Neznámý programovací jazyk v trojském koni Duqu

Část trojského koně Duqu je napsána v neznámém programovacím jazyce, který pojmenovali „Duqu Framework“.

Duqu je propracovaný trojský kůň, za jehož vznikem stojí titíž lidé, kteří vytvořili nechvalně proslulého červa Stuxnet. Duqu slouží primárně jako zadní vrátka do napadeného systému, čímž usnadňuje následné krádeže důvěrných informací. Samotný virus byl poprvé detekován v září 2011, avšak podle údajů společnosti Kaspersky Lab lze působení malwaru spojeného s Duqu vystopovat již v srpnu 2007.

Odborníci antivirové společnosti zaznamenali více než tucet napadení virem Duqu, přičemž většina jeho obětí se nachází v Íránu. Z výsledků analýzy činností napadených společností a povahy informací, na něž se Duqu zaměřil, vyplývá, že hlavním cílem útočníků byla krádež informací o průmyslových řídicích systémech využívaných v řadě různých odvětví a sběr tajných informací o obchodních vztazích mnoha íránských organizací.

Velkou záhadou dosud zůstává, jak trojský kůň Duqu komunikoval se svými řídicími (command and control – C&C) servery po infikaci cílového zařízení. Součást Duqu zajišťující interakci s C&C servery se nachází v Payload DLL. Komplexní analýza výzkumníkům společnosti Kaspersky Lab odhalila, že jedna konkrétní část Payload DLL, která komunikuje výhradně s C&C servery, je napsána v neznámém programovacím jazyce. Výzkumníci tuto neznámou část pojmenovali „Duqu Framework“.

Na rozdíl od zbytku viru Duqu není část Duqu Framework napsána v C++ a nebyla kompilována v programu Visual C++ 2008 společnosti Microsoft. Je možné, že tvůrci viru vygenerovali intermediární C kód za použití vlastního systému, ale mohli také použít úplně jiný programovací jazyk. Výzkumníkům společnosti Kaspersky Lab se podařilo potvrdit, že objevený jazyk je objektově orientovaný a sám vykonává soubor činností vhodných pro síťové aplikace.

Jazyk použitý v Duqu Framework je vysoce specializovaný. Umožňuje, aby část Payload DLL fungovala nezávisle na ostatních částech viru Duqu a propojuje ji s dedikovaným C&C  serverem několika různými cestami, mimo jiné prostřednictvím Windows HTTP, socketů a proxy serverů. Payload DLL díky speciálnímu jazyku může navíc zpracovávat HTTP požadavky C&C serveru přímo, tajně odesílat kopie ukradených informací z infikovaného zařízení na C&C server a dokonce i šířit škodlivý datový obsah na ostatní zařízení v síti. To umožňuje řízené a utajené šíření infekcí na další počítače. Kompletní popis analýzy a související údaje najdete v blogovém postu na stránce společnosti Kaspersky Lab Securelist.

Společnost Kaspersky Lab se tímto obrací na programátorskou komunitu s žádostí o pomoc a zároveň by ráda vyzvala každého, kdo zná framework, toolkit nebo programovací jazyk schopný generovat podobné instrukce, aby zkontaktoval její odborníky.