'Stuxnet en Duqu zijn niet alleen'

Beveiligingsbedrijf Kaspersky kwam deze week naar buiten met een uitgebreide analyse. Het bedrijf deed ruim twee maanden onderzoek naar Duqu. De conclusie is dat Stuxnet en Duqu gebaseerd zijn op hetzelfde platform, waar ook andere malware op gebouwd werd. Kaspersky noemt dit platform Tilded.

"Uit de details over dit platform blijkt dat er waarschijnlijk tenminste nog één andere spywaremodule gebouwd werd op basis van dit platform tussen 2007 en 2008. Ook diverse andere programma's werden tussen 2008 en 2010 gebouwd. De functie van die programma's is op dit moment onbekend", schrijven de onderzoekers van Kaspersky op hun blog.

Gelijktijdige projecten

De onderzoekers concluderen verder dat Stuxnet en Duqu vermoedelijk gelijktijdig werden ontwikkeld. Ook zouden ze door hetzelfde team zijn gemaakt. Volgens Kaspersky zijn er nu vier drivers voor de malware gevonden.

Tot nu toe waren er drie drivers bekend, maar het beveiligingsbedrijf ontdekte een nieuw bestand. Tijden het researchen van een Duqu-infectie ontdekten de onderzoekers een bestand met de naam rtniczw.sys. De virusscanner identificeerde het bestand als Rootkit.Win32.Stuxnet.a, maar er werden geen bestanden gevonden uit de Stuxnet-stal. Wel vonden de onderzoekers bestanden die bij Duqu horen.

Bijna gelijk aan Stuxnet-driver

Het nieuwe bestand lijkt erg op de driver die Stuxnet gebruikt, mrxcls.sys, maar de bestandgrootte en encryptiesleutel zijn verschillend. Beide drivers gebruiken een certificaat dat gestolen is bij Realtek. Het certificaat van het nieuwe bestand bleek ouder te zijn.

De originele Stuxnet-driver was 18 maart 2010 getekend met een Realtek-certificaat terwijl het certificaat van het nieuwe bestand op 25 januari 2010 van een handtekening voorzien werd. De rtniczw.sys-driver werd door Kaspersky maar bij één infectie aangetroffen. Wereldwijd is het ook maar één andere keer aangetroffen: het bestand werd vanuit China naar VirusTotal verstuurd om het te laten scannen.