กรุงเทพฯ--14 มี.ค.--พิตอน คอมมิวนิเคชั่น
ผู้เชี่ยวชาญการต่อต้านมัลแวร์ของแคสเปอร์สกี้ แลป ได้ค้นพบส่วนหนึ่งของโทรจัน Duqu ที่เขียนด้วยภาษาโปรแกรมมิ่งที่ไม่มีใครรู้จักมาก่อน ในชื่อ Duqu Framework
ผู้เขียนโทรจัน Duqu ที่มีความซับซ้อนนี้ คือผู้เขียนเดียวกับเวิร์มชื่อดัง Stuxnet เป้าหมายหลักของ Duqu คือการเข้าทางแบ็คดอร์ของระบบและโจรกรรมข้อมูลส่วนบุคคล Duqu ถูกพบครั้งแรกเมื่อเดือนกันยายน 2554 แต่ตามบันทึกของแคสเปอร์สกี้ แลป พบว่ามัลแวร์ที่เกี่ยวข้องกับ Duqu ตั้งแต่เดือนสิงหาคม 2550 ในเหตุการณ์กว่า 12 ครั้ง โดยเหยื่อการคุกคามหลักๆจะอยู่ในประเทศอิหร่าน การวิเคราะห์กิจกรรมขององค์กรที่ตกเป็นเหยื่อและลักษณะของข้อมูลที่เป็นเป้าหมายหลัก พบว่า จุดประสงค์หลักของการโจมตี คือ การโจรกรรมข้อมูลที่เกี่ยวข้องกับระบบควบคุมอุตสาหกรรมซึ่งเป็นคลังข้อมูลความรู้ด้านความสัมพันธ์ทางการค้าขององค์กรในอิหร่านทั้งหมด
นักวิจัยพยายามค้นหาวิธีการที่โปรแกรมมุ่งร้ายใช้สื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุม (Command and Control: C&C) หลังจากที่แพร่เชื้อในเครื่องของเหยื่อคุกคามแล้ว สำหรับ Duqu โมดูลที่ทำหน้าที่สื่อสารกับ C&C ก็คือ Payload DLL นักวิจัยของแคสเปอร์สกี้ แลป ได้วิเคราะห์ Payload DLL พบว่า ส่วนหนึ่งของ Payload DLL ที่สื่อสารโดยตรงกับ C&C เขียนด้วยภาษาโปรแกรมมิ่งที่ไม่เคยปรากฏมาก่อน จึงเป็นที่มาของ “Duqu Framework”
Duqu Framework แตกต่างจากส่วนอื่นๆ เนื่องจากไม่ได้เขียนด้วยภาษา C++ และไม่ได้รวมเข้ากับ Microsoft's Visual C++ 2008 เป็นไปได้ว่าผู้เขียนสร้างโครงร่างขึ้นเองเพื่อสร้างรหัส C เพื่อเป็นตัวกลางสื่อสาร หรืออาจจะใช้ภาษาโปรแกรมมิ่งที่ต่างไปอย่างสิ้นเชิง ทั้งนี้นักวิจัยของแคสเปอร์สกี้ แลป ยืนยันว่า ภาษานี้เป็นอ็อบเจ็คออเรียนเท็ต และกระทำการต่างๆที่เหมาะกับแอพพลิเคชั่นบนเครือข่าย
ภาษาที่ใช้ใน Duqu Framework มีลักษณะเฉพาะทางขั้นสูง สามารถสั่งการ Payload DLL ให้ทำงานอิสระจากโมดูลอื่นๆ สามารถติดต่อกับ C&C ผ่านช่องทางที่หลากหลาย ได้แก่ Windows HTTP ช่องทางเชื่อมต่อเครือข่าย และ Proxy Server นอกจากนี้ ยังสั่งการให้ Payload DLL ประมวลผลรีเควสต์จาก C&C ได้โดยตรง ส่งต่อข้อมูลที่โจรกรรมจากเครื่องไปยัง C&C และยังสามารถแพร่กระจายโปรแกรมมุ่งร้ายไปยังเครื่องอื่นๆในเครือข่ายอีกด้วย
