tiêu, và mã nguồn của nó có chứa một tham chiếu đùa tới “Dexter”, loạt chương trình TV dài kỳ về một kẻ giết người hàng loạt mơ hồ về đạo đức.

Kaspersky đã phân tích một thư điện tử dạng phishing nhằm vào một công ty không được tiết lộ danh tính, đã bị Duqu tấn công 2 lần vào giữa tháng 4 năm nay nhưng đã không nhận thức được thứ gì đã đánh hãng cho tới gần đây.

Như với phiên bản sớm của Duqu được thấy vào tháng 9 trong phòng thí nghiệm CrySyS của Hungary, biến thể của Kaspersky đã sử dụng một “trình nhỏ giọt” - một mẩu phần mềm độc hại riêng biệt - dấu mình trong một máy tính cá nhân PC thông qua một phông chữ được nhúng vào trong một tài liệu Word. (Chỗ bị tổn thương của Windows, đã không được biết trước đó, còn chưa được vá, dù đã có một sự khắc phục).

Phông chữ giả tưởng này có tên là “Dexter Regular”. Ẩn mình trong mã nguồn của trình nhỏ giọt là một xâu văn bản, "Copyright 2003 Showtime Inc. All rights reserved. Dexter Regular version 1.00. Dexter is a registered trademark of Showtime Inc." ("Dexter" thực sự được phát ra lần đầu vào năm 2006. Không có gì của điều này ngụ ý rằng Showtime đứng đằng sau Trojan Duqu).

Security analysts have found more mysterious but fascinating details in the Duqu Trojan, the so-called "son of Stuxnet" discovered just two months ago.

Moscow's Kaspersky Lab got hold of a different variant of Duqu than the original, and found that the Trojan's creators not only may have been working on Duqu since 2007, but seem to have a sense of humor as well.

According to Kaspersky's Alexander Gostev, the Duqu infection vector is customized for each target, and its code contains a joking reference to "Dexter," the long-running Showtime TV series about a morally ambiguous serial killer.

Kaspersky analyzed a spear-phishing email directed at an undisclosed company, which was attacked by Duqu twice in mid-April of this year but did not realize what hit it until recently.

As with the earlier version of Duqu found in September by Hungary's CrySyS lab, the Kaspersky variant used a "dropper" — a separate piece of malware — to burrow into PCs via a font embedded in a Word document. (The Windows vulnerability, which had not previously been known of, has not yet been patched, but there is a workaround.)

The fictitious font is named "Dexter Regular." Buried in the dropper code is the text string, "Copyright 2003 Showtime Inc. All rights reserved. Dexter Regular version 1.00. Dexter is a registered trademark of Showtime Inc." ("Dexter" actually was first broadcast in 2006. None of this implies that Showtime is behind the Duqu Trojan.)

Bước tiếp sau trong mẫu lây nhiễm Duqu là để tải một trình điều khiển vào nhân Windows. Kaspersky đã thấy rằng trình điều khiển này đã được biên dịch vào tháng 8/2007, trong khi một cái được Crysys tìm thấy là vào tháng 3/2008.

“Nếu thông tin này là đúng, thì các tác giả của Duqu phải đã và đang làm trong dự án này đã hơn 4 năm rồi!”, Gostev đã viết.

Nếu điều đó đúng, thì Duqu, còn có tên là “con của Stuxnet” vì sự tương đồng làm hoảng hốt đối với sâu mức quân sự mà đã gây lây nhiễm và đánh què các cơ sở hạt nhân của Iran vào năm 2010, thực suwjcos thể là cha của sâu nổi tiếng hơn kia.

Còn có một sự kết nối khác nữa của Iran, theo Gostev. Các cuộc tấn công hồi tháng 4 vào công ty không được nêu tên đã diễn ra chỉ trước khi Iran công bố rằng nước này đã bị tấn công bởi một mẩu thứ 2 phần mềm độc hại, mà các nhà nghiên cứu của Iran đã gọi là sâu “Stars”.

