أجزاء من تروجان Duqu مكتوبة بلغة برمجية غير معروفة، وKaspersky تطلب من المبرمجين مُساعدتها للتعرف عليها

الوقت المقدّر لقراءة هذا المقال: 3 دقيقة و 57 ثانية

في خبر مثير من نوعه، أعلنت شركة Kaspersky الأمنية عن حاجتها لمساعدة مجتمع المبرمجين في “التعرف على اللغة البرمجية” التي كتب بها تروجان Duqu المعروف باسمه الآخر Stuxnet 2.0.

وعلى لسانها، فإن هذا التروجان الخطير جداً قد كتب بشكل جزئي بلغة برمجية غير معروفة، حيث تم ملاحظة أن ملف الحمل payload والذي يقوم بالتواصل بشكل حصري مع مركز الإدارة والتحكم C&C ليأخذ توجيهاته منها بمجرد إصابة نظام ما، يحتوي على شفرة مصدرية لا تشبه أي شيء معروف. في حين أن الخبراء الأمنيين تمكّنوا من معرفة ما يقوم به الرماز الغامض إلا أنهم غير متأكدين من صيغته.

بعض أجزاء الرماز، بما في ذلك الجزء الخاص بتحميل وتنفيذ إضافات برمجية أخرى، كُتبت بلغة C++ القياسية، لكن جزءًا كبيرًا منها كُتب بلغة غير معروفة، حيث لا يحوي هذا الجزء على أي مرجع إلى تابع C++ قياسي أو مكتوب من قبل المبرمج، وربما تمت كتابته من قبل فريق برمجي آخر.

وتضيف شركة Kaspersky بأن الجزء الغريب من الرماز خاص بتروجان Duqu لم يسبق أن شوهد في أي رماز خبيث آخر حيث تم استعارة العديد من الأجزاء مباشرة من فيروس Stuxnet لكن هذا الجزء جديد تمامًا.

هذا وقد قامت Kaspersky بتسمية الرماز باسم Duqu Framework وأكدت بأنه لم يكتب بأي من اللغات التالية: C++, Objective C, Java, Python, Ada, Lua وقد تم التحقق من العديد من اللغات البرمجية الأخرى سلبًا.

إن التعقيد البرمجي في هذا التروجان لأمر واحد، لكن حقيقة أنه تم إنشاء لغة برمجية جديدة تمامًا خصيصًا له، يشير إلى نواح جادة وعميقة خلف هذا المشروع.

فيما يلي أهم النقاط التي خلصت إليها Kaspersky:

  • إطار عمل Duqu تمت كتابته بلغة برمجية غير معروفة.
  • بخلاف بقية أجزاء Duqu فإنه لم يكتب بـ C++ ولم يتم تجميعه وربطه باستخدام Microsoft Visual Studio 2008.
  • إن الهيكلية العالية لسياقة الأحداث event-driven تشير إلى أنه تم تصميم الكود بحيث يمكن استخدامه في أي من الحالات، بما في ذلك للاتصالات غير التزامنية.
  • بأخذ حجم مشروع Duqu بعين الاعتبار، فإنه من المحتمل أنه تم استخدام فريق برمجي آخر لكتابة إطار العمل، مختلف عن الفريق الذي قام بكتابة إجرائيات إصابة النظام واستغلال الثغرات الأمنية.
  • اللغة البرمجية الغامضة ليست C++, Objective C, Java, Python, Ada, Lua والعديد من اللغات الأخرى المعروفة قطعًا.
  • بالمقارنة مع Stuxnet (المكتوبة بشكل كامل باستخدام MSVC++)، فإن هذه النقطة تميّز إطار عمل Duqu عن Stuxnet بشكل قطعي.

ولمن لم يسمع بـ Duqu من قبل، فإنه تروجان تم اكتشافه في سبتمبر 2011 المنصرم، لكن Kaspersky تشير إلى أنها تعتقد بأنها صادفت أجزاء من الرماز المصدري المستخدم في Duqu، يعود إلى أغسطس 2007. وكما هي Stuxnet قبله، فإن Duqu صُمّم بشكل أساسي لاستهداف المنشآت النووية الإيرانية.


هل أعجبك هذا المقال؟ أخبر أصدقاءك عنه Share on Facebook0Tweet about this on TwitterShare on Google+10Share on LinkedIn3Buffer this pageEmail this to someoneShare on Reddit0Share on Tumblr0

عن كاتب المقال:

من محاربي الأسمبلي القدامى. أتقن البرمجة بالعديد من اللغات بما يتناسب مع طبيعة المشاريع التي أعمل عليها. مهتم بالنواحي الأمنية للتطبيقات المكتبية، تطبيقات الويب وأمن الشبكات والأنظمة. الرمادي هو لوني المفضّل.

  • واضح انه مشروع امني مشروع دولة و انا ارجح امريكا طبعا ….فالصينيون غير قادرين على اتقان شيء كهذا ابدا

    • وهل نحن متفوقين على الصين مثلاً حتى نستطيع الحكم على التكنولوجيا الموجودة لديهم أو قدراتهم التقنية؟

  • لغة خاصة عشان الفيروس

    اكيد يا انه وراه مشروع دولة او تخويف ودعاية لمكافحات الفيروسات

    التهديد بالقوة خير من استعمالها

    • عندك مؤشرات عملية يمكنك القياس عليها و بما انك شخص “تقني” المفروض يكون عندك مستوى معين من التفكير المنطقي او الواقعي حسنا اكتفي بهذا القدر من الملاحظة “التشخيصية” ثانيا الابحاث التقنية المتفوقة كلها طالعة من جامعات امريكية مراكز بحوث سواء اكانت مدنية او عسكرية او مختلطة ..بالمناسبة اريني شيء جديد خلاق اوجدته الصين و اعمل بنفسك مقارنةانطلاقا من الريموت كونترول الى تكنولوجيا النانو و يطيب لي ان اظيف معارضتي لامريكا سياسيا لا ينبغي ان تفرض علي تجاهل انجازاتها

  • !!! بالتأكيد وراءه دولة لإن مشاريع مثل هذه تحتاج إلى دعم مادي حتى يتم إنشاء لغة برمجية جديدة غير متداولة لدى كافة المبرمجين

  • بل جيتس هو الي خترعها و ريحوا دماغكوا

  • السلام عليكم ورحمة الله

    برمجة لغات البرمجة و الFramework الشخصية متاحة لاي مبرمج/مطور يتقن ألف باء البرمجة
    + إخفاء أداة التطوير ليس صعب فقط يحتاج وقت

    أمثلة
    1- شخص استخدم التجميع بFasm وشيئ مثل No Import Engine
    http://wasm.ru/src/9/NoImport_engine.zip
    هل سيعرف ؟ خاصة لو لم ينشربموقع Wasm
    2- شخص استخدم بيئة برمجة غير منتشرة مثل Compiler911
    http://www.softpedia.com/get/Programming/Coding-languages-Compilers/Compiler911.shtml
    3- شخص حمل الملفات المصدرية لاي لغة برمجة مفتوحة المصدر وعدل عليها مثال freePascal

    الحالات/الإحتمالا كثيرة ممايجعل تدخل طرف ثالث اسرع وسية للإجابة

  • أنا أوافق أخوي محمد عبدالعزيز بالرأي و لكن على حسب رؤيتي من اللغة فأنا أعرف أنه الشخص أستعمل لغة منخفضة cery-low language ليحدث له لغة خاصة في تصميم هذا الفيروس و هناك إحتمال بأنه استخدم Assembly و أنا حالياً أعمل في غهم بنية هذا الفيروس


  • محمد عبدالعزيز:

    السلام عليكم ورحمة الله
    برمجة لغات البرمجة و الFramework الشخصية متاحة لاي مبرمج/مطور يتقن ألف باء البرمجة
    + إخفاء أداة التطوير ليس صعب فقط يحتاج وقت
    أمثلة
    1- شخص استخدم التجميع بFasm وشيئ مثل No Import Engine
    http://wasm.ru/src/9/NoImport_engine.zip
    هل سيعرف ؟ خاصة لو لم ينشربموقع Wasm
    2- شخص استخدم بيئة برمجة غير منتشرة مثل Compiler911
    http://www.softpedia.com/get/Programming/Coding-languages-Compilers/Compiler911.shtml
    3- شخص حمل الملفات المصدرية لاي لغة برمجة مفتوحة المصدر وعدل عليها مثال freePascal
    الحالات/الإحتمالا كثيرة ممايجعل تدخل طرف ثالث اسرع وسية للإجابة
    7  0

    لا يفتى و مالك في المدينة

  • هل هناك أي أخبار عن من صمم هذا الفيروس؟

  • Pingback: Kaspersky تطلب من مبرمجين قراءة كود تروجان Duqu - مدونة ندى هوست()