Xuất hiện tại Iran, trojan Duqu có thể hoàn toàn không phải là “con của Stuxnet”

Spottedin Iran, trojan Duqu may not be "son of Stuxnet" after all

By Jon Brodkin |Published about 14 hours ago

Theo:http://arstechnica.com/business/news/2011/10/spotted-in-iran-trojan-duqu-may-not-be-son-of-stuxnet-after-all.ars?utm_source=rss&utm_medium=rss&utm_campaign=rss

Bài được đưa lênInternet ngày: 28/10/2011

Lờingười dịch: Cho tới nay, những nghiên cứu về trojan mớiDuqu vẫn được tiếp tục dù các công ty an ninh phần mềmkhác nhau có những đánh giá khác nhau về trojan này. Cónhững bằng chứng cho thấy Duqu là khác biệt với Stuxnetvà Duqu dù có ít sự lây nhiễm vẫn chứng tỏ là đượcnhằm sẵn vào một mục tiêu tấn công được định sẵncó chủ đích. Xem thêm [01].

Một năm sau khi sâuStuxnet đã nhằm vào các hệ thống công nghiệp tại Iranvà gây ngạc nhiên cho các nhà nghiên cứu an ninh với sựphức tạp của nó, một Trojan mới có tên là Duqu đã lantruyền như cỏ dại trong khi đang được gọi là “Concủa Stuxnet” và một “điềm báo trước một cuộc tấncông như Stuxnet trong tương lai”. Các nhà nghiên cứu từSymantecs nói Duqu và Stuxnet hình như được viết từ cùngcác tác giả và dựa trên cùng mã nguồn.

Nhưng các phân tíchxa hơn của các nhà nghiên cứu an ninh từ Dell gợi ý Duquvà Stuxnet có thể hoàn toàn không có liên quan gần gũi gìvới nhau. Điều đó không nói được là Duqu không nghiêmtrọng, khi mà các cuộc tấn công đã được báo cáo tạiSudan và Iran. Nhưng Duqu có thể không hoàn toàn là nòigiống mới, với một mục tiêu cuối cùng vẫn còn chưađược biết tới.

Một báo cáo ngày hômqua từ Dell SecureWorks phân tích mối quan hệ với Stuxnetđưa ra nghi ngờ về ý tưởng rằng Duqu có liên quan. Vídụ, Dell nói:

• Duqu và Stuxnet đều sử dụng một trình điều khiển nhân để giải mã và tải các tệp DLL (thư viện tải động) được mã hóa. Các trình điều khiển nhân phục vụ như một động cơ “tiêm” để tải những DLL này vào một qui trình đặc biệt. Kỹ thuật này không phải là độc nhất cho cả Duqu lẫn Stuxnet và từng được quan sát trong các mối đe dọa không có liên quan khác.

• Các trình điều khiển nhân cho cả Stuxnet và Duqu sử dụng nhiều kỹ thuật tương tự cho mã hóa và giấu giếm, như một rootkit để ẩn dấu các tệp. Một lần nữa, các kỹ thuật này không phải là độc nhất cho cả Duqu hoặc Stuxnet và đã được thấy trong các mối đe dọa không có liên quan khác.

Và trong khi Stuxnet vàDuqu mỗi thứ “có những biến thể nơi mà tệp trìnhđiều khiển nhân được ký số có sử dụng ký chứngthực bằng phần mềm”, thì Dell nói sự phổ biến nàylà bằng chứng không đủ của một sự kết nối “vìviệc ký các chứng thực bị tổn thương có thể giànhđược từ một số các nguồn”.

Ayear after the Stuxnetworm targeted industrial systems in Iran and surprised securityresearchers with its sophistication, a newTrojan called Duqu has spread through the wild while being calledthe “Son of Stuxnet” and a “precursor to a future Stuxnet-likeattack.” Researchers f-rom Symantec say Duqu and Stuxnet were likelywritten by the same authors and based on the same code.

Butfurther analyses by security researchers f-rom Dell suggest Duqu andStuxnet may not be closely related after all. That’s not to sayDuqu isn’t serious, as attacks have been reported in Sudan andIran. But Duqu may be an entirely new breed, with an ultimateobjective that is still unknown.

Areport yesterday f-rom DellSecureWorks analyzing the relationship to Stuxnet casts doubt onthe idea that Duqu is related. For example, Dell says:

• Duqu and Stuxnet both use a kernel driver to decrypt and load encrypted DLL (Dynamic Load Library) files. The kernel drivers serve as an "injection" engine to load these DLLs into a specific process. This technique is not unique to either Duqu or Stuxnet and has been observed in other unrelated threats.

• The kernel drivers for both Stuxnet and Duqu use many similar techniques for encryption and stealth, such as a rootkit for hiding files. Again, these techniques are not unique to either Duqu or Stuxnet and have been observed in other unrelated threats.

Andwhile Stuxnet and Duqu each “have variants whe-re the kernel driverfile is digitally signed using a software signing certificate,”Dell says this commonality is insufficient evidence of a connection“because compromised signing certificates can be obtained f-rom anumber of sources.”

