Duqu foi escrito por desenvolvedores experientes, diz Kaspersky

O mistério em torno de quem está por trás dos ataques sofisticados Stuxnet e Duqu continua sem ter uma resposta, mas novas evidências mostram que as mentes que pensaram o Duqu se apoiaram em programadores profissionais e em seus códigos de desenvolvimento.

Pesquisadores da Kaspersky Lab anunciaram, nesta semana, que, com a ajuda da comunidade de segurança, eles conseguiram descobrir a origem da linguagem de programação mascarada utilizada para escrever o módulo de comunicações do Duqu. O malware que rouba informação está conectado ao Stuxnet, afirmaram os pesquisadores. Eles também apontaram que os autores dos dois ataques são os mesmos.

Foi descoberto que os atacantes utilizadam a linguagem objected-oriented C compilada com o Microsoft Visual Studio 2008 – o que indica que o responsável não foi um típico escritor de malware, mas alguém que vai além da programação da “velha guarda”, de acordo com os pesquisadores da Kaspersky. “Isso não é comum para escritores de malware, isso é uma certeza”, afirmou Vitaly Kamluk, analista chefe de malware. “Este parece ser um estilo normal para a codificação de aplicativos corporativos.”

Kamluk afirmou que a linguagem utilizada é uma ferramenta muito comum para desenvolvedores de software profissionais, o que sugere que os autores do Duqu não são típicos cibercriminosos. No início deste mês, a Kaspersky  pediu que a comunidade de segurança ajudasse a identificar a linguagem de programação. Porém, parece que ela nunca tinha sido vista até então.

A maioria dos pesquisadores concordam que o Duqu e o Stuxnet vieram da mesma base de códigos, mas que ainda existe o debate sobre se os dois ataques estão relacionados. A empresa de segurança também descobriu que existem pelo menos três outros exploits não relacionados e escritos na plataforma chamada “Tilded”. Mas ainda não conseguiu confirmar quem está por trás das campanhas de ataque, mesmo em meio ao cenário de especulações pesadas que apontam que a ofensiva foi obra de Israel e dos Estados Unidos em uma tentativa de deter o programa iraniano de enriquecimento nuclear.

“Não estamos nem perto da resposta que mostra que país pode estar por trás dessas ações”, afirmou Kamluk. “Temos alguns palpites e estamos pesquisando agressivamente.”

Outros pesquisadores, incluindo o Dell SecureWorks, têm contestado qualquer ligação entre o Duqu e o Stuxnet. Esses profissionais argumentam que só porque foram gerados a partir do mesmo kit de ferramentas, não significa que são parte do mesmo ataque.

A teoria colocada pela Kaspersky afirma que o Duqu foi a peça de reconhecimento do ataque Stuxnet no equipamento da Siemens. Mas SecureWorks diz que não é o caso.

Enquanto isso, já que os pesquisadores da Kaspersky não conseguiram decifrar a linguagem de programação com Duqu, eles pediram ajuda externa. “Nós pensamos que era uma das duas opções: ou C ou uma nova linguagem de programação. É por isso que pedimos ajuda a comunidade”, explicou Kamluk.

Os criadores do Duqu e do Stuxnet foram cuidadosos ao não deixar nenhuma pista que poderia identificar língua falada ou país de origem onde o código foi escrito.

Por que a língua OOC versus C++? A Kaspersky diz que os programadores que usam OOC dizem que é provável que a “velha escola” de desenvolvedores não confie em compiladores C++ e como a portabilidade do OOC. “Ambas as razões parecem indicar que o código foi escrito por uma equipe  experiente”, apontou Igor Soumenkov, um especialista em segurança da Kaspersky Lab.

Saiba mais:

Vírus Stuxnet e Duqu foram criados em 2007, diz pesquisa

Nova ameaça utiliza Stuxnet como base

Microsoft detalha medida paliativa para o Duqu, sucessor do Stuxnet

Cinco dicas para se defender contra o Duqu

Ciberarmas são futuro das ameaças