Duquフレームワークを書いた人間は<del>未知の</del>プログラミング言語を操る(追記あり)

Duquフレームワークを書いた人間は<del>未知の</del>プログラミング言語を操る(追記あり) 1

謎多きワームですね。

Duqu Trojanは悪質極まりないコードで、これだけ高度なのは亜種の「Stuxnet」ぐらいだろう、と言われてます。

このトロイの木馬をロシアのセキュリティ会社カスペルスキー・ラボ(Kaspersky Lab)が分析してみたところ、「Payload DLL」という怪しげな名前のファイル中に、なんと未知のプログラミング言語で書かれてる部分が複数あることがわかりました。

しかもこのセクション(「Duqu Framework」という愛称をつけた)、プログラムのコマンド&コントロール(C&C)機能を司る部位で、あるシステムに侵入後、追加の指示をここで受け取ることができるんですね。プログラムの残り部分はC++言語で作成・コンパイルされているのに、どうしたわけかこの Duqu Frameworkだけが...違うのです。

オブジェクト指向のものであることは確かだ」と同社エキスパートの

イゴール・スーメンコフ(Igor Soumenkov)氏は書いてますが、どのアナリストたちも未だかつて見たこともないものらしいんですね。

 

カスペルスキー・ラボはこれに先立ち、1月に「DuquとStuxnetの作成集団が他のマルウェアも作成」というリリースを出していますけど、この3月の発見でまたまた「StuxnetもDuquも高度なハッカー集団と巨大資本がついてる国家プロジェクトから生まれたものではないの?」という噂に拍車がかかりそうですね。

カスペルスキー・ラボのチーフセキュリティエキスパートのアレキサンダー・ゴスチェフ(Alexander Gostev)氏はこう書いてます。

「このプログラミング言語は、カスタマイゼーションと排他性をかなり高度に織り込んでつくられたものだ。そこから判断して、こうしたサイバースパイ活動とC&Cとのインタラクションを部外の団体に察知されるのを阻止する意図だけでなく、この不正プログラムに追加のパートを書く担当の部内の他のDugu開発チームから隔てておく目的もあった、という可能性もある」

興味深いですね。

因みにDuquは昨年9月、Stuxnetがイラン核開発施設を攻撃した後に初めて現れました。Duquも攻撃対象はイランの国益・産業用制御システムという話です。

UPDATE: カスペルスキーの記事には1週間で200件以上の参考意見が寄せられ、その結果なんと、未知というか、忘却の彼方のカスタムのC言語であることが判明しました!!! カスペルスキーは「(書いたのは)熟練の『オールドスクール』の開発者に違いない」と自信満々で言ってますよ。

[Secure List via CBR]関連:Kaspersky Lab のエキスパート:Duqu と Stuxnet の作成集団が他のマルウェアも作成

ANDREW TARANTOLA(原文/satomi)