Kaspersky تطلب من مبرمجين قراءة كود تروجان Duqu

duqu code

قامت شركة كاسبرسكي Kaspersky لحلول الامن والحماية بطلب مساعد من مبرمجين محترفين لقراءة كود برمجي وفهمه لـ تروجان Duqu المعروف باسمه الآخر Stuxnet 2.0.

وعن موقع it-scoop.com وفي خبر تم نشره بواسطة الكاتب Xacker لمتابعته الخبر نقلاً عن كاسبرسكي وعلى لسانها، فإن هذا التروجان الخطير جداً قد كتب بشكل جزئي بلغة برمجية غير معروفة، حيث تم ملاحظة أن ملف الحمل payload والذي يقوم بالتواصل بشكل حصري مع مركز الإدارة والتحكم C&C ليأخذ توجيهاته منها بمجرد إصابة نظام ما، يحتوي على شفرة مصدرية لا تشبه أي شيء معروف. في حين أن الخبراء الأمنيين تمكّنوا من معرفة ما يقوم به الرماز الغامض إلا أنهم غير متأكدين من صيغته.

بعض أجزاء الرماز، بما في ذلك الجزء الخاص بتحميل وتنفيذ إضافات برمجية أخرى، كُتبت بلغة C++ القياسية، لكن جزءًا كبيرًا منها كُتب بلغة غير معروفة، حيث لا يحوي هذا الجزء على أي مرجع إلى تابع C++ قياسي أو مكتوب من قبل المبرمج، وربما تمت كتابته من قبل فريق برمجي آخر.

وتضيف شركة Kaspersky بأن الجزء الغريب من الرماز خاص بتروجان Duqu لم يسبق أن شوهد في أي رماز خبيث آخر حيث تم استعارة العديد من الأجزاء مباشرة من فيروس Stuxnet لكن هذا الجزء جديد تمامًا.

هذا وقد قامت Kaspersky بتسمية الرماز باسم Duqu Framework وأكدت بأنه لم يكتب بأي من اللغات التالية: C++, Objective C, Java, Python, Ada, Lua وقد تم التحقق من العديد من اللغات البرمجية الأخرى سلبًا.

إن التعقيد البرمجي في هذا التروجان لأمر واحد، لكن حقيقة أنه تم إنشاء لغة برمجية جديدة تمامًا خصيصًا له، يشير إلى نواح جادة وعميقة خلف هذا المشروع.

فيما يلي أهم النقاط التي خلصت إليها Kaspersky:

إطار عمل Duqu تمت كتابته بلغة برمجية غير معروفة. بخلاف بقية أجزاء Duqu فإنه لم يكتب بـ C++ ولم يتم تجميعه وربطه باستخدام Microsoft Visual Studio 2008. إن الهيكلية العالية لسياقة الأحداث event-driven تشير إلى أنه تم تصميم الكود بحيث يمكن استخدامه في أي من الحالات، بما في ذلك للاتصالات غير التزامنية. بأخذ حجم مشروع Duqu بعين الاعتبار، فإنه من المحتمل أنه تم استخدام فريق برمجي آخر لكتابة إطار العمل، مختلف عن الفريق الذي قام بكتابة إجرائيات إصابة النظام واستغلال الثغرات الأمنية. اللغة البرمجية الغامضة ليست C++, Objective C, Java, Python, Ada, Lua والعديد من اللغات الأخرى المعروفة قطعًا. بالمقارنة مع Stuxnet (المكتوبة بشكل كامل باستخدام MSVC++)، فإن هذه النقطة تميّز إطار عمل Duqu عن Stuxnet بشكل قطعي. ولمن لم يسمع بـ Duqu من قبل، فإنه تروجان تم اكتشافه في سبتمبر 2011 المنصرم، لكن Kaspersky تشير إلى أنها تعتقد بأنها صادفت أجزاء من الرماز المصدري المستخدم في Duqu، يعود إلى أغسطس 2007. وكما هي Stuxnet قبله، فإن Duqu صُمّم بشكل أساسي لاستهداف المنشآت النووية الإيرانية.

المصدر: it-scoop بواسطة : Xacker عن : securelist

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *