دودة جديدة تضرب إيران والسّودان

في منتصف الشهر الحالي ظهرت تقارير تتحدث عن ظهور دودة جديدة مشابهة لدودة Stuxnet والتي ضربت المفاعلات النووية الإيرانيّة في منتصف 2010. وبعيداً عن الجدل الدّائر حول إذا ما كان الفريق الذي طوّر Stuxnet هو نفسه الذي قام بتطوير الدودة الجديدة والتي اطلق عليها Duqu، أمّ أنّه فريق مختلف، فإن الأمر المؤكد هو أنّ هذه الدّودة متطورة بشكل كبير جدّاً. فمختبرات شركة الحماية كاسبيرسكي قد أظهرت وجود أربع إصدارات من هذه الدودة حتى اللحظة، ثلاثة منها في إيران والرابع في السودان.

كل نوع من هذه الأنواع (او  التعديلات) للدّودة تستخدم آلية إصابة للنظام مختلفة. ففي حالة استخدمت موجّه يستخدم شهادة رقميّة مزيفة، وفي حالات أخرى لم يستخدم الموجّه أي شهادة. وفي بعض الحالات كان هناك مؤشرات على وجود إصابة بالدودة ولكن لم يعثر على الملفات أثناء دراستها. هذا اعطى إنطباع للباحثين أنّ الدودة تغير من هدفها والذي لا زال معروفاً حتى الآن تبعاً للحاسوب أو النّظام الذي قامت بإصابته.

أحد الدراسات التفصليّة لهذه الدودة قامت بها شركة سيمانتك، والتي ذكرت أنّها حصلت على عيّنة مخبريّة لهذه الدودة في الرابع عشر من الشهر الحالي (اكتوبر تشرين اول). حيث ذكرت الدّراسة أن العيّنة التي تمّت دراستها أظهرت العديد من أوجه الشبه بين هذه الدودة و Stuxnet إلى الحدّ الذي دفع القائمين عليها للقول بأن Duqu هي ابنة (أو ابن) Stuxnet، أو Stuxnet 2.0.

ما نعرفه عن الدّودة حتى الآن؟

الدودة اطلق عليها اسم Duqu لأنّها تقوم بإنشاء ملفات مسبوقة بالأحرف DQ. العينة التي حصلت عليها شركة Symantec مصدرها هو مؤسسة أوروبيّة. الهدف الظاهر للدودة وفقاً ل Symantec هو جمع المعلومات (وإن كان الهدف الحقيق غير معلوم لغاية الآن) من شركات صناعيّ وغيرها من أجل استخدامها في هجمات مستقبلية. Duqu لا تحتوي على اكواد متعلقة بأنظمة التحكم الصناعي وفقاً ل Symantec، فهي بدرجة أساسية مشابهة لتروجانات التحكم عن بعد (المعروفة ب RAT)، والتي تسمح للمهاجم بالتحكم عن بعد بحاسوب الضحية. الدودة تقوم بتحميل برنامج لسرقة المعلومات والذي يقوم بتسجيل جميع المفاتيح التي قام الضحيّة بضغطها في لوحة مفاتيحه بالإضافة إلى معلومات أخرى وارسالها للمهاجم.

Duqu تستخدم كلاً من HTTP و HTTPS للاتصال بخادم التحكم والاتصال وعنوانه 206.1830.111.97 وهو موجود في الهند. السلطات الهندية قامت اليوم (29-10) بمصادرة بعض العتاد من هذا الخادم ضمن إطار التحقيق في هذه الدودة. Duqu استخدمت هذا الخادم في تثبيت البرنامج الذي يقوم بسرقة المعلومات. حيث تقوم الدودة بتشفير البيانات التي تمّ جمعها تمهيداً لإرسالها.

Duqu تقوم باستخدام برتوكول اتصال للتحكم والاتصال مخصص لها، يقوم مبدئيّاً بتحميل أو رفع ما يبدو أنّه ملف صوري بامتداد jpg. ولكن بالإضافة لهذا الملف الوهمي يتمّ كذلك ارسال المعلومات مشفرة من وإلى حاسوب الضحيّة.

أخيراً الدودة مبرمجة لتقوم بحذف ذاتها بعد 36 يوماً من الإصابة، وهو ما يصعب على الخبراء عملية التحقق من الإصابة. وفقاً ل Symantec في بعض الحالات استلمت الدودة أوامر من أجل البقاء مدّة اطول من 36 يوماً.

تحديث 1 – 1-11-2011:

تم العثور على أحد الملفات التي تقوم بتحميل الدودة على حاسوب الضحيّة حيث تبين أنّها عبارة عن ملف مايكروسوفت وورد يحتوي على استغلال لثغرة اليوم صفر في نواة نظام ويندوز. مايكروسوفت قالت أنّها تقوم بدارسة الثغرة لاصدار ترقيع في أقرب وقت.

سنقوم إن شاء الله بتغطيّة مفصّلة لهذا الموضوع قريباً.