خبراء كاسبرسكي لاب: فريق واحد يقف وراء تطوير Duqu وStuxnet وبرمجيات خبيثة أخرى

بيان صحفي
منشور 16 كانون الثّاني / يناير 2012 - 07:24

أكدت معلومات حول الإصابات بأحصنة طروادة Duqu وStuxnet أن فريقا واحدا يقف وراء تطوير عائلة من البرمجيات الخبيثة، كما يظن أن منصة واحدة استخدمت في ذلك وهي مؤهلة لتلقي هذه الإصابات. إلى جانب ذلك، يتوقع أن تكون هذه المنصة قد طورت قبل انتشار وباء Stuxnet واستخدمت بنشاط أكبر مما كان يعتقد حتى الآن. ويعتمد استنتاج خبراء كاسبرسكي لاب هذا على التحليل المفصل لبرامج التشغيل استخدمت في إصابة الأنظمة بـDuqu وStuxnet وتفاصيل أخرى حول برمجيات خبيثة غير معروفة الآن.

ويرى خبراء كاسبرسكي لاب أن هذه المنصة (ويطلق على المنصة اسم Tilded، وذلك لميل مطوريها إلى  استخدام ملفات تبدأ برمز (~)) قد استخدمت في صنع Stuxnet وDuqu وغيرها من البرمجيات الخبيثة.

وتبين وجود صلة بين Duqu وStuxnet أثناء تحليل حوادث تتعلق بـDuqu. خلال تحري نظام مصاب يعتقد بأنه هوجم في أغسطس 2011، وجد برنامج تشغيل يشبه ذلك الذي استخدم من قبل إحدى نسخ Stuxnet. على الرغم من وجود شبه واضح بين البرنامجين، كانت هناك فروق في التفاصيل مثل تاريخ توقيع الشهادة الرقمية. ولم يتم العثور على ملفات أخرى لها علاقة بنشاط Stuxnet إلا أنه عثر على آثار نشاط Duqu.

وقد سمحت معالجة المعلومات المتحصل عليها والبحث في  قاعدة بيانات البرمجيات الخبيثة في كاسبرسكي لاب باكتشاف برنامج تشغيل له مواصفات مشابهة. وقد اكتشف هذا البرنامج قبل أكثر من عام، غير أنه قد أنشئ في يناير 2008 أي قبل عام من إنشاء برامج التشغيل المستخدمة من قبل Stuxnet. ووجد خبراء كاسبرسكي لاب 7 أنواع من برامج التشغيل لها مواصفات مشابهة. والجدير بالذكر أن 3 منها لا يعرف مع أي من البرمجيات الخبيثة استخدمت.

وفي هذا الشأن قال الكسندر غوستيف، كبير خبراء الأمن في كاسبرسكي لاب: "لا يمكن أن تنسب البرمجيات الخبيثة المجهولة إلى نشاط Stuxnet وDuqu. إن أساليب نشر Stuxnet كانت لتجلب عددا كبيرا من الإصابات باستخدام برامج التشغيل هذه. كما لا يمكن أن تنسب إلى Duqu وذلك بالنظر إلى تاريخ إنشائها. نحن نتوقع أن تكون برامج التشغيل قد استخدمت في نسخة مبكرة من Duqu، أو للإصابات ببرمجيات خبيثة مختلفة جذريا لها منصة واحدة وعلى الأرجح أن فريقا واحدا قد أنجزها".

ويعتقد خبراء كاسبرسكي لاب أن المجرمين الالكترونيين الذين يقفون وراء Duqu وStuxnet ينشئون نسخة جديدة من برنامج التشغيل عدة مرات في السنة وهي تستخدم في تحميل البنية الأساسية من البرنامج الخبيث. بعد إجراء الهجمات الجديدة وبمساعدة برنامج خاص يتم تغيير مواصفات برنامج التشغيل مثل مفتاح التسجيل. وانطلاقا من نوع المهمة، يمكن أن يتم توقيع الملف بشهادة رقمية قانونية أو يبقى بدون توقيع.

وبهذه الطريقة يكون Duqu وStuxnet مشروعين منفصلين تم إعدادهما على أساس منصة واحدة – Tilded– والتي طورت في أواخر 2007 واوائل 2008. ويبدو أن هذا المشروع لم يكن وحيدا، غير أن أهداف ومهام مختلف النسخ من برنامج حصان طروادة لا تزال غامضة. كما لا يمكن استبعاد أن يتواصل العمل على تطوير هذه المنصة، كما أن اكتشاف Duqu يعني أن تغييرات تطرأ أو ستطرأ على المنصة.

خلفية عامة

كاسبرسكي لاب

كاسبرسكي لاب هي أكبر شركة مكافحة فيروسات في أوروبا، وهي توفر بعض من الحماية الفورية في العالم ضد التهديدات الأمنية، بما في ذلك الفيروسات وبرامج التجسس وبرمجيات الجريمة والقرصنة والاصطياد والرسائل المزعجة، وقد صنفت الشركة من بين أفضل أربعة وكلاء الحلول الأمنية في العالم للمستخدمين النهائيين، وتقدم منتجات كاسبرسكي لاب أعلى معدلات الكشف وواحدة من أسرع الاستجابات الزمنية المقتضية لمستخدمين في المنازل والشركات الصغيرة والمتوسطة والمؤسسات الكبيرة وبيئة الحواسيب المتنقلة، كما تستخدم أيضاً تقنية كاسبرسكي ® في جميع أنحاء العالم داخل منتجات وخدمات صناعة تكنولوجيا المعلومات الرائدة في مجال مقدمي الحلول الأمنية.

 

المسؤول الإعلامي

الإسم
سينثيا درويش
البريد الإلكتروني

اشتراكات البيانات الصحفية

احصل على رصيد لنشر مقالاتك على موقع البوابة هنا

مواضيع ممكن أن تعجبك

الاشتراك

اشترك في النشرة الإخبارية للحصول على تحديثات حصرية ومحتوى محسّن