今日大きなニュースがあった。

  「Stuxnet」のソースコードにアクセスした誰かにより作成された、新しいバックドアが発見されたのだ。

  「Stuxnet」のソースコードは世間に出回っていない。元々の作者だけが持っている。ということは、この新たなバックドアは、「Stuxnet」を作成した関係者によるもの、ということになる。おそらくは、歴史上最も重要なマルウェアである「Stuxnet」についての再確認は、我々のQ&Aをご覧頂きたい。

  「Stuxnet」とは異なり、「Duqu」として知られる新たなバックドアは、オートメーション、あるいはPLCギアを標的としていない。その代わり、同バックドアは予備調査のために使用される。「Duqu」は感染したシステムから、将来の攻撃のため、さまざまな情報を収集する。最終的には、「Duqu」により集められた情報をもとに、PLCシステムを標的とした新たな攻撃が行われる可能性がある。

  「Duqu」と「Stuxnet」のコードの類似は明らかだ。「Duqu」のカーネルドライバ(JMINET7.SYS)は、「Stuxnet」のドライバ(MRXCLS.SYS)と非常に似ており、我々のバックエンドシステムは実際、それを「Stuxnet」と認識した:

Duqu / Stuxnet 2

  「Stuxnet」ドライバは、「RealTek」および「JMicron」という名の台湾の企業に帰属する、盗まれた証明書で署名されている。

  「Duqu」は、「C-Media Electronics Incorporation」という台湾の企業に帰属する、盗まれた証明書でサインされたドライバを有する。

  このドライバはしかし、現在も「JMicron」からのものだと主張している。

Duqu / Stuxnet 2

  「Duqu」に関するリサーチで今のところ最良のものは、Symantecによるものだ。彼らはしばらく調査を行っており、今日、これに関する46ページのホワイトペーパーを公開した。

  「Duqu」は米国政府により書かれたのか? あるいはイスラエルか? 我々には分からない。

  標的はイランだったのか? 我々には分からない。

  エフセキュア アンチウイルスは「Duqu」を「Gen:Trojan.Heur」検出の一つで検出している。

PS. 偶然にも、「ISS Source」というWebサイトが今日、Google、MicrosoftおよびOracleにより作成された新たな「Stuxnet的ワーム」に関して述べている混乱した記事を発表した。我々はこの記事が正確だとは思わない。

追記:「Duqu」の分析を含む解説をWebに掲載した。

  上記で言及された同ファイルのSHA-1ハッシュは以下の通り:

jminet7.sys – d17c6a9ed7299a8a55cd962bdb8a5a974d0cb660
netp191.PNF – 3ef572cd2b3886e92d1883e53d7c8f7c1c89a4b4
netp192.PNF – c4e51498693cebf6d0cf22105f30bc104370b583
cmi4432.PNF – 192f3f7c40fa3aaa4978ebd312d96447e881a473
cmi4432.sys – 588476196941262b93257fd89dd650ae97736d4d
cmi4464.PNF – f8f116901ede1ef59c05517381a3e55496b66485
trojan-spy – 723c71bd7a6c1a02fa6df337c926410d0219103a