• Pesquisadores Suspeitam que Stuxnet e Duqu Foram Criados na Mesma Plataforma

    Publicado em 02-01-2012 18:00
    0 Comentários Comentários
    Os temidos worms Stuxnet e Duqu, causaram um grande impacto sobre a comunidade de segurança quando foram descobertos, e ainda são considerados duas das amostras de malware mais sofisticadas conhecidas do grande público. Dessa forma, os pesquisadores de segurança ainda estão analisando as amostras, e estão tentando descobrir se eles podem ter sido desenvolvidos pelo mesmo indivíduo ou grupo de pessoas, e de acordo com os especialistas da Kapersky Lab, Alexander Gostev e Igor Soumenkov, existe essa enorme possibilidade.

    "Em termos de arquitetura, a plataforma usada para criar e Duqu e o Stuxnet é a mesma", dizem eles. "Esta plataforma pode ser convencionalmente chamada de "Tilded", devido aos seus autores serem, por alguma razão, inclinados a usar nomes de arquivos que comecem com '~ d'."

    Eles acreditam que a plataforma em si, remonta de 2007-2008, e foi significativamente alterada em 2010 para acompanhar o desenvolvimento de técnicas de antivírus, entre outras modificações. Eles também acreditam, que o Stuxnet e Duqu não foram os únicos malwares que foram desenvolvidos durante os últimos quatro anos nessa plataforma.

    Ao analisar os arquivos de vários drivers utilizados por ambas as peças de malware e outras que foram, obviamente, compiladas anteriormente, os pesquisadores chegaram à conclusão de que é altamente provável que a mesma equipe de desenvolvedores estivesse por trás de tudo relacionado a estes malwares, e que Stuxnet e Duqu teriam sido desenvolvidos simultaneamente.

    Os pesquisadores Alexander e Igor também explicam, que algumas vezes por ano os autores compilam uma nova versão de um arquivo de driver, criando um arquivo de referência. O objetivo principal deste arquivo, é carregar e executar um módulo principal, que é criado separadamente. Poderia ser Stuxnet, Duqu ou outro elemento similar.

    "Quando é necessário usar um driver para um novo módulo, os autores utilizam um programa dedicado a modificar as informações no lado do arquivo de "referência" do driver", ou seja, o seu nome e informações de serviço, bem como a chave de registro e seu valor. É importante notar que eles tem a astúcia de liberar arquivos ready-made, e não criar um novo a partir do zero. Isso significa que eles podem fazer diversos arquivos de driver diferentes, do jeito que gostam, cada um exatamente com a mesma funcionalidade e data de criação.


    Saiba Mais:

    [1] Sruxnet/Duqu: The Evolution of Drivers https://www.securelist.com/en/analys...ion_of_Drivers
    + Enviar Comentário