زوایای خطرناک دیگر استاکس نت و دوکو
آزمايشگاه كسپرسكي، شركت پيشرو در ارایه راه حل هاي امنيت اطلاعات اعلام كرد، اطلاعات جدید درباره آلودگی به اسب های تروای دوکو و استاکس نت موید آن است که یک تیم روی این خانواده از برنامه های مخرب کار می کند و همچنین این فرض را ممکن می سازد که از پلات فورمی استفاده شده باشد که با هدف های خاص به طور انعطاف پذیر قابل انطباق است.
فناوران - علاوه بر این، این پلاتفورم ممکن است مدتها قبل از انتشار استاکسنت ایجاد شده باشد و بسیار فعالتر از آنچه تاکنون فرض شده است، مورد استفاده قرار گرفته باشد. متخصصان کسپرسکی این نتیجهگیری را بر اساس تجزیه و تحلیل دقیق درایورهای استفاده شده برای آلوده کردن سیستمها به دوکو و استاکسنت و نیز برخی برنامههای مخرب که جزییات آنها تاکنون شناخته نشده است، عنوان کردهاند.
به اعتقاد متخصصان آزمایشگاه کسپرسکی، این پلاتفورم که Tilded نامگذاری شده است (به دلیل تمایل ایجادکنندههای آن به استفاده از فایلهایی که با نماد نویسه tilde (~) شروع میشوند)، برای ایجاد استاکسنت و دوکو و نیز برنامههای مخرب دیگر استفاده شده است.
ارتباط بین دوکو و استاکسنت در حین تجزیه و تحلیل یکی از رویدادهای مرتبط با دوکو آشکار شد. در حین بررسی سیستم آلوده که گمان میرفت در اوت سال 2011 مورد حمله قرار گرفته باشد، یک درایور شناسایی شد که با درایور استفاده شده به وسیله یکی از نسخههای استاکسنت مشابه بود.
گرچه شباهت آشکاری بین دو درایور وجود داشت، تفاوتهایی نیز در جزییات آنها مانند تاریخ امضای گواهی دیجیتال وجود داشت. فایلهای دیگری که امکان نسبت دادن آنها به فعالیت استاکسنت وجود داشته باشد، شناسایی نشد، اما نشانههایی از فعالیت دوکو وجود داشت.
پردازش اطلاعات به دست آمده و جستوجوی بیشتر در پایگاه داده برنامههای مخرب آزمایشگاه کسپرسکی امکان آشکار کردن یک درایور دیگر با ویژگیهای مشابه را میسر ساخت. این درایور بیش از یک سال پیش کشف شد، اما فایل آن در ژانویه سال 2008، یک سال قبل از ایجاد درایورهای استفاده شده به وسیله استاکسنت کامپایل شده بود. متخصصان آزمایشگاه کسپرسکی مجموعا هفت نوع درایور با ویژگیهای مشابه را شناسایی کردند.
لازم به ذکر است که هیچ اطلاعاتی تاکنون درباره سه مورد از آنها به دست نیامده است، به خصوص اینکه با کدام برنامه مخرب استفاده شدهاند.
الکساندر گوستف، متخصص ارشد امنیت در آزمایشگاه کسپرسکی، گفت: درایورهای برنامههای مخربی که هنوز شناخته نشدهاند را نمیتوان به فعالیت تروجانهای استاکس نت و دوکو نسبت داد. شیوههای انتشار استاکس نت، ممکن است آلودگیهای بسیاری را با استفاده از این درایورها موجب شده باشد و به دلیل تاریخ کامپایل، نمیتوان آنها را به تروجان هدفمندتر دوکو نیز نسبت داد.
وی افزود: معتقدیم که این درایورها یا در نسخه قدیمیتر دوکو استفاده شدهاند و یا برای آلودگی با استفاده از برنامههای مخرب کاملا متفاوتی به کار رفتهاند که گذشته از این، پلاتفرم یکسانی دارند و احتمالا توسط یک تیم ایجاد شدهاند.
بر اساس تفسیر متخصصان آزمایشگاه کسپرسکی، تبهکاران سایبری که دوکو و استاکسنت را ایجاد کردهاند، نسخه جدید درایور را چند بار در سال ایجاد میکنند که برای بارگذاری ماژول اصلی برنامه مخرب استفاده میشود. به محض حملههای جدید برنامهریزی شده، چند پارامتر درایور مانند کلید رجیستری با کمک یک برنامه خاص تغییر داده میشود. این فایل بسته به نوع کار میتواند به وسیله یک گواهی دیجیتال حقوقی نیز امضا شود یا به طور کلی بدون امضا باقی بماند.
بنابراین، دوکو و استاکسنت پروژههای جداگانهای هستند که بر اساس پلاتفورمی به نام Tilded ایجاد شدهاند که حدودا در اواخر سال 2007 و اوایل سال 2008 ایجاد شده است. این پروژه به احتمال زیاد تنها پروژه نبوده است، اما اهداف و کارهای انواع مختلف برنامه اسب تروا تاکنون شناخته نشده است. نمیتوان انکار کرد که این پلاتفورم همچنان توسعه خواهد یافت.
علاوه بر این، کشف دوکو توسط متخصصان امنیت بدین معناست که تغییرات بیشتری روی پلاتفورم در حال انجام است یا در آینده انجام خواهد شد.
نسخه کامل گزارش الکساندر گوستف و ایگور سامنکوف در Securelist موجود است.