quarta-feira, 4 de janeiro de 2012

Análise mostra relação entre os malwares Stuxnet e Duqu

O malware Stuxnet foi criado na mesma plataforma usada em 2007 para desenvolver uma família de malwares, incluindo o recentemente descoberto Duqu, de acordo com uma análise dos pesquisadores da empresa de segurança Kaspersky.

Alexander Kaspersky Gotsev e Igor Soumenkov reuniram evidências para provar que ambos malware foram criados usando um kernel que eles chamam de "tilded".

As pistas que levam à relação entre Stuxnet e Duqu parecem convincentes e, em parte, já haviam sido mencionadas pela empresa. Ambos compartilham um projeto comum, com uma divisão idêntica dos programas em partes que exercem funções semelhantes.

No entanto, ao analisar um driver recém-descoberto em um computador chinês, que continha arquivos do Duqu, os pesquisadores descobriram o que parecia ser uma versão modificada de um driver usado no Stuxnet. A modificação utiliza o mesmo certificado e tem a data e assinatura iguais, o que levou à conclusão de que os dois malwares devem ter as mesmas origens.

No banco de dados da empresa, a equipe encontrou sete outros drivers com características semelhantes, incluindo três - rndismpc.sys, rtniczw.sys e jmidebs.sys - que ainda não podem ser relacionados a malwares específicos.

Esses arquivos não podem interagir com qualquer versão conhecida do Stuxnet, o que levou os pesquisadores a concluir que eles eram ligados a uma versão anterior do Duqu ou representam fragmentos de malwares não-identificados que foram criados pela mesma equipe.

"Houve uma série de projetos que envolvendo programas baseados nessa plataforma 'tilded' durante todo o período entre 2007 e 2011. O Stuxnet e o Duqu são dois deles. Pode haver outros, mas que por enquanto permanecem desconhecidos", afirmou Alexander Gotsev, da Kaspersky .

As evidências da equipe não são conclusivas, mas as conexões circunstanciais entre o Stuxnet e o Duqu parecem mais firmes agora, Já os céticos sugerem que a relação está sendo exagerada como parte de uma moda de conspirações geopolíticas.

Na análise da Kaspersky, os programas fazem parte de um esforço comum de uma única equipe que remonta há pelo menos quatro anos. A evolução do malware sugere que este desenvolvimento continua e tem afetado seus objetivos de forma ainda não detectada ou divulgada.

O que a análise não pôde responder é quem está por trás do que agora é amplamente considerado como malware mais potente já descoberto, o Stuxnet, que provavelmente também é responsável pelo Duqu. Já foi congitada a possibilidade do Stuxnet estar ligado ao worm Conficker, de 2008.

A opinião de popular aponta Israel como culpado, que também teria contado com ajuda dos EUA, mas isso é especulação. O programa nuclear do Irã foi a vítima mais clara do Stuxnet, mas Israel e os EUA estão longe de serem os únicos interessados em ver o país prejudicado.

"A plataforma continua a se desenvolver, o que só pode significar uma coisa: provavelmente veremos mais modificações no futuro", concluíram os pesquisadores.

Fonte: IDG Now!

Nenhum comentário: