Duqu, Stuxnet được xây trên cùng nền tảng với các siêu PMĐH tương tự khác

Duqu, Stuxnet Built on Common Platform With Other Similar Super-Malware

By: Fahmida Y. Rashid, 2011-12-31

Theo: http://www.eweek.com/c/a/Security/Duqu-Stuxnet-Built-on-Common-Platform-with-Other-Similar-SuperMalware-176226/

Bài được đưa lên Internet ngày: 31/12/2011

Lời người dịch: Alex Gostev, người đứng đầu của đội phân tích và nghiên cứu toàn cầu tại Phòng thí nghiệm Kaspersky đã viết vào ngày 28/12 trên blog Securelist rằng các sâu Windows Stuxnet và Duqu có cùng một nền tảng là Tilded và do cùng một đội các lập trình viên phát triển nhưng có những mục đích khác nhau và ban đầu được phát triển vào những năm 2007 hoặc đầu 2008 và hiện nay những biến thể khác có thể đang có mặt ở đâu đó nhưng chưa bị phát hiện. “Các lập trình viên đang vặn vẹo các tệp đã được làm xong thay vì việc tạo mới các trình điều khiển từ đầu, mà cho phép họ tạo ra tùy ý bao nhiêu tệp trình điều khiển khác nhau theo họ muốn, mỗi cái chính xác có cùng chức năng và ngày tạo ra, Gostev nói. Những tệp này cũng được chỉ định với các chứng thực số hợp pháp và được đóng gói trong những biến thể khác nhau”. Vì các sâu này hiện chỉ có thể chạy trên Windows, nên những người sử dụng Windows chắc còn được trải nghiệm những phần mềm độc hại chết người này.

Các nhà nghiên cứu của Phòng thí nghiệm Kaspersky tin tưởng nền tảng y hệt nhau đã được sử dụng để xây dựng các Trojan Duqu và Stuxnet có thể được sử dụng để phát triển các biến thể tương tự khác.

Phân tích xa hơn của Trojan Duqu đã phát hiện rằng nền tảng đã được sử dụng để phát triển Stuxnet và Duqu có thể đã được sử dụng để tạo ra các Trojan tương tự, theo Phòng thí nghiệm Kaspersky.

Bằng việc phân tích các trình điều khiển phần mềm được sử dụng của cả Stuxnet và Duqu, các nhà nghiên cứu của Kaspersky đã xác định rằng cả 2 Trojan từng được xây dựng trên cùng một nền tảng, mà hãng an ninh đã gọi là “Tilded” (Dấu ngã), Alex Gostev, người đứng đầu của đội phân tích và nghiên cứu toàn cầu tại Phòng thí nghiệm Kaspersky đã viết vào ngày 28/12 trên blog Securelist.

Cả Stuxnet và Duqu dường như đã được tạo ra từ cuối năm 2007 hoặc đầu 2008, và các mẩu phần mềm độc hại các với các khả năng tương tự đã được xây dựng trên cùng nền tảng này, Gostev nói.

Gostev đã nghiên cứu 2 trình điều khiển và các biến thể không được biết tới đối với những thứ được sử dụng. Không chỉ cùng y hệt nhóm những người đó phát triển Stuxnet và Duqu, mà họ có lẽ đã làm việc cùng một lúc trên nhiều biến thể, Gostev nói. Những mẩu khác có thể có trong tự nhiên và còn chưa bị phát hiện, hoặc các lập trình viên có thể đã quyết định không tung chúng ra, ông nói.

“Stuxnet và Duqu là 2 trong số chúng - có thể còn những thứ khác, mà cho tới bây giờ vẫn còn chưa được biết. Nền tảng đó tiếp tục phát triển, mà chỉ có thể có nghĩa một thứ - chúng ta có lẽ sẽ thấy nhiều biến thể hơn trong tương lai”, Gostev viết.

Kaspersky Lab researchers believe the same platform that was used to build the Duqu and Stuxnet Trojans may have been used to develop other similar variants.

Further analysis of the Duqu Trojan has revealed that the platform that was used to develop Stuxnet and Duqu may have been used to create similar Trojans, according to Kaspersky Lab.

By analyzing the software drivers used by both Stuxnet and Duqu, Kaspersky researchers determined that both Trojans were built on the same platform, which the security firm has dubbed "Tilded," Alex Gostev, head of the global research and analysis team at Kaspersky Lab wrote Dec. 28 on the Securelist blog.

Both Stuxnet and Duqu appear to have been created back in late 2007 or early 2008, and other pieces of malware with similar capabilities were built on the same platform, Gostev said.