อเล็กซานเดอร์ กอสเตฟ หัวหน้าทีมผู้เชี่ยวชาญด้านความปลอดภัยของแคสเปอร์สกี้ แลป กล่าวไว้ว่า เมื่อพิจารณาขนาดของโครงการ Duqu เป็นไปได้ว่าจะมีทีมเฉพาะกิจที่รับผิดชอบในการสร้าง Duqu Framework แยกจากทีมที่ทำไดรเวอร์และหาจุดอ่อนเพื่อแพร่กระจายเข้าสู่ระบบ ภาษาโปรแกรมมิ่งนี้สร้างขึ้นเฉพาะและปรับแต่งในระดับสูง จึงเป็นไปได้ว่า จะเขียนขึ้นมาเพื่อป้องกันไม่ให้บุคคลภายนอกเข้าใจการทำงานของการจารกรรมไซเบอร์และการติดต่อสื่อสารกับ C&C และยังป้องกันกระทั่งทีม Duqu ที่รับผิดชอบการเขียนส่วนเสริมอื่นๆอีกด้วย
จากคำกล่าวของอเล็กซานเดอร์ กอสเตฟ การสร้างภาษาโปรแกรมมิ่งขึ้นใหม่นี้ แสดงให้เห็นถึงความชำนาญของผู้เขียน และแหล่งเงินทุนและแรงงานเบื้องหลังโครงการนี้
ในการนี้ แคสเปอร์สกี้ แลป ได้ขอความร่วมมือมายังนักโปรแกรมเมอร์ หากท่านใดคุ้นเคยกับรูปแบบ เครื่องมือ หรือภาษาโปรแกรมมิ่งที่สามารถสร้างโค้ดที่คล้ายคลึงกันนี้ โปรดติดต่อมายัง stopduqu@kaspersky.com ทางแคสเปอร์สกี้ แลป หวังเป็นอย่างยิ่งว่า จะสามารถแก้ไขปัญหานี้ได้
ท่านสามารถค้นคว้าข้อมูลเพิ่มเติมเกี่ยวกับ Duqu Framework เขียนโดย อิกอร์ ซูเมนคอฟ และ คอสติน ไรอู ได้ที่เว็บไซต์ www.securelist.com
เกี่ยวกับแคสเปอร์สกี้ แลป
แคสเปอร์สกี้ แลป เป็นผู้นำระดับโลกในด้านซอฟต์แวร์การป้องกันข้อมูลจากการคุกคามทางไซเบอร์ทั้งหมด เช่น ไวรัส สปายแวร์ ไคร์มแวร์ แฮกเกอร์ และสแปม ด้วยโซลูชั่นชั้นนำที่มีการตอบสนองต่อการคุกคามทางไซเบอร์ที่เร็วที่สุดในโลก สำหรับผู้ใช้คอมพิวเตอร์ตามบ้าน องค์กรขนาดเล็กและขนาดกลาง เลยไปจนถึงองค์กรขนาดใหญ่ ไม่เพียงเท่านั้น ผู้นำโซลูชั่นด้านความปลอดภัยหลายแห่งทั่วโลก ในหลายๆ ประเทศก็ใช้เทคโนโลยีของแคสเปอร์สกี้ ในผลิตภัณฑ์และบริการของตนรายละเอียดเพิ่มเติมเกี่ยวกับแคสเปอร์สกี้ โปรดเยี่ยมชมเว็บไซต์ www.kaspersky.com รายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลล่าสุดของซอฟต์แวร์ป้องกันไวรัส สปายแวร์ สแปม หรือประเด็นที่เกี่ยวกับความปลอดภัยด้านไอทีและแนวโน้มเทคโนโลยี โปรดเยี่ยมชมเว็บไซต์ www.securelist.com