В стане специалистов по безопасности наблюдается большое оживление в связи с новым троянцем Duqu, который подозревают в родстве с пресловутым Stuxnet. О том, что это был за зверь такой, много писал Бёрд Киви (1, 2, 3). Является ли Duqu действительно родичем вышеозначенного зловреда, никто однозначно сказать не берётся, но кое-что общее у них и в самом деле есть. Ниже представлена таблица, которую подбили сотрудники фирмы Dell SecureWorks:
Ещё одну, более подробную таблицу сравнений публикует SecurityWeek:
Проблема в том, что все те характерные черты, которые присущи обоим зловредам, строго говоря, не являются уникальными. Так, например, и Duqu и Stuxnet используют драйвер ядра для дешифровки и загрузки шифрованных DLL-файлов, но это наблюдали и в случаях заражения совсем другими программами. Оба зловреда используют сходные техники шифрования и сокрытия своей деятельности (руткит в том числе), но и это их родство не доказывает.
В целом прямых доказательств, что они «из-под одного пера вышли», нет. Есть лишь сходство в поведении, но это не прямые улики. Как не является прямой уликой и исключительная сложность Duqu.
Между тем, как сообщает Reuters, власти Индии вломились в дата-центр индийской компании Web Werks, расположенной в Мумбаи, и изъяли несколько жёстких дисков и другие компоненты с сервера, который был замечен компанией Symantec в установлении регулярных сеансов связи с компьютерами, заражёнными троянцем Duqu.
Иными словами, предположительно был нейтрализован «командный центр» означенного троянца (при этом выяснить, кто его арендовал, никто пока не смог). Само существование C&C-центра намекает на возможность развёртывания целого ботнета, однако, похоже, троянец не для этого предназначен. Антивирусные компании («Лаборатория Касперского», Dell SecureWorks, McAfee, Symantec) идентифицировали всего лишь несколько десятков случаев заражения — и это в данном случае не является признаком дефективности троянца, скорее наоборот: это программа очень узкой направленности. Смысл его существования — воровать секретные данные, например (как указывает Reuters) чертежи и сопутствующие документы, описывающие сложные клапаны, двигатели, переключатели и трубы; видимо, всё, что связано с традиционной инфраструктурой. Заражённые машины выявлены в Европе, Иране, Судане и США; кто их владельцы и что троянцу удалось с них попятить, не сообщается.
Естественно, сложность разработки вынуждает экспертов лить мёд на уши конспирологически озабоченной общественности, усматривая мрачную глыбу государственных органов неизвестной державы, маячущую позади не менее мрачных силуэтов безвестных создателей Duqu.
Между тем корпорация Microsoft продолжает свой собственный крестовый поход против ботнетов, в котором весьма громко преуспели в начале этого года, фактически искоренив ботнет Rustock.
Сейчас Microsoft удалось нейтрализовать другой ботнет — Kelihos (он же Waledac 2.0), по ходу дела подав иски к более чем двадцати «неустановленным лицам». Одно из них, правда, было «установлено» — Доминик Александер Пьятти, глава dotFREE Group (компании, которая выдаёт бесплатные доменные имена). Именно ему приписали звание «оператор ботнета». Однако очень скоро свой иск корпорация Microsoft отозвала, поскольку Пьятти представил убедительные доказательства своей невиновности, превратившись из подозреваемого в потерпевшего.