כלים

עין לציון צופייה? DUQU, הנוזקה המתקדמת שתקפה ופרצה מערכות תעשייתיות שונות באיראן,  נכתבה בשפת תכנות מסתורית ולא ידועה, בה טרם נתקלה תעשיית התוכנה העולמית בעבר, כך חושפת חברת אבטחת המידע קספרסקי.  החשיפה המרעישה גרמה לקהילת אבטחת המידע בעולם להפנות את האצבע לכיוון שירותי המודיעין של ישראל. י צירת שפת תכנות חדשה לחלוטין מוכיחה רמה עילאית של המפתחים שכתבו את DUQU,  ואת סדר הגודל של המשאבים שעמדו לרשותם

DUQU הוא סוס טרויאני מתקדם ביותר שנוצר בידי אותם גורמים לא ידועים שכתבו את תולעת STUXNET. מטרתו העיקרית היא לאתר "כניסות אחוריות" למערכות סגורות ולגנוב דרכן מידע.

DUQU התגלה לראשונה בספטמבר 2011, אבל לפי מומחי קספרסקי, הראיות הראשונות לקיומו התגלו עוד ב-2007. מומחי החברה תיעדו יותר מתריסר מקרי התקפה באמצעות DUQU, כאשר רוב המערכות המותקפות היו באיראן. ניתוח של מערכות אלו גילה שמטרת ההתקפות היתה השגת גישה למערכות בקרה תעשייתיות וגניבת מידע בנוגע לארגונים מקומיים.

התעלומה הגדולה מאחורי DUQU היא כיצד הצליח הסוס הטרויאני לתקשר עם שרתי הגורם ששיגר אותו לאחר שהסתנן למערכת היעד. הרכיב שמתקשר עם השרת כנראה הוטמע במטען ה-DLL (הרכיב אותו "מזריק" הסוס הטרויאני למערכת שתקף, כדי לבצע בה פעולות) של DUQU. ניתוח מעמיק של מטען זה גילה שהוא נכתב בשפת תכנות מסתורית ולא ידועה, בה טרם נתקלה תעשיית התוכנה העולמית בעבר.

מומחי קספרסקי קוראים לשפה החדשה "DUQU Framework". בניגוד לשאר הקוד ב-DUQU, קוד DUQU Framework לא נכתב בשפת C++ ולא הורכב בעזרת Microsoft Visual C++ 2008. ככל הנראה שכותבי הסוס הטרויאני השתמשו בכלי מתוצרתם ובשפת תכנות משלהם. מומחי קספרסקי גילו שהשפה החדשה היא מבוססת מטרה ומתואמת ליישומי הרשת שבסביבתם תוכננה לפעול.

השפה מאפשרת למטען הDLL- של DUQU לפעול בצורה נפרדת מיתר הקוד שלו ולמודולים אחרים בו להתחבר ולתקשר ביניהם ועם הגורם ששלח אותו. התקשורת נעשית דרך Windows HTTP, חיבורי רשת ושרתי פרוקסי. בנוסף, השפה מאפשרת לסוס הטרויאני לתקשר באופן ישיר עם הגורם המפעיל ולשלוח אליו מידע גנוב בלי לעבור בין שרתים ולהגדיל את הסיכוי לחשיפה.

"בהתחשב בגודלו של פרויקט DUQU, יתכן שצוות אחר לגמרי הוא שיצר את DUQU Framework, במקביל לצוות שכתב את יתר קוד הנוזקה", אמר אלכסנדר גוסטב, מומחה אבטחה ראשי במעבדת קספרסקי, והסביר שיתכן שמטרת שפת התכנות המסתורית היתה גם לאפשר לסוס הטרויאני לעקוף מערכות אבטחה וגם למדר את קוד התקשורת מגורמים אחרים שהיו מעורבים בפיתוחו. לדבריו, יצירת שפת תכנות חדשה לחלוטין היא דוגמה לרמה העילאית של המפתחים שכתבו את DUQU ולמשאבים שעמדו לרשותם.

מעבדת קספרסקי פנתה לקהילת הפיתוח בעולם, במטרה לאתר אדם שמכיר את DUQU Framework ויוכל לסייע בניתוח שפת התכנות המסתורית ולפתור את תעלומת DUQU. מפתחים מוזמנים לפנות אל מעבדת קספרסקי באתר החברה.

BLOG COMMENTS POWERED BY DISQUS