Gostev examined two key drivers and variants that were used in both Stuxnet and Duqu, as well as two previously unknown drivers that were similar to the ones used. Not only did the same group of people develop Stuxnet and Duqu, but they likely worked simultaneously on multiple variants, Gostev said. The other pieces may be in the wild and not yet detected, or the developers may have decided not to release them, he said.

"Stuxnet and Duqu are two of them—there could have been others, which for now remain unknown. The platform continues to develop, which can only mean one thing—we’re likely to see more modifications in the future," Gostev wrote.

Stuxnet lần đầu đã được phát hiện vào tháng 06/2010 khi nó đã tấn công và gây hại cho phần mềm và thiết bị được sử dụng trong các cơ sở hạt nhân của Iran. Stuxnet tận dụng nhiều chỗ bị tổn thương ngày số 0 trong Microsoft Windows, bao gồm cả một lỗi leo thang quyền ưu tiên và đã khai thác chức năng AutoRun của Microsoft để lan truyền tới các máy tính thông qua các đầu USB bị lây nhiễm.

Duqu đã được các nhà nghiên cứu tại phòng thí nghiệm CruSyS ở Đại học Công nghệ và Kinh tế Budapest phát hiện vào tháng 09/2011 và đã gây lây nhiễm cho các máy tính tại nhiều quốc gia trên thế giới, bao gồm cả Pháp, Ukraine và Sudan. Duqu cũng tận dụng được một chỗ bị tổn thương ngày số 0 trong nhân Microsoft Windows. Không giống như Stuxnet, Duqu dường như không được chỉ định để tấn công các hệ thống kiểm soát công nghiệp, mà là ăn cắp thông tin.

“Chúng tôi tin tưởng Duqu và Stuxnet từng là các dự án tương tự được đội các lập trình viên y hệt hỗ trợ”, Gostve viết.

Kiến trúc được sử dụng để tạo ra Duqu và Stuxnet dường như là y hệt nhau, dựa vào một tệp trình điều khiển tải một module chính được thiết kế như một thư viện được mã hóa, theo nhà phân tích này. Cũng có một tệp cấu hình riêng rẽ cho toàn bộ gói độc hại, cũng như một khối được mã hóa trong đăng ký hệ thống mà nó xác định địa điểm của module đang được tải lên.

Gostev nói “với một mức độ khá chắc chắn” rằng nền tảng Tilded đã được tạo ra vào khoảng những năm 2007 hoặc đầu năm 2008 và đã trải qua những thay đổi đáng kể vào mùa hè và mùa thu năm 2010. Các lập trình viên của phần mềm độc hại này đã biên dịch một phiên bản mới của một tệp trình điều khiển vài lần trong một năm, và đã sử dụng tệp tham chiếu mới được tạo ra đó để tải và chạy module chính của một số phần mềm độc hại khác, theo Gostev.

Các lập trình viên đang vặn vẹo các tệp đã được làm xong thay vì việc tạo mới các trình điều khiển từ đầu, mà cho phép họ tạo ra tùy ý bao nhiêu tệp trình điều khiển khác nhau theo họ muốn, mỗi cái chính xác có cùng chức năng và ngày tạo ra, Gostev nói. Những tệp này cũng được chỉ định với các chứng thực số hợp pháp và được đóng gói trong những biến thể khác nhau.

Stuxnet was first discovered in June 2010 when it attacked and damaged software and equipment used in Iranian nuclear facilities. Stuxnet took advantage of multiple zero-day vulnerabilities in Microsoft Windows, including an escalation-of-privilege flaw and exploited Microsoft's AutoRun functionality to spread across computers via infected USB drives.

Duqu was discovered by researchers at CrySyS lab at the Budapest University of Technology and Economics in September and has infected machines in various countries around the world, including France, the Ukraine and Sudan. Duqu also took advantage of a zero-day vulnerability in the Microsoft Windows kernel. Unlike Stuxnet, Duqu doesn't appear to have been designed to attack industrial control systems, but to steal information.

"We believe Duqu and Stuxnet were simultaneous projects supported by the same team of developers," Gostev wrote.

The architecture used to create Duqu and Stuxnet appears to be the same, relying on a driver file that loads a main module designed as an encrypted library, according to the analysis. There is also a separate configuration file for the whole malicious package, as well as an encrypted block in the system registry that defines the location of the module being loaded.

Gostev said "with a fair degree of certainty" that the Tilded platform had been created around the end of 2007 or early 2008 and underwent significant changes in the summer and autumn of 2010. The malware developers had compiled a new version of a driver file a few times a year, and used the newly created reference file to load and execute the main module of some other malicious software, according to Gostev.

The developers are tweaking ready-made files instead of creating new drivers from scratch, which allows them to make as many different driver files as they like, each having exactly the same functionality and creation date, Gostev said. These files can also be signed with legitimate digital certificates and packaged into different variants.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com