اطلاعات جدید درباره آلودگی به تروجانهای دوکو و استاکسنت مؤید آن است که یک تیم روی این خانواده از برنامههای مخرب کار میکند و همچنین این فرض را ممکن میسازد که از پلتفرمی استفاده شده باشد که با هدفهای خاص بهطور انعطافپذیر قابل انطباق است.
به گزارش مؤسسه دیدبان آیتی (روابط عمومی کسپرسکی در ایران) علاوه بر این، این پلتفرم ممکن است مدتها قبل از انتشار استاکسنت ایجاد شده و بسیار فعالتر از آنچه تاکنون فرض شده است، مورد استفاده قرار گرفته باشد.
متخصصان کسپرسکی این نتیجهگیری را براساس تجزیه و تحلیل دقیق درایورهای استفاده شده برای آلوده کردن سیستمها به دوکو و استاکس نت و نیز برخی برنامههای مخرب که جزئیات آنها تاکنون شناخته نشده است، عنوان کردهاند.
به اعتقاد متخصصان آزمایشگاه کسپرسکی، این پلتفرم که Tilded نامگذاری شده است (بهدلیل تمایل ایجادکنندههای آن به استفاده از فایلهایی که با نمادنویسه tilde (~) شروع میشوند)، برای ایجاد استاکسنت و دوکو و نیز برنامههای مخرب دیگر استفاده شده است.
ارتباط بین دوکو و استاکسنت حین تجزیه و تحلیل یکی از رویدادهای مرتبط با دوکو آشکار شد. حین بررسی سیستم آلوده که گمان میرفت در آگوست سال 2011 مورد حمله قرار گرفته باشد، یک درایور شناسایی شد که با درایور استفاده شده به وسیله یکی از نسخههای استاکسنت مشابه بود. گرچه شباهت آشکاری بین دو درایور وجود داشت، تفاوتهایی نیز در جزئیات آنها مانند تاریخ امضای گواهی دیجیتال دیده شد. فایلهای دیگری که امکان نسبت دادن آنها به فعالیت استاکس نت وجود داشته باشد، شناسایی نشد، اما نشانههایی از فعالیت دوکو وجود داشت.
پردازش اطلاعات به دست آمده و جستوجوی بیشتر در پایگاه داده برنامههای مخرب آزمایشگاه کسپرسکی امکان آشکار کردن یک درایور دیگر با ویژگیهای مشابه را میسر ساخت. این درایور بیش از یک سال پیش کشف شد، اما فایل آن در ژانویه سال 2008، یک سال قبل از ایجاد درایورهای استفادهشده به وسیله استاکسنت کامپایل شده بود.متخصصان آزمایشگاه کسپرسکی مجموعاً 7 نوع درایور با ویژگیهای مشابه را شناسایی کردند. لازم به ذکر است که هیچ اطلاعاتی تاکنون درباره 3 مورد از آنها به دست نیامده است، بهخصوص اینکه با کدام برنامه مخرب استفاده شدهاند.
الکساندر گوستف، متخصص ارشد امنیت در آزمایشگاه کسپرسکی، اظهار داشت: «درایورهای برنامههای مخربی که هنوز شناخته نشدهاند را نمیتوان به فعالیت تروجانهای استاکسنت و دوکو نسبت داد. شیوههای انتشار استاکسنت، ممکن است آلودگیهای بسیاری را با استفاده از این درایورها موجب شده باشد و بهدلیل تاریخ کامپایل، نمیتوان آنها را به تروجان هدفمندتر دوکو نیز نسبت داد. معتقدیم که این درایورها یا در نسخه قدیمیتر دوکو استفاده شدهاند و یا برای آلودگی با استفاده از برنامههای مخرب کاملاً متفاوتی به کار رفتهاند که گذشته از این، پلتفرم یکسانی دارند و احتمالاً توسط یک تیم ایجاد شدهاند.»
براساس تفسیر متخصصان آزمایشگاه کسپرسکی، تبهکاران سایبری که دوکو و استاکسنت را ایجاد کردهاند، نسخه جدید درایور را چند بار در سال ایجاد میکنند که برای بارگذاری ماژول اصلی برنامه مخرب استفاده میشود.بهمحض حملههای جدید برنامهریزیشده، چند پارامتر درایور مانند کلید رجیستری با کمک یک برنامه خاص تغییر داده میشود. این فایل بسته به نوع کار میتواند به وسیله یک گواهی دیجیتال حقوقی نیز امضا شود یا بهطور کلی بدون امضا باقی بماند.
بنابراین، دوکو و استاکسنت پروژههای جداگانهای هستند که براساس پلتفرمی به نام Tilded ایجاد شده و حدوداً در اواخر سال2007 و اوایل سال2008 تولید شدهاند. این پروژه به احتمال زیاد تنها پروژه نبوده است، اما اهداف و کارهای انواع مختلف برنامه تروجان تاکنون شناخته نشده است. نمیتوان انکار کرد که این پلتفرم همچنان توسعه خواهد یافت. علاوه بر این، کشف دوکو توسط متخصصان امنیت بدین معناست که تغییرات بیشتری روی پلتفرم در حال انجام است یا در آینده انجام خواهد شد.نسخه کامل گزارش الکساندر گوستف و ایگور سامنکوف در Securelist موجود است.