De Stuxnetworm en Duqu-virus zijn niet alleen door hetzelfde team gemaakt, ze zijn afkomstig van een speciaal platform voor supermalware dat sinds 2007 in ontwikkeling is. Dat stelt het Russische anti-virusbedrijf Kaspersky Lab in een technische analyse op het eigen weblog. "We denken dat Duqu en Stuxnet gelijktijdige projecten waren, ondersteund door hetzelfde ontwikkelteam", stellen Alexander Gostev en Igor Soumenkov.
Stuxnet was een zeer geavanceerde worm die verschillende Windows-lekken gebruikte om het Iraanse nucleaire programma te ontregelen. Duqu werd dit jaar ontdekt en zou gebruikt zijn om bij een select aantal organisaties en bedrijven in te breken en daar zeer vertrouwelijke gegevens te stelen.
Platform
Aan de hand van gevonden bestanden stellen de analisten dat voor de ontwikkeling van de malware een platform werd gebruikt, wat 'Tilded' wordt genoemd. De ontwikkelaars gebruikten voor een nog onbekende reden steeds bestandsnamen die met een "~d" begonnen. Verder denken de analisten dat er mogelijk nog één andere spyware module is, gebaseerd op hetzelfde platform dat van 2007-2008 dateert, en verschillende andere programma's, waarvan het doel en functionaliteit onduidelijk zijn en die tussen 2008 en 2010 werden ontwikkeld.
Tijdens de analyse van Duqu ontdekte Kaspersky Lab aanwijzingen die een directe relatie met Stuxnet hebben. Op dit moment zijn er vier Stuxnet drivers bekend die de worm gebruikt. De eerste aanpassing van de worm werd gemaakt in 2009 en gebruikte één driver, mrxcls.sys, zonder digitale handtekening.
In 2010 ontwikkelden de makers een tweede driver, mrxnet.sys, die de bestanden van de worm op USB-sticks verborg, en voorzagen de mrxnet.sys en mrxcls.sys drivers van gestolen digitale certificaten, die bij hardwarefabrikant Realtek werden buitgemaakt. Op 17 juli vorig jaar werd een andere driver ontdekt, jmidebs.sys, die erg veel leek op mrxcls.sys, maar gesigneerd was met een gestolen certificaat van hardwarefabrikant Jmicron.
Stuxnet
Op één van de computers die met het Duqu-virus besmet waren, werd een vreemd bestand ontdekt, wat de virusscanner als Rootkit.Win32.Stuxnet.a detecteerde. Dit zou moeten duiden op de mrxcls.sys driver, maar in dit geval waren de bestandsnaam en checksum van het vreemde bestand verschillend. De tot dan toe onbekende rtniczw.sys driver was iets groter dan mrxcls.sys en gebruikte ook een Realtek certificaat, maar de bestanden waren op een verschillende datum gesigneerd. Het nieuwe bestand werd op geen enkele andere computer aangetroffen. De enige andere referentie dateerde van mei dit jaar, toen iemand het bestand vanuit China voor controle naar VirusTotal stuurde.
"We kwamen tot de conclusie dat er andere driverbestanden konden zijn, gelijk aan het "referentiebestand" mrxcls.sys, die zich niet onder de bekende Stuxnet-varianten bevinden." Toen Kaspersky Lab hierop zocht, werd een ander bestand ontdekt dat een jaar geleden al aan de virusverzameling was toegevoegd. Dit bleek inderdaad een nieuwe Stuxnet-driver te zijn. Ook dit bestand, rndismpc.sys, was nog niet eerder op een andere machine aangetroffen.
De drie onbekende driver-bestanden, rndismpc.sys, rtniczw.sys en jmidebs.sys zijn volgens de virusbestrijder niet door Stuxnet gebruikt. "Waren ze door Stuxnet gebruikt, dan hadden ze een veel grotere afdruk achtergelaten dan de individuele gevallen die wij hebben ontdekt. Ten tweede is er geen enkele variant van Stuxnet die met deze drivers werkt", aldus de analisten. Die kunnen niet zeggen of de drivers dan wel door het Duqu-virus zijn gebruikt.
Toekomst
Aan de hand van de verzamelde informatie, stelt het anti-virusbedrijf dat het 'Tilded' platform eind 2007 of begin 2008 is ontwikkeld, voordat het in de zomer/herfst van vorig jaar de grootste veranderingen onderging. Die veranderingen zouden zijn aangewakkerd door ontwikkelingen in de code en de noodzaak om detectie door virusscanners te voorkomen.
"Er waren een aantal projecten tussen 2007 en 2011 waar programma's gebaseerd op het Tilded platform bij bij betrokken waren. Stuxnet en Duqu waren er twee van, er zouden er nog meer kunnen zijn, die tot nu toe nog onbekend zijn. Het platform blijft zich ontwikkelen, wat één ding kan betekenen, dat we in de toekomst waarschijnlijk meer aanpassingen zullen zien", besluiten de analisten.
Deze posting is gelocked. Reageren is niet meer mogelijk.