أجزاء من تروجان Duqu مكتوبة بلغة برمجية غير معروفة، وKaspersky تطلب من المبرمجين مُساعدتها للتعرف عليها
نُشر يوم 10 مارس 2012 بواسطة Xacker
في خبر مثير من نوعه، أعلنت شركة Kaspersky الأمنية عن حاجتها لمساعدة مجتمع المبرمجين في “التعرف على اللغة البرمجية” التي كتب بها تروجان Duqu المعروف باسمه الآخر Stuxnet 2.0.
وعلى لسانها، فإن هذا التروجان الخطير جداً قد كتب بشكل جزئي بلغة برمجية غير معروفة، حيث تم ملاحظة أن ملف الحمل payload والذي يقوم بالتواصل بشكل حصري مع مركز الإدارة والتحكم C&C ليأخذ توجيهاته منها بمجرد إصابة نظام ما، يحتوي على شفرة مصدرية لا تشبه أي شيء معروف. في حين أن الخبراء الأمنيين تمكّنوا من معرفة ما يقوم به الرماز الغامض إلا أنهم غير متأكدين من صيغته.
بعض أجزاء الرماز، بما في ذلك الجزء الخاص بتحميل وتنفيذ إضافات برمجية أخرى، كُتبت بلغة C++ القياسية، لكن جزءًا كبيرًا منها كُتب بلغة غير معروفة، حيث لا يحوي هذا الجزء على أي مرجع إلى تابع C++ قياسي أو مكتوب من قبل المبرمج، وربما تمت كتابته من قبل فريق برمجي آخر.
وتضيف شركة Kaspersky بأن الجزء الغريب من الرماز خاص بتروجان Duqu لم يسبق أن شوهد في أي رماز خبيث آخر حيث تم استعارة العديد من الأجزاء مباشرة من فيروس Stuxnet لكن هذا الجزء جديد تمامًا.
هذا وقد قامت Kaspersky بتسمية الرماز باسم Duqu Framework وأكدت بأنه لم يكتب بأي من اللغات التالية: C++, Objective C, Java, Python, Ada, Lua وقد تم التحقق من العديد من اللغات البرمجية الأخرى سلبًا.
إن التعقيد البرمجي في هذا التروجان لأمر واحد، لكن حقيقة أنه تم إنشاء لغة برمجية جديدة تمامًا خصيصًا له، يشير إلى نواح جادة وعميقة خلف هذا المشروع.
فيما يلي أهم النقاط التي خلصت إليها Kaspersky:
* إطار عمل Duqu تمت كتابته بلغة برمجية غير معروفة.
* بخلاف بقية أجزاء Duqu فإنه لم يكتب بـ C++ ولم يتم تجميعه وربطه باستخدام Microsoft Visual Studio 2008.
* إن الهيكلية العالية لسياقة الأحداث event-driven تشير إلى أنه تم تصميم الكود بحيث يمكن استخدامه في أي من الحالات، بما في ذلك للاتصالات غير التزامنية.
* بأخذ حجم مشروع Duqu بعين الاعتبار، فإنه من المحتمل أنه تم استخدام فريق برمجي آخر لكتابة إطار العمل، مختلف عن الفريق الذي قام بكتابة إجرائيات إصابة النظام واستغلال الثغرات الأمنية.
* اللغة البرمجية الغامضة ليست C++, Objective C, Java, Python, Ada, Lua والعديد من اللغات الأخرى المعروفة **قطعًا**.
* بالمقارنة مع Stuxnet (المكتوبة بشكل كامل باستخدام MSVC++)، فإن هذه النقطة تميّز إطار عمل Duqu عن Stuxnet بشكل قطعي.
ولمن لم يسمع بـ Duqu من قبل، فإنه تروجان تم اكتشافه في سبتمبر 2011 المنصرم، لكن Kaspersky تشير إلى أنها تعتقد بأنها صادفت أجزاء من الرماز المصدري المستخدم في Duqu، يعود إلى أغسطس 2007. وكما هي Stuxnet قبله، فإن Duqu صُمّم بشكل أساسي لاستهداف المنشآت النووية الإيرانية.