روشن‌شدن زوایای دیگری از فعالیت استاکس‌نت و دوکو

اطلاعات جدید درباره آلودگی به تروجان‌های دوکو و استاکس‌نت مؤید آن است که یک تیم روی این خانواده از برنامه‌های مخرب کار می‌کند و همچنین این فرض را ممکن می‌سازد که از پلتفرمی استفاده شده باشد که با هدف‌های خاص به‌طور انعطاف‌پذیر قابل انطباق است.

به گزارش مؤسسه دید‌بان آی‌تی (روابط عمومی کسپرسکی در ایران) علاوه بر این، این پلتفرم ممکن است مدت‌ها قبل از انتشار استاکس‌نت ایجاد شده و بسیار فعال‌تر از آنچه تاکنون فرض شده است، مورد استفاده قرار گرفته باشد.

متخصصان کسپرسکی این نتیجه‌گیری را براساس تجزیه و تحلیل دقیق درایورهای استفاده شده برای آلوده کردن سیستم‌ها به دوکو و استاکس نت و نیز برخی برنامه‌های مخرب که جزئیات آنها تاکنون شناخته نشده است، عنوان کرده‌اند.

به اعتقاد متخصصان آزمایشگاه کسپرسکی، این پلتفرم که Tilded نامگذاری شده است (به‌دلیل تمایل ایجادکننده‌های آن به استفاده از فایل‌هایی که با نمادنویسه tilde (~) شروع می‌شوند)، برای ایجاد استاکس‌نت و دوکو و نیز برنامه‌های مخرب دیگر استفاده شده است.

ارتباط بین دوکو و استاکس‌نت حین تجزیه و تحلیل یکی از رویدادهای مرتبط با دوکو آشکار شد. حین بررسی سیستم آلوده که گمان می‌رفت در آگوست سال 2011 مورد حمله قرار گرفته باشد، یک درایور شناسایی شد که با درایور استفاده شده به وسیله یکی از نسخه‌های استاکس‌نت مشابه بود. گرچه شباهت آشکاری بین دو درایور وجود داشت، تفاوت‌هایی نیز در جزئیات آنها مانند تاریخ امضای گواهی دیجیتال دیده شد. فایل‌های دیگری که امکان نسبت دادن آنها به فعالیت استاکس نت وجود داشته باشد، شناسایی نشد، اما نشانه‌هایی از فعالیت دوکو وجود داشت.

پردازش اطلاعات به دست آمده و جست‌وجوی بیشتر در پایگاه داده برنامه‌های مخرب آزمایشگاه کسپرسکی امکان آشکار کردن یک درایور دیگر با ویژگی‌های مشابه را میسر ساخت. این درایور بیش از یک سال پیش کشف شد، اما فایل آن در ژانویه سال 2008، یک سال قبل از ایجاد درایورهای استفاده‌شده به وسیله استاکس‌نت کامپایل شده بود.متخصصان آزمایشگاه کسپرسکی مجموعاً 7 نوع درایور با ویژگی‌های مشابه را شناسایی کردند. لازم به ذکر است که هیچ اطلاعاتی تاکنون درباره 3 مورد از آنها به دست نیامده است، به‌خصوص اینکه با کدام برنامه مخرب استفاده شده‌اند.

الکساندر گوستف، متخصص ارشد امنیت در آزمایشگاه کسپرسکی، اظهار داشت: «درایورهای برنامه‌های مخربی که هنوز شناخته نشده‌اند را نمی‌توان به فعالیت تروجان‌های استاکس‌نت و دوکو نسبت داد. شیوه‌های انتشار استاکس‌نت، ممکن است آلودگی‌های بسیاری را با استفاده از این درایورها موجب شده باشد و به‌دلیل تاریخ کامپایل، نمی‌توان آنها را به تروجان هدفمندتر دوکو نیز نسبت داد. معتقدیم که این درایورها یا در نسخه قدیمی‌تر دوکو استفاده شده‌اند و یا برای آلودگی با استفاده از برنامه‌های مخرب کاملاً متفاوتی به کار رفته‌اند که گذشته از این، پلتفرم یکسانی دارند و احتمالاً توسط یک تیم ایجاد شده‌اند.»
براساس تفسیر متخصصان آزمایشگاه کسپرسکی، تبهکاران سایبری که دوکو و استاکس‌نت را ایجاد کرده‌اند، نسخه جدید درایور را چند بار در سال ایجاد می‌کنند که برای بارگذاری ماژول اصلی برنامه مخرب استفاده می‌شود.به‌محض حمله‌های جدید برنامه‌ریزی‌شده، چند پارامتر درایور مانند کلید رجیستری با کمک یک برنامه خاص تغییر داده می‌شود. این فایل بسته به نوع کار می‌تواند به وسیله یک گواهی دیجیتال حقوقی نیز امضا شود یا به‌طور کلی بدون امضا باقی بماند.

بنابراین، دوکو و استاکس‌نت پروژه‌های جداگانه‌ای هستند که براساس پلتفرمی به نام Tilded ایجاد شده و حدوداً در اواخر سال2007 و اوایل سال2008 تولید شده‌اند. این پروژه به احتمال زیاد تنها پروژه نبوده است، اما اهداف و کارهای انواع مختلف برنامه تروجان تاکنون شناخته نشده است. نمی‌توان انکار کرد که این پلتفرم همچنان توسعه خواهد یافت. علاوه بر این، کشف دوکو توسط متخصصان امنیت بدین معناست که تغییرات بیشتری روی پلتفرم در حال انجام است یا در آینده انجام خواهد شد.نسخه کامل گزارش الکساندر گوستف و ایگور سامنکوف در Securelist موجود است.