Không may, Iran không bao giờ chia sẻ những ví dụ về sâu Stars, mà đã dẫn tới một số người ở phương Tây nghi ngờ đó chỉ là sự tuyên truyền từ quốc gia đạo Hồi này. (Những ví dụ của Stuxnet đã được phân bổ khắp thế giới vì một nhà nghiên cứu an ninh của Iran đã gửi thư điện tử một bản sao cho một đồng nghiệp cũ tại Ukraine).

Nhưng Gostev nghĩ những người Iran có lẽ đã tìm thấy Duqu mà không nhận thức được nó.

“Rất có thể, những người Iran đã thấy một module ghi bàn phím mà đã được tải vào một máy tính”, ông viết. “Có khả năng là các chuyên gia Iran đã chỉ thấy trình ghi bàn phím, trong khi module chính Duqu và trình nhỏ giọt (bao gồm cả các tài liệu mà có chứa chỗ bị tổn thương còn chưa được biết tới) có thể đã không được dò tìm ra”.

The next step in the Duqu infection pattern is to load a driver into the Windows kernel. Kaspersky found that its driver was compiled in August 2007, while the one found by Crysys was dated March 2008.

"If this information is correct, then the authors of Duqu must have been working on this project for over four years!" Gostev wrote.

If that's true, then Duqu, dubbed the "son of Stuxnet" because of its startling similarity to the military-grade worm that infected and disrupted Iranian nuclear facilities in 2010, may actually be the father of the more famous bug.

There's another Iranian connection as well, according to Gostev. The April attacks on the unnamed company took place just before Iran announced that it had been attacked by a second piece of malware, which Iranian researchers called the "Stars" worm.

Unfortunately, Iran never shared samples of the Stars worm, which led some in the West to suspect it was mere propaganda from the Islamic Republic. (Samples of Stuxnet were distributed worldwide because an Iranian security researcher emailed a copy to a former colleague in the Ukraine.)

But Gostev thinks the Iranians might have found Duqu without realizing it.

"Most probably, the Iranians found a keylogger module that had been loaded onto a system," he wrote. "It's possible that the Iranian specialists found just the keylogger, while the main Duqu module and the dropper (including the documents that contained the then-unknown vulnerability) may have gone undetected."

Có lẽ điềm xấu nhất, có đủ những khác biệt giữa các biến thể của Duqu để dẫn Gostev tới nghi ngờ rằng những kẻ tạo ra Trojan này đang chỉnh sửa một cách cẩn thận gói phần mềm độc hại đó cho từng mục tiêu đặc thù khi cần, nếu ngày tháng biên dịch trong thành phần chính của Trojan là chính xác.

“Yếu tố này chỉ ra rằng các tác giả đã xây dựng một tập hợp riêng rẽ các tệp cho từng nạn nhân cụ thể, và làm đúng như vậy trước khi tấn công”, Gostev viết.

Sự tinh chỉnh như vậy có thể làm cho Duqu và những người tạo ra nó tinh vi phức tạp và kiên cường hơn các cuộc tấn công được gọi là “mối đe dọa dai dẳng tiên tiến” - được giả thiết rộng rãi tới từ Trung Quốc - mà đã thâm nhập vào các công ty phương Tây vài năm qua.

Trong các trường hợp đó, thì các thư điện tử dạng phishing cũng cung cấp vật trung gian lây nhiễm, nhưng phần mềm độc hại được cài đặt không khác biệt từ một đích này sang đích khác.

Perhaps most ominously, there are enough differences among the known variants of Duqu to lead Gostev to suspect that the Trojan's creators are carefully tailoring the malware package for each specific target as needed, if the compilation dates on the main Trojan component are accurate.

"This fact shows that the authors build a separate set of files for each specific victim, and do so right before the attack," Gostev wrote.

Such fine-tuning would make Duqu and its creators more sophisticated and persistent that the so-called "advanced persistent threat" attacks — widely assumed to be coming from China — that have penetrated Western companies over the past few years.

In those cases, spear-phishing emails also provide the infection vector, but the installed malware does not vary from one target to the next.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com