دودة دوكو: الكشف عن هجمات استهدفت أهدافاً إيرانية وسودانية

الخبراء في كاسبرسكي لاب يواصلون إجراء تحقيقاتهم بشأن البرنامج الخبيث الجديد دوكو، الذي يشترك في بعض خصائصه مع دودة ستكسنت المعروفة التي استهدفت بدورها منشآت صناعية في إيران. وعلى الرغم من أن الهدف النهائي للمطورين من هذا التهديد الإلكتروني الجديد لا يزال غير معروفاً، فما هو واضح بالفعل هو أن دودة دوكو أداة عالمية تستخدم لتنفيذ هجمات موجهة على عدد محدود من الأهداف، وهي قابلة للتعديل تبعا للمهمة المحددة.

وقد كشف المختصين في كاسبرسكي لاب عن خصائص عدة لدودة دوكو في المرحلة الأولى من التحليل المجرى عليها. أولاً، في كل تعديل مكتشف على هذا البرنامج الخبيث تم تغيير المحركات المستخدمة لإصابة النظم. في بعض الحالات استخدم المحرك توقيعاً رقمياً وهمياً، غير أنه لم يوقع على الإطلاق في حالات أخرى. ثانياً، أصبح من الواضح أنه يرجح وجود عناصر أخرى لدودة دوكو، ولكن لم يتم بعد العثور عليها. سمحت هذه النتائج للمرء أن يفترض أنه يمكن تغيير طريقة عمل هذا البرنامج الخبيث تبعا للهدف المعين الذي يتعرض للهجوم.

الفرق الوحيد الذي يميز دودة دوكو عن ستكسنت من حيث أوجه التشابه هو الكشف عن إصابات قليلة جداً (تم كشف إصابة واحدة فقط لحظة نشر الجزء الأول من التحقيق الذي أجرته كاسبرسكي لاب حول دودة دوكو). منذ اكتشاف العينات الأولى من هذا البرنامج البخبيث، تم الكشف عن أربع حالات جديدة للإصابة، وذلك بفضل شبكة كاسبيرسكي الأمنية القائمة على السحابة. ويشار إلى أنه تم تعقب إحدى هذه العينات حتى تبين أنها لأحد المستخدمين في السودان، أما العينات الثلاثة الأخرى فوجدت في إيران.

في كل حالة من الحالات الأربعة لعدوى دوكو تم تعديل المحرك بشكل مختلف يتلاءم مع العدوى. والأهم من ذلك، فيما يتعلق بإحدى حالات العدوى في إيران تم كشف أيضاً محاولتين لإصابة الشبكة بالعدوى باستغلال نقطة الضعف MS08-067. استخدمت ستكسنت نقطة الضعف هذه أيضاً، وكذلك كيدو وهو برنامج خبيث قديم آخر. أطلقت أول محاولة لإصابة الشبكة في 4 أكتوبر، والأخرى في 16 نوفمبر، وكلاهما نشأ من عنوان بروتوكول الإنترنت نفسه، الذي ينتمي رسمياً إلى أحد مزودي الإنترنت في الولايات المتحدة. لو تم إطلاق محاولة واحدة فقط من هذا القبيل، كان بالإمكان أن يتم شطبها كنشاط نموذجي لبرنامج كيدو، ولكن تم شن محاولتين متتاليتين للهجوم: يشير هذا التفصيل إلى أن الهجوم استهدف جهاز في إيران. ومن الممكن أيضاً أنه تم استغلال نقاط ضعف أخرى للبرامج خلال الهجوم.

وفي معرض تعليقه على الاكتشافات الجديدة، قال ألكسندر غوستيف، رئيس خبراء الأمن في كاسبرسكي لاب: "على الرغم من أن النظمة التي تستهدفها دودة دوكو تقع في في إيران، لم يتوفر حتى الآن أي دليل على أنها نظم مرتبطة بالبرامج النووية أو الصناعية. وعلى هذا النحو، فمن المستحيل التأكيد على أن هدف البرنامج الخبيث الجديد هو نفسه لدودة ستكسنت. ومع ذلك، فمن الواضح أن كل إصابة من قبل دودة دوكو هي فريدة من نوعها. تسمح هذه المعلومات للمرء أن يؤكد بأنه يتم استخدام دودة دوكو لشن الهجمات التي تستهدف أهدافاً محددة سلفاً".