Vývoj trojanu Duqu možná trval i několik let

14. 11. 2011

Sdílet

 Autor: © Sean Gladwell - Fotolia.com
Detailní analýza malwaru Duqu ukázala, že skupina hackerů na něm možná pracovala i dobu delší než čtyři roky.

S překvapivým závěrem přišli vědci společnosti Kaspersky Lab, kteří mají k dispozici několik vzorků viru Duqu od súdánských výzkumníků. Díky jejich analýze zjistili, že jeden z ovladačů používaných při útocích byl vytvořen již v srpnu 2007.  Podle Roela Schouwenberga, vedoucího vědeckého pracovníka v Kaspersky Lab, je přitom velmi pravděpodobné, že autoři tohoto ovladače stojí zároveň i za červem Duqu, protože nikde jinde nebyl ovladač spatřen. Staršího data je navíc i několik dalších souborů. Podle vědců došlo k jejich vytvoření někdy v únoru 2008.

Ačkoliv jsou tyto soubory staré i několik let, k prvním útokům podle všeho došlo teprve v dubnu letošního roku. Stát se tak mělo právě v Súdánu. Vědci z Kaspersky Lab zjistili, že se útoky uskutečnily 17. a 21. dubna a jejich cílem byla zařízení s operačním systémem Windows. První útok se prý ještě nezdařil, protože emaily obsahující infikované dokumenty byly zachyceny spamovým filtrem. Druhý útok už byl ale úspěšný.

Dalším pozoruhodným objevem výzkumníků z Kaspersky Lab je také skutečnost, že červ Duqu obsahoval kromě starších nástrojů i skupinu souborů vytvořených krátce před provedením samotného útoku. „Rozdíly jsou sice velmi malé, nicméně jde o jedinečné soubory šité na míru každé operaci,“ řekl Schouwenberg. „Každý útok měl svůj vlastní C&& (command-and-control) server, jehož poloha byla uložena do souborů. Je tedy jasné, že nejde o žádné amatéry.“

Třebaže se nejnovější analýza v mnoha ohledech liší od studií vypracovaných ostatními bezpečnostními firmami, jako třeba té od Symantecu, Schouwenberg v tom žádný problém nevidí. „Každá firma má různé klienty a různé kontakty,“ říká. Výzkumníci se navíc o své vzorky neradi dělí, takže Kaspersky Lab prostě jen našel starší kód. Podle Symantecu navíc existuje několik variant Duqu, takže opravdu nejde o nic překvapivého.