`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Трояны Duqu и Stuxnet могут быть частью единой платформы

0 
 

«Лаборатория Касперского» завершила очередной этап исследования вредоносных программ Duqu и Stuxnet. Он не только подтвердил предположения экспертов о наличии у них общего автора, но и позволил говорить о существовании единой платформы, лежащей в их основе. Она получила условное имя «Tilded» и, по мнению аналитиков «Лаборатории Касперского», использовалась для создания Stuxnet, Duqu, а также других вредоносных программ. Анализ драйверов, предназначенных для заражения, показал, что она могла быть разработана задолго до начала эпидемии Stuxnet.

Во время исследования зараженной системы, атака на которую с помощью Duqu произошла, предположительно, в августе 2011 г., эксперты обнаружили драйвер, очень похожий на тот, который ранее был использован в одной из версий Stuxnet. Однако были и отличия — например, дата подписания цифрового сертификата. Других файлов, которые можно было бы отнести к Stuxnet, на атакованном компьютере обнаружено не было.

Обработка полученной информации и дальнейший поиск в базе вредоносных программ «Лаборатории Касперского» выявили еще один драйвер с похожими характеристиками. Изначально он был обнаружен более года назад, а скомпилирован данный файл был и вовсе в январе 2008 г., за год до создания драйверов, используемых Stuxnet. Всего эксперты нашли 7 типов драйверов со схожими характеристиками. Примечательно, что для трех из них пока нет информации о том, для какой вредоносной программы они предназначались.

«Драйверы от пока неизвестной вредоносной программы нельзя отнести к активности Stuxnet и Duqu, — отмечает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского». — Методы распространения Stuxnet привели бы к гораздо большему числу заражений, а к более таргетированному троянцу Duqu их не позволяет отнести дата компиляции. Мы считаем, что эти драйверы использовались либо в ранних версиях Duqu, либо для заражения совершенно другими вредоносными программами, которые при этом имеют общую платформу и, скорее всего, единую команду создателей».

По версии экспертов «Лаборатории Касперского», киберпреступники, стоящие за Duqu и Stuxnet, несколько раз в год создают новую версию драйвера, который осуществляет загрузку основного модуля вредоносной программы. При планировании новой атаки с помощью специальной программы изменяются некоторые параметры драйвера, такие как, например, ключ реестра. В зависимости от задачи такой файл также может быть подписан легальным цифровым сертификатом, либо оставлен без подписи.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT