Авторы
В конце прошлого года авторы Duqu попытались уничтожить все следы своей деятельности. Как мы знаем, были очищены все серверы, которые они использовали как минимум с 2009 года.
В 2012 никаких признаков Duqu в Сети не обнаруживалось. Но несколько дней назад коллеги из Symantec сообщили об обнаружении в «дикой природе» нового драйвера, практически аналогичного тем, которые ранее использовались в Duqu. Однако известные ранее драйверы были созданы 3 ноября 2010 и 17 октября 2011 года, а новый драйвер — 23 февраля 2012 года.
После четырех месяцев перерыва авторы Duqu вновь вернулись к работе.
Duqu вернулся
Новый драйвер Duqu совпадает по функциональности с предыдущими известными нам версиями. Отличия в коде незначительные, но свидетельствуют о проделанной «работе над ошибками», направленной на противодействие детектированию файла.
- Изменены настройки оптимизации компилятора и/или атрибуты разворачивания (inline) функций.
- На 32 байта увеличен размер EXE файла-заглушки, который используется для внедрения PNF DLL в процессы.
- В LoadImageNotifyRoutine сравнение имени модуля «KERNEL32.DLL» производится сравнением хеш-сумм; предыдущие версии сравнивали строки.
- Размер зашифрованного блока увеличен с 428 байт до 574 байт. Количество полей в блоке не изменилось, но при этом увеличен буфер, в котором хранится имя значения реестра «FILTER». Скорее всего, в этой версии драйвера это имя будет меняться.
- Изменилась функция расшифровки крипто-блока, ключа реестра и PNF. Это третья известная нам версия алгоритма шифрования в драйверах Duqu.
- Изменилась функция хеширования API функций, соответственно, и все хеши, которые используются для получения их адресов.
Старая функция, используемая во всех предыдущих версиях драйвера:
Новая функция:
То, что данный драйвер был обнаружен в Иране, еще раз подтверждает, что большинство инцидентов Duqu связано с этой страной.
Количество инцидентов
Всего, основываясь на наших данных и данных, полученных от коллег из Symantec, мы зафиксировали 21 инцидент Duqu.
Некоторые из модификаций Duqu, которые будут описаны ниже, несмотря на разные файлы, были обнаружены в ходе расследования одних и тех же инцидентов. Соответственно, такие модификации мы объединяли в один инцидент.
В нескольких инцидентах нами не были обнаружены основные модули Duqu, однако мы нашли файлы, создаваемые шпионским модулем в ходе работы – такие как «~DQ», «~DF», «~DO» и т.п. Еще о нескольких инцидентах нам стало известно в ходе анализа информации, полученной нами с захваченных серверов управления Duqu. Такие инциденты также включены в общее число зафиксированных.
Большинство жертв Duqu находится в Иране.
Географическое распределение инцидентов Duqu
Анализ деятельности организаций-жертв и характер информации, интересовавшей авторов Duqu, свидетельствует, что основной целью атакующих в иранских инцидентах была любая информация о системах управления производством в различных отраслях промышленности Ирана, а также информация о торговых отношениях ряда иранских организаций.
Несомненно, что число атакованных Duqu больше, однако мы полагаем, что оно вряд ли превышает несколько десятков.
Известные модификации Duqu
Информация обо всех известных нам модификациях Duqu приведена в таблице. Зеленым цветом выделены файлы, которые имеются у нас. Красным – те, которые так и не были обнаружены. В ряде случаев мы знаем, какие должны были быть имена и размеры у отсутствующих файлов.
| # | File name | Size | Date | Country | 1st level C&C | 2nd level C&C | Discovered by |
| a | cmi4432.sys | 29568 | 03.11.2010 | Hungary | India | Philippines | Crysys |
| cmi4432.pnf | 192512 | 17.07.2011 | |||||
| cmi4463.pnf | |||||||
| b | jminet7.sys | 24960 | 03.11.2010 | Hungary | India | Philippines | Crysys |
| netp191.pnf | 232448 | 04.11.2010 | |||||
| netp192.pnf | |||||||
| c | igdkmd16b.sys | 25088 | 03.11.2010 | Iran | Vietnam | Germany | Kaspersky |
| netp794.pnf | 232448 | 16.02.2011 | |||||
| netq795.pnf | |||||||
| c2 | igdkmd16b.sys | 25088 | 17.10.2011 | Iran | Vietnam | Germany | Kaspersky |
| netp794.pnf | 240640 | 18.10.2011 | |||||
| netq795.pnf | |||||||
| d | iraid18.sys | 24960 | Iran | Kaspersky | |||
| ird18.pnf | |||||||
| ird182.pnf | |||||||
| e | e1g61i32.sys | 24960 | 03.11.2010 | Sudan | Kaspersky | ||
| e1g62i32.pnf | 192512 | ||||||
| e1g61i32.pnf | |||||||
| f | adp95xx.sys | 24960 | 03.11.2010 | Sudan | Netherlands | South Korea | Kaspersky |
| adp95xx.pnf | 248320 | 17.04.2011 | |||||
| adp96xx.pnf | |||||||
| g | bpmsg.sys | 24832 | Iran | Kaspersky | |||
| main pnf unknown | |||||||
| config pnf unknown | |||||||
| h | allide1.sys | Europe | Belgium | ? | Symantec | ||
| iddr021.pnf | 232448 | 04.11.2010 | |||||
| iddr022.pnf | |||||||
| i | nfrd965.sys | 24960 | 17.10.2011 | Austria/Indonesia? | Vietnam | ? | VirusTotal/Symantec |
| netf1.pnf | 240640 | 18.10.2011 | |||||
| netf2.pnf | |||||||
| i2 | nfrd965.sys | 24960 | 03.11.2010 | Austria/Indonesia? | Symantec | ||
| j | iastor451.sys | 24960 | 03.11.2010 | South Korea? | VirusTotal | ||
| main pnf unknown | |||||||
| config pnf unknown | |||||||
| k | adpu321.sys | 24960 | 17.10.2011 | UK | VirusTotal | ||
| main pnf unknown | |||||||
| config pnf unknown | |||||||
| k2 | adpu321.sys | 24960 | 03.11.2010 | ? | systemexplorernet | ||
| main pnf unknown | |||||||
| config pnf unknown | |||||||
| l | jminet1.sys | 24960 | 03.11.2010 | Iran | Kaspersky | ||
| netq793.pnf | |||||||
| netq794.pnf | |||||||
| m | ql50xx.pnf | 24960 | 03.11.2010 | Sudan | Kaspersky | ||
| main pnf unknown | |||||||
| ql50xz.pnf | |||||||
| n | battd.sys | 24960 | 03.11.2010 | Iran | Kaspersky | ||
| battd771.pnf | |||||||
| battd772.pnf | |||||||
| o | mcd9x86.sys | 24320 | 23.02.2012 | Iran | Symantec | ||
| main pnf unknown | |||||||
| config pnf unknown | |||||||
Таким образом, общее число имеющихся у нас драйверов составляет 14, включая один с цифровой подписью (cmi4432.sys), при этом нам известно о существовании еще 4 драйверов, которые не были обнаружены.
Основных модулей Duqu (main pnf) в нашем распоряжении 7. Они взаимодействуют с пятью различными серверами первого уровня, которые уже закрыты в результате действий нашей компании и компании Symantec. Кроме того, были закрыты некоторые из серверов второго уровня.
Заключение
Возвращение Duqu в феврале 2012 года, после 4 месяцев затишья, говорит о том, что наши изначальные предположения были правильными. Когда в проект инвестировано столько средств, сколько их было инвестировано в разработку Duqu и Stuxnet, невозможно просто взять и прекратить операцию. Вместо этого киберпреступники сделали то же, что делали всегда – изменили код так, чтобы обойти детектирование, и продолжили атаки.
При менее чем пятидесяти жертвах по всему миру, Duqu остается самым загадочным троянцем из всех, когда-либо обнаруженных. Его нацеленность на Иран указывает на наличие у его хозяев четкого и ясного плана постоянных атак. Сложность и многослойные уровни защиты троянца показывают, насколько важно для этого проекта оставаться незамеченным. Можно предположить, что в дальнейшем платформа «Tilded» будет развиваться именно в этом направлении.
Авторы
От тех же авторов
В той же категории
Тайна Duqu: часть десятая