O fabricante detectou linguagem de programação desconhecida na estrutura do troiano Duqu. E está a pedir a quem reconhecer o código para contactar a empresa.
Os peritos anti-malware da Kaspersky Lab descobriram que parte – uma secção da DLL Payload – do troiano Duqu foi escrita numa linguagem de programação desconhecida. Neste contexto, o fabricante fez um apelo à comunidade de programadores: pede para quem reconhecer uma framework ligada ao software, o toolkit ou a referida linguagem de programação, para contactar os seus responsáveis.
O grande mistério não resolvido do troiano Duqu refere-se à forma como o programa nocivo comunicava com a sua componente de comando e controlo (C&C), assim que era infectada a máquina da vítima, de acordo com um comunicado da empresa. O módulo Duqu era responsável por interagir com o C&C é parte da sua DLL Payload. Os especialistas da Kaspersky Lab descobriram que uma secção específica desta comunica exclusivamente com o C&C e foi escrita numa linguagem de programação desconhecida. Os analistas da Kaspersky Lab baptizaram esta secção desconhecida como o “Duqu Framework”.
Segundo os mesmos, ao contrário do resto do Duqu, o “Duqu Framework” não é escrito em C++ e não está compilado com o Microsoft Visual C++ 2008. É possível que os seus autores tenham utilizado uma estrutura interna para gerar código intermediário em C, ou outra linguagem de programação completamente diferente. No entanto, os analistas da Kaspersky Lab confirmaram que a linguagem é orientada a objectos e executa o seu próprio conjunto de actividades relacionadas que são adequadas a aplicações de rede.
“Dado o tamanho do projecto Duqu, é possível que uma equipa totalmente diferente tenha afinal sido responsável pela criação do ‘Duqu Framework’, nada tendo a ver com a equipa que criou os ‘drivers’ e escreveu as ‘exploits’ de infecção do sistema”, disse Alexander Gostev, especialista em segurança da Kaspersky Lab. “Com o nível extremamente elevado de personalização e exclusividade que a linguagem de programação foi criada, também é possível que ela tenha sido feita não só para evitar que as partes externas compreendessem como funcionam as capacidades de ciber-espionagem e as interacções com os C&Cs, mas também para manter as coisas separadas das outras equipas do Duqu, responsáveis por escreverem as componentes adicionais do programa malicioso”, defende.
De acordo com Gostev, a criação de uma linguagem de programação dedicada demonstra o quão qualificados são os programadores que trabalham no projecto. E aponta para os significativos recursos financeiros e de trabalho mobilizados para garantir a implantação do projecto.
A versão completa da análise ao “Duqu Framework”, feita por Igor Soumenkov e Raiu Costin, pode ser encontrada na página da SecureList.
Parente do Stuxnet?
O Duqu é um troiano sofisticado que foi criado pelas mesmas pessoas que criaram o worm Stuxnet, segundo a Kaspersky. O seu principal objectivo é actuar como uma “backdoor” no sistema e facilitar o roubo de informação.
O Duqu foi detectado pela primeira vez em Setembro de 2011 mas, segundo dados da Kaspersky Lab, o primeiro vestígio do Duqu relacionado com a presença de malware remonta a Agosto de 2007. Os especialistas da empresa já registaram mais de uma dezena de incidentes envolvendo o Duqu, com a grande maioria das vítimas localizadas no Irão.
Uma análise às actividades das organizações que acabaram por ser vítimas deste troiano e à natureza da informação capturada sugere claramente que o principal objectivo dos ataques era roubar informações sobre os sistemas de controlo industrial utilizados numa série de sectores, bem como a recolha de informações sobre as relações comerciais de um conjunto de organizações iranianas.