„Duqu“ yra sudėtingas „trojanas“, sukurtas liūdnai pagarsėjusio kirmino „Stuxnet“ autorių. Pagrindinis „Duqu“ tikslas – gauti prieigą prie sistemos bei pavogti konfidencialią informaciją.
Pirmą kartą šis „trojos arklys“ buvo rastas 2011 metų rugsėjį, tačiau, pasak „Kaspersky Lab“, su „Duqu“ susiję pėdsakai leidžia teigti, jog kenkėjas buvo sukurtas dar 2007 metų rugpjūtį.
Saugumo specialistai užfiksavo daugiau nei tuziną incidentų, susijusių su šia kenkėjiška programa, o dauguma „Duqu“ aukų buvo Irane. Nukentėjusių organizacijų ir kenkėjo renkamos informacijos analizė parodė, kad pagrindinis „trojano“ kūrėjų tikslas – vogti informaciją apie automatizuotas kontrolės sistemas, naudojamas įvairiose pramonės šakose, o taip pat rinkti duomenis apie Irano organizacijų komercinius santykius.
Vienas iš svarbiausių neišspręstų klausimų, susijusių su „Duqu“, – kaip jis bendrauja su centriniais serveriais po to, kai užkrečiami aukų kompiuteriai. Modulis, atsakingas už bendravimą su serveriu, yra dalis „Duqu“ bibliotekos su pagrindiniu kodu („Payload DLL“). „Kaspersky Lab“ ekspertų atliktas išsamus bibliotekos tyrimas parodė, kad dalis kodo, kuris yra atsakingas už ryšius su serveriu, parašytas nežinoma programavimo kalba. Šią ekspertai pavadino „Framework Duqu“.
Skirtingai nei likusi „Duqu“ kodo dalis, „Framework Duqu“ nėra parašyta C++ programavimo kalba. Spėjama, kad autoriai galėjo panaudoti savo priemones tarpiniam kodui generuoti C programavimo kalba, arba jie pasinaudojo visiškai nežinoma programavimo kalba. Bet kokiu atveju, ekspertai priėjo išvadą, kad kalba yra objektiškai orientuota ir puikiai tinka tinklo programoms kurti.
Kalba, tapusi „Framework Duqu“ pagrindu, yra labai specializuota. Tai leidžia „Payload DLL“ savarankiškai dirbti nuo kitų „Duqu“ modulių ir prisijungti prie pasirinkto serverio keliais būdais, taip pat ir per HTTP, proxy serverius ir t.t.
Ji taip pat leidžia bibliotekai apdoroti tiesiogines HTTP užklausas iš komandų serverio, nepastebimai išsiųsti pavogtus duomenis iš užkrėsto kompiuterio ir netgi gali išsiųsti papildomų kenkėjiškų modulių į kitus tinkle esančius kompiuterius, t.y. turi galimybę kontroliuoti ir slapta platinti infekciją tarp kitų kompiuterių.
„Kaspersky Lab“ ekspertų teigimu, specializuotos programavimo kalbos sukūrimas rodo, kad jos kūrėjai turi aukščiausio lygio kvalifikaciją. Kartu tai parodo, kad „Duqu“ idėjos įgyvendinimui buvo mobilizuoti dideli finansiniai ir žmogiškieji ištekliai.