Trong khi Stuxnet lantruyền thông qua các đầu USB và các tệp PDF, thì phươngpháp lây nhiễm của Duqu vẫn còn chưa rõ, Dell nói. Khônggiống như Stuxnet, Duqu không có mã nguồn đặc biệt nhằmvào các thành phần SCADA (kiểm soát giám sát và truy cậpdữ liệu). Duqu cung cấp cho các kẻ tấn công sự truy cậpở xa tới các máy tính bị tổn thương bằng khả năngchạy các chương trình tùy ý, và có thể về mặt lýthuyết được sử dụng để nhằm tới bất kỳ tổ chứcnào, Dell nói.

“Cả Duqu và Stuxnetđều là các chương trình phức tạp cao với nhiều thànhphần”, Dell nói. “Tất cả những sự giống nhau từmột quan điểm phần mềm là trong thành phần 'tiêm' đượctrình điều khiển nhân triển khai. Các tải cuối cùngcủa Duqu và Stuxnet khác nhau và không có liên quan đángkể. Một người có thể đoán các thành phần tiêm chiasẻ một nguồn chung, nhưng bằng chứng hỗ trợ là tườngtận nhất và không đủ để khẳng định một mối quanhệ trực tiếp. Những sự việc được quan sát thấythông qua phân tích phần mềm không kết luận đượctrong thời gian xuất bản về việc chứng minh mối quan hệtrực tiếp giữa Duqu và Stuxnet ở bất kỳ mức độnào”.

Nhà bán hàng an ninhBitdefender cũng đưa ra nghi vấn về sự liên kết có thểcủa Duqu/Stuxnet trên blog Malwarecity của mình. “Chúng tôitin tưởng rằng đội đứng đằng sau vụ Duqu không cóliên quan tới đội đã đưa ra Stuxnet vào năm 2010, vì mộtsố lý do”, Bogdan Botezatu của BitDefender viết. Trong khimột trình điều khiển rootkit được sử dụng trong Duqulà tương tự như được xác định trong Stuxnet, thì điềuđó không có nghĩa là nó dựa trên mã nguồn của Stuxnet.

“Một khía cạnh ítbiết tới là việc rootkit của Stuxnet đã được kỹthuật nghịch đảo và được đưa lên Internet”, Botezatuviết. “Đúng là mã nguồn đã được mở vẫn cần mộtsố vặn vẹo, nhưng một người viết phần mềm độchại có kinh nghiệm có thể sử dụng nó như sự truyềncảm hứng cho các dự án của riêng họ”. Thực tế làStuxnet và Duqu dường như nhằm vào các hệ thống khácnhau và thực tế là việc sử dụng lại mã nguồn có thểlà một động thái thông minh cho lý lẽ của những kẻtấn công đối với một liên kết, ông tiếp tục.

WhileStuxnet spread through USB sticks and PDF files, the Duqu infectionmethod is still unknown, Dell said. Unlike Stuxnet, Duqu doesn’thave specific code targeting SCADA (supervisory control and dataacquisition) components. Duqu provides attackers with remote accessto compromised computers with the ability to run arbitrary programs,and can theoretically be used to target any organization, Dell said.

“BothDuqu and Stuxnet are highly complex programs with multiplecomponents,” Dell says. “All of the similarities f-rom a softwarepoint of view are in the ‘injection’ component implemented by thekernel driver. The ultimate payloads of Duqu and Stuxnet aresignificantly different and unrelated. One could speculate theinjection components share a common source, but supporting evidenceis circumstantial at best and insufficient to confirm a directrelationship. The facts observed through software analysis areinconclusive at publication time in terms of proving a directrelationship between Duqu and Stuxnet at any other level.”

Thesecurity vendor Bitdefender has also cast doubt on the supposedDuqu/Stuxnet link in its Malwarecityblog. “We believe that the team behind the Duqu incident arenot related to the ones that released Stuxnet in 2010, for a numberof reasons,” BitDefender’s Bogdan Botezatu writes. While arootkit driver used in Duqu is similar to one identified in Stuxnet,that doesn’t mean it’s based on the Stuxnet source code.

“Aless known aspect is that the Stuxnet rootkit has beenreverse-engineered and posted on the Internet,” Botezatu writes.“It’s true that the open-sourced code still needs some tweaking,but an experienced malware writer could use it as inspiration fortheir own projects.” The fact that Stuxnet and Duqu seem to betargeting different systems and the fact that reusing code would notbe a smart move for attackers argue against a link, he continues.

“Sử dụng lại mãnguồn là một thực tế tồi trong nền công nghiệp, đặcbiệt khi mã nguồn này ban đầu đã được xem trong nhữngmối đe dọa số như truyền thuyết với Stuxnet”, ôngviết. “Cho tới bây giờ, tất cả các nhà bán hàngchống virus đã phát triển những giải pháp mạnh qua thửnghiệm và các thủ tục dò tìm khác chống lại nhữngthứ nặng đối với nền công nghiệp như Stuxnet hoặcDownadup. Bất kỳ biến thể nào của một mối đe dọa sốphổ biến có lẽ sẽ kết thúc bị tóm bởi những thủtục thường lệ, nên tiếp cận chung là 'đánh một lân,sau đó diệt mã nguồn'”.

Tuy nhiên, Symantec,dường như bị thuyết phục có liên quan tới Stuxnet.“Duqu về cơ bản là điềm báo trước một cuộc tấncông giống như Stuxnet trong tương lai”, Symantec nói. “Mốiđe dọa đã được viết từ cùng các tác giả (hoặcnhững người mà đã có sự truy cập tới mã nguồn củaStuxnet) và dường như được tạo ra kể từ khi tệpStuxnet cuối cùng được phát hiện. Mục tiêu của Duqu làthu thập các dữ liệu tình báo và các tài sản từ cácthực thể, như các nhà sản xuất các hệ thống kiểmsoát công nghiệp, để tiến hành dễ dàng hơn một cuộctấn công trong tương lai chống lại bên thứ 3 khác. Nhữngkẻ tấn công đang tìm kiếm thông tin như các tài liệuthiết kế có thể giúp chúng tiến hành một cuộc tấncông trong tương lai vào một cơ sở kiểm soát côngnghiệp”. Symantec đã nhấn mạnh trường hợp của mìnhbằng việc lưu ý rằng việc có thể thực hiện đượcđược thiết kế để ghi lại việc gõ bàn phím và thôngtin hệ thống “có sử dụng mã nguồn Stuxnet” đã đượcphát hiện.

Kaspersky Lab đồng ýrằng Stuxnet và Duqu là tương tự và trong thực tế nóiyếu tố khác biệt chính giữa 2 loại này là “sự dòtìm ra chỉ rất ít những lây nhiễm của Duqu”. Mộtnhúm các lây nhiễm đã được tìm thấy, bao gồm mộttại Sudan và 3 tại Iran. Nhưng mục tiêu của Duqu còn chưarõ.

Lãnh đạo củaKaspersky Lab Alexander Gostev nói trong một tuyên bố, “bấtchấp thực tế là địa điểm các hệ thống bị Duqu tấncông nằm ở Iran, tới nay không có bằng chứng nào vềcó các hệ thống nào có liên quan tới chương trình hạtnhân hoặc công nghiệp. Vì thế, không có khả năng đểkhẳng ddienhj rằng mục tiêu của chương trình độc hạimới này là y hệt như của Stuxnet. Tuy nhiên, còn chưa rõmỗi sự lây nhiễm của Duqu có là độc nhất hay không.Thông tin này cho phép một người nói với sự chắc chắnrằng Duqu là đang dựa vào các cuộc tấn công có chủđích vào các mục tiêu được xác định trước”.

Các nhà nghiên cứusẽ không nghi ngờ gì tiết lộ thêm các thông tin vềDuqu trong những tuần tới và đi với các phương pháp cảntrở các cuộc tấn công của Duqu. Microsoft, trong số nhiềuthứ khác, đã đưa ra các cập nhật chữ ký chống virusbao trùm các biến thể của Duqu Trojan.

“Codereuse is a bad practice in the industry, especially when this codehas been initially seen in legendary e-threats such as Stuxnet,” hewrites. “By now, all antivirus vendors have developed strongheuristics and other detection routines against industryheavy-weights such as Stuxnet or Downadup. Any variant of a knowne-threat would likely end up caught by generic routines, so thegeneral approach is ‘hit once, then dispose of the code.’”

Symantec,however, seemsconvinced of the link to Stuxnet. “Duqu is essentially theprecursor to a future Stuxnet-like attack,” Symantec writes. “Thethreat was written by the same authors (or those that have access tothe Stuxnet source code) and appears to have been cre-ated since thelast Stuxnet file was recovered. Duqu's purpose is to gatherintelligence data and assets f-rom entities, such as industrialcontrol system manufacturers, in order to more easily conduct afuture attack against another third party. The attackers are lookingfor information such as design documents that could help them mount afuture attack on an industrial control facility.” Symantec bolstersits case by noting that executables designed to capture keystrokesand system information “using the Stuxnet source code” have beendiscovered.

KasperskyLab agrees that Stuxnet and Duqu are similar and in fact says themain distinguishing factor between the two is the “detection ofonly a very few [Duqu] infections.” A handful of infections havebeen found, including one in Sudan and three in Iran. But the Duquend game is unknown.

KasperskyLab Chief Security Expert Alexander Gostev says in a statement,“Despite the fact that the location of the systems attacked by Duquare located in Iran, to date there is no evidence of there beingindustrial or nuclear program-related systems. As such, it isimpossible to confirm that the target of the new malicious program isthe same as that of Stuxnet. Nevertheless, it is clear that everyinfection by Duqu is unique. This information allows one to say withcertainty that Duqu is being used for targeted attacks onpre-determined objects.”

Researcherswill no doubt uncover more information about Duqu in the coming weeksand come up with methods of thwarting Duqu-based attacks. Microsoft,among many others, has released antivirussignature up-dates covering variants of the Duqu Trojan.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com