• Не встиг світ толком розібратися з грізним хробаком Stuxnet, розробленим явно не без допомоги державних спецслужб, як в Мережі з'явився DUQU, що використовує той же вихідний код. На думку Берда Ківі, у ґрунтовно доопрацьованого спадкоємця є всі шанси перемогти батька, але що саме стане його метою?
    Під час Другої світової війни мав одного разу місце такий випадок. Зовсім молода по тим часам американська розвідслужба OSS (з якої згодом вийшло ЦРУ) на прохання англійських колег зайнялася викраденням криптографічних ключів Іспанії. Дуже вже британцям було потрібно регулярно читати шифровану дипломатичне листування генерала Франко, як одного з головних союзників Гітлера в Європі, а аналітичними методами іспанські шифри розкрити не вдавалося.
    Викрадення криптоключей відбувалося абсолютно тривіальним чином. У відповідну ніч умільці по злому з OSS проникали в іспанське посольство у Вашингтоні і копіювали потрібний англійцям черговий комплект ключів. Щоправда, оскільки комплекти мінялися кожен місяць, то й нічні візити в посольство доводилося наносити теж щомісяця. І ось, після завершення четвертого з таких відвідин, співробітників американської розвідки ФБР заарештувало США...
    Звичайно ж, сталося це зовсім не випадково і не через непорозуміння. Просто голова ФБР Едгар Гувер - у роки війни став ще і головним контррозвідником країни - був абсолютно впевнений, що подібного роду таємні справи на американській території можуть відбуватися тільки з його відома і під його контролем. А оскільки шеф зовнішньої розвідки Вільям Донован про операції в іспанському посольстві не тільки з Гувером не радився, але і взагалі не вважав за потрібне ставити його, то директор ФБР вирішив як слід провчити зарвалися шпигунів з суміжного відомства.br/>Нічого путнього, втім, з цього уроку не вийшло. Розлючений Донован (відомий також під прізвиськом Дикий Білл) велів своїм співробітникам зібрати на Гувера суворий компромат. А коли такий був здобутий, всі проблеми розвідки з ФБР стали вирішуватися легко і просто - елементарним методом під назвою «цинічний і нещадний шантаж». Але це вже зовсім інша історія...
    Попередження про загрозу
    Цей кумедний епізод сьогодні ми згадуємо ось з якої причини. Під кінець жовтня відразу кілька державних відомств США, що відповідають за певні аспекти національної безпеки країни, випустили інформаційні бюлетені з попередженнями про нової комп'ютерної загрозу - шкідливої програми під назвою DUQU (читати це буквосполучення в англомовному середовищі пропонується як «дью-кью», однак для російської мови куди більш природно було б просто «дуку»).
    На фоні величезної кількості різноманітних шкідливих кодів, постійно з'являються в системах і мережах, програма DUQU виділяється як особливо небезпечна тим, що несе в собі безперечні особливості фамільного подібності і загального походження зі знаменитим «хробаком черв'яків» по імені Stuxnet. Нагадаємо, в минулому році він просто-таки вразив антивірусну індустрію і мережеву публіку в цілому своєї небувалою складністю і витонченістю. А конкретно для Ірану Stuxnet став проблемою, серйозно затормозившей прогрес у збагачення урану і національну ядерну програму в цілому.
    І хоча документальних - або тим більше офіційних - підтверджень цьому немає, серед фахівців практично ніхто не сумнівається, що створенням коду Stuxnet займалися в секретних лабораторіях державних спецслужб. Більше того, є достатня кількість свідчень, які недвозначно вказують на розвідки держав, які приклали до нього руку, а саме США і Ізраїлю.
    Інакше кажучи, є наступні факти нашої дивною життя. В комп'ютерах безлічі різних держав оголошується нова, досить складні шпигунська програма, за своїм ключовим ознаками явно спрацьована за участю розвідки США. А у відповідь американські органи безпеки начебто DHS (Департамент держбезпеки) і ICS-CERT (Реагування на кіберзагрози в області систем промислового управління) розсилають документи про те, як цієї важковловлюваної напасті слід протистояти (якщо «віджати» всі багатослівні рекомендації, то виходить, що, у загальному-те, ніяк, крім регулярного оновлення штатних антивірусів).
    З одного боку, звичайно, було б дивно, якби не було ніякої реакції взагалі - враховуючи вкрай нервове ставлення суспільства до появи Stuxnet. З іншого ж боку, незрозуміло, яким чином одні структури держави здатні реально захищати від інших - більше потужних, ефективних і засекречені.
    Готових відповідей на такі питання, природно, ні в кого немає. Але щоб краще зрозуміти суть проблеми і масштаб обозначившейся загрози, має сенс детальніше розглянути історію появи Дуку та особливості пристрою цієї цікавої програми.
    Історія явища DUQU
    Хоча першою офіційною публікацією про виявлення нової шкідливої програми, що несе в собі відомі ознаки Stuxnet, став звіт антивірусної фірми Symantec від 17 жовтня цього року, реальна історія виявлення DUQU антивірусним співтовариством почалася на півтора місяці раніше.
    Причому основну роль зіграли угорські дослідники та іспанський антивірусний проект VirusTotal. VirusTotal.com - це веб-сервіс, організований у свій час фірмою Hispasec з Малаги, де здійснюється «тотальний аналіз» присилаються сюди підозрілих файлів за допомогою безлічі різних антивірусних систем. На виході надається список імен впізнання, присвоєних даному шкідливого коду різними компаніями (якщо, звичайно, такий код був вже ким-то виявлений раніше). Нині VirusTotal є спільним підприємством всього антивірусного спільноти. На даний момент кількість набраних разом антивірусних програм становить 43, а кожен новий виявлений зразок коду-шкідника оперативно надсилається всім компаніям і лабораторій, які беруть участь у роботі сервісу.
    Саме тут і сталося «перше побачення» DUQU з антивірусним співтовариством, коли 1 вересня 2011 року якийсь невідомий джерело з Угорщини надіслав в VirusTotal на предмет сканування підозрілий файл під назвою ~DN1.tmp. Найбільш відомі антивірусні програми не побачили в цьому файлі нічого підозрілого, проте два менш популярних движка, BitDefender і AVIRA (точніше, чотири працюють на них антивірусні програми), детектировали його як шкідливий троянець-шпигун. Незабаром після цього початкового детектування цей файл був доданий до бази даних багатьох антивірусних фірм. Проте абсолютно нічого примітного у зв'язку з цим далі не сталося - просто звичайний