Trojan Duqu được phát hiện được biến hình giết người hàng loạt

DuquTrojan revealed to be shape-shifting serial killer

Embedded in the code arehumorous references to the Showtime show 'Dexter'

By Paul Wagenseil

up-dated 11/11/2011

Theo:http://www.msnbc.msn.com/id/45263325/ns/technology_and_science-security/

Bài được đưa lênInternet ngày: 11/11/2011

Lờingười dịch: Chuyên gia an ninh của Kaspersky Lab cho rằngDuqu có nhiều biến thể khác nhau và mỗi biến thể nhằmvào một đích cụ thể khác nhau và chúng đã có từ năm2007, nghĩa là khoảng hơn 4 năm về trước. Duqu dấu mìnhtrong một máy tính cá nhân PC thông qua một phôngchữ được nhúng vào trong một tài liệu Word.(Chỗ bị tổn thương củaWindows, đã không được biết trước đó, còn chưa đượcvá, dù đã có một sựkhắc phục) và cũng có ý địnhđánh vào các hạ tầng công nghiệp. Xem thêm [01],[02],[03].

Các nhà phân tích anninh đã thấy các chi tiết huyền bí hơn nhưng cũng thúvị trong Trojan Duqu, cái gọi là “con của Stuxnet” đượcphát hiện chỉ 2 tháng trước.

Kaspersky Lab tạiMoscow đã có được một biến thể khác của Duqu so vớibản gốc, và thấy rằng những kẻ tạo ra Trojan nàykhông chỉ có thể đã và đang làm việc về Duqu từ năm2007, mà dường như còn có cả khiếu hài hước nữa.

Theo Alexander Gostev củaKaspersky, thì vật trung gian gây lây nhiễm của Duqu đượctùy biến cho từng mục tiêu, và mã nguồn của nó cóchứa một tham chiếu đùa tới “Dexter”, loạt chươngtrình TV dài kỳ về một kẻ giết người hàng loạt mơhồ về đạo đức.

Kaspersky đã phân tíchmột thư điện tử dạng phishing nhằm vào một công tykhông được tiết lộ danh tính, đã bị Duqu tấn công 2lần vào giữa tháng 4 năm nay nhưng đã không nhận thứcđược thứ gì đã đánh hãng cho tới gần đây.

Như với phiên bảnsớm của Duqu được thấy vào tháng 9 trong phòng thínghiệm CrySyS của Hungary, biến thể của Kaspersky đã sửdụng một “trình nhỏ giọt” - một mẩu phần mềm độchại riêng biệt - dấu mình trong một máy tính cá nhân PCthông qua một phông chữ được nhúng vào trong một tàiliệu Word. (Chỗ bị tổn thương của Windows, đã khôngđược biết trước đó, còn chưa được vá, dù đã cómột sựkhắc phục).

Phông chữ giả tưởngnày có tên là “Dexter Regular”. Ẩn mình trong mã nguồncủa trình nhỏ giọt là một xâu văn bản, "Copyright2003 Showtime Inc. All rights reserved. Dexter Regular version 1.00.Dexter is a registered trademark of Showtime Inc." ("Dexter"thực sự được phát ra lần đầu vào năm 2006. Không cógì của điều này ngụ ý rằng Showtime đứng đằng sauTrojan Duqu).

Securityanalysts have found more mysterious but fascinating details in theDuqu Trojan, the so-called "son of Stuxnet" discovered justtwo months ago.

Moscow'sKaspersky Lab got hold of a different variant of Duqu than theoriginal, and found that the Trojan's creators not only may have beenworking on Duqu since 2007, but seem to have a sense of humor aswell.

Accordingto Kaspersky'sAlexander Gostev, the Duqu infection vector is customized foreach target, and its code contains a joking reference to "Dexter,"the long-running Showtime TV series about a morally ambiguous serialkiller.

Kasperskyanalyzed a spear-phishing email directed at an undisclosed company,which was attacked by Duqu twice in mid-April of this year but didnot realize what hit it until recently.

Aswith the earlierversion of Duqu found in September by Hungary's CrySyS lab, theKaspersky variant used a "d-ropper" — a separate piece ofmalware — to burrow into PCs via a font embedded in a Worddocument. (The Windows vulnerability, which had not previously beenknown of, has not yet been patched, but thereis a workaround.)

Thefictitious font is named "Dexter Regular." Buried in thed-ropper code is the text string, "Copyright 2003 Showtime Inc.All rights reserved. Dexter Regular version 1.00. Dexter is aregistered trademark of Showtime Inc." ("Dexter"actually was first broadcast in 2006. None of this implies thatShowtime is behind the Duqu Trojan.)

Bước tiếp sau trongmẫu lây nhiễm Duqu là để tải một trình điều khiểnvào nhân Windows. Kaspersky đã thấy rằng trình điều khiểnnày đã được biên dịch vào tháng 8/2007, trong khi mộtcái được Crysys tìm thấy là vào tháng 3/2008.

“Nếu thông tin nàylà đúng, thì các tác giả của Duqu phải đã và đang làmtrong dự án này đã hơn 4 năm rồi!”, Gostev đã viết.

Nếu điều đó đúng,thì Duqu, còn có tên là “con của Stuxnet” vì sự tươngđồng làm hoảng hốt đối với sâu mức quân sự mà đãgây lây nhiễm và đánh què các cơ sở hạt nhân củaIran vào năm 2010, thực suwjcos thể là cha của sâu nổitiếng hơn kia.

Còn có một sự kếtnối khác nữa của Iran, theo Gostev. Các cuộc tấn cônghồi tháng 4 vào công ty không được nêu tên đã diễn rachỉ trước khi Iran công bố rằng nước này đã bị tấncông bởi một mẩu thứ 2 phần mềm độc hại, mà cácnhà nghiên cứu của Iran đã gọi là sâu “Stars”.

Không may, Iran khôngbao giờ chia sẻ những ví dụ về sâu Stars, mà đã dẫntới một số người ở phương Tây nghi ngờ đó chỉ làsự tuyên truyền từ quốc gia đạo Hồi này. (Những vídụ của Stuxnet đã được phân bổ khắp thế giới vìmột nhà nghiên cứu an ninh của Iran đã gửi thư điệntử một bản sao cho một đồng nghiệp cũ tại Ukraine).

Nhưng Gostev nghĩ nhữngngười Iran có lẽ đã tìm thấy Duqu mà không nhận thứcđược nó.

“Rất có thể, nhữngngười Iran đã thấy một module ghi bàn phím mà đã đượctải vào một máy tính”, ông viết. “Có khả năng làcác chuyên gia Iran đã chỉ thấy trình ghi bàn phím, trongkhi module chính Duqu và trình nhỏ giọt (bao gồm cả cáctài liệu mà có chứa chỗ bị tổn thương còn chưa đượcbiết tới) có thể đã không được dò tìm ra”.

Thenext step in the Duqu infection pattern is to load a driver into theWindows kernel. Kaspersky found that its driver was compiled inAugust 2007, while the one found by Crysys was dated March 2008.

"Ifthis information is correct, then the authors of Duqu must have beenworking on this project for over four years!" Gostev wrote.

Ifthat's true, then Duqu, dubbed the "son of Stuxnet" becauseof its startling similarity to the military-grade worm that infectedand disrupted Iranian nuclear facilities in 2010, may actually bethe father of the more famous bug.

There'sanother Iranian connection as well, according to Gostev. The Aprilattacks on the unnamed company took place just before Iran announcedthat it had been attacked by a second piece of malware, which Iranianresearchers called the "Stars" worm.

Unfortunately,Iran never shared samples of the Stars worm, which led some in theWest to suspect it was mere propaganda f-rom the Islamic Republic.(Samples of Stuxnet were distributed worldwide because an Iraniansecurity researcher emailed a copy to a former colleague in theUkraine.)

ButGostev thinks the Iranians might have found Duqu without realizingit.

"Mostprobably, the Iranians found a keylogger module that had been loadedonto a system," he wrote. "It's possible that the Iranianspecialists found just the keylogger, while the main Duqu module andthe d-ropper (including the documents that contained the then-unknownvulnerability) may have gone undetected."

Có lẽ điềm xấunhất, có đủ những khác biệt giữa các biến thể củaDuqu để dẫn Gostev tới nghi ngờ rằng những kẻ tạo raTrojan này đang chỉnh sửa một cách cẩn thận gói phầnmềm độc hại đó cho từng mục tiêu đặc thù khi cần,nếu ngày tháng biên dịch trong thành phần chính củaTrojan là chính xác.

“Yếu tố này chỉra rằng các tác giả đã xây dựng một tập hợp riêngrẽ các tệp cho từng nạn nhân cụ thể, và làm đúngnhư vậy trước khi tấn công”, Gostev viết.

Sự tinh chỉnh nhưvậy có thể làm cho Duqu và những người tạo ra nó tinhvi phức tạp và kiên cường hơn các cuộc tấn công đượcgọi là “mối đe dọa dai dẳng tiên tiến” - đượcgiả thiết rộng rãi tới từ Trung Quốc - mà đã thâmnhập vào các công ty phương Tây vài năm qua.

Trong các trường hợpđó, thì các thư điện tử dạng phishing cũng cung cấpvật trung gian lây nhiễm, nhưng phần mềm độc hại đượccài đặt không khác biệt từ một đích này sang đíchkhác.

Perhapsmost ominously, there are enough differences among the known variantsof Duqu to lead Gostev to suspect that the Trojan's creators arecarefully tailoring the malware package for each specific target asneeded, if the compilation dates on the main Trojan component areaccurate.

"Thisfact shows that the authors build a separate set of files for eachspecific victim, and do so right before the attack," Gostevwrote.

Suchfine-tuning would make Duqu and its creators more sophisticated andpersistent that the so-called "advancedpersistent threat" attacks — widely assumed to be comingf-rom China — that have penetrated Western companies over the pastfew years.

Inthose cases, spear-phishing emails also provide the infection vector,but the installed malware does not vary f-rom one target to the next.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com