Duqu - nowy trojan do ataków ukierunkowanych

27-10-2011, 19:42

Choć wykrytego w ubiegłym tygodniu trojana Duqu media zdążyły już okrzyknąć następcą Stuxneta, który atakował instalacje przemysłowe w Iranie, eksperci powstrzymują się od kategorycznych stwierdzeń i wciąż badają różne warianty szkodnika. Z dotychczasowych ustaleń wynika, że jest to uniwersalne narzędzie wykorzystywane do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów.

Jak zapewne pamiętają czytelnicy DI, Stuxnet posłużył w ubiegłym roku do przeprowadzenia chyba najgłośniejszego w historii sabotażu przemysłowego - Iran potwierdził, że opóźnione uruchomienie elektrowni atomowej w Bushehr miało związek z atakiem tego właśnie szkodnika. Nawiasem mówiąc, niektóre media przypisały jego stworzenie Izraelowi (przy współpracy ze Stanami Zjednoczonymi). Pojawiły się też pogłoski o tym, że Stuxnet dostał się w ręce Anonymous.

W nowo odkrytym trojanie Duqu zarówno dziennikarze, jak i niektórzy specjaliści zaczęli się dopatrywać następcy Stuxneta. Szeroki rozgłos zyskała wstępna sugestia analityków firmy Symantec, że celem Duqu ma być kradzież certyfikatów z Organizacji Certyfikujących, przy pomocy których można podpisać szkodliwy kod w celu utrudnienia jego wykrywania. Eksperci z Kaspersky Lab zwracają uwagę, że „Funkcjonalność backdoora zawartego w Duqu jest dość złożona i może mieć więcej zastosowań. Zasadniczo, można powiedzieć, że szkodnik potrafi kraść wszystko”.

Obrazek załączony w kodzie trojana Duqu
fot. Kaspersky Lab - Obrazek załączony w kodzie trojana Duqu
Panuje powszechne przekonanie, że trojan ten został napisany prawdopodobnie przez te same osoby, które stworzyły wspomnianego wcześniej Stuxneta. Według Catalina Cosoi, szefa Bitdefender Online Threats Lab, zagrożenia te nie są ze sobą związane. „Stuxnet z powodzeniem został poddany inżynierii wstecznej i jego kod stał się dostępny publicznie na początku tego roku. Obecnie Stuxnet służy jako źródło inspiracji dla cyberprzestępców. Jego kod stanowi otwarte źródło dla społeczności twórców wirusów, przede wszystkim przynosząc miliony dolarów na ich badania i rozwój” - twierdzi Cosoi.

Czytaj także: Cyberataki na infrastrukturę strategiczną przybierają na sile

Jak wspomnieliśmy wyżej, Stuxnet został stworzony w celu przeprowadzania sabotażu przemysłowego. Główną funkcją Duqu jest prawdopodobnie otwieranie tylnych drzwi do zainfekowanego systemu i ułatwianie kradzieży zgromadzonych w nim informacji. To podstawowa różnica między tymi zagrożeniami. Warto też zauważyć, że o ile Stuxnet potrafił powielać się z jednego komputera na inny przy użyciu różnych mechanizmów, to Duqu wydaje się pozbawiony zdolności samodzielnego rozpowszechniania się.

Na uwagę zasługuje również niewielka liczba wykrytych dotychczas infekcji. Przykładowo, specjaliści z Kaspersky Lab w swoim ostatnim raporcie nt. Duqu piszą o zaledwie czterech takich przypadkach - ofiarą jednego z wariantów trojana padł użytkownik w Sudanie, pozostałe trzy infekcje zlokalizowano w Iranie. Za każdym razem cyberprzestępcy wykorzystali unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku.

Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto także dwie niezbyt od siebie odległe próby ataków sieciowych poprzez lukę MS08-067. Wcześniej była ona wykorzystywana nie tylko przez Stuxneta, ale także przez niesławnego Confickera (którego analitycy tej firmy nazywają Kido). Według Kaspersky Lab oznacza to, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik potrafi wykorzystywać również inne luki w zabezpieczeniach.

Czytaj także: 9-10-11, czyli jak w 10 lat po 11.09 e-woluował terroryzm

Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: „Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel, jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele”.

Removal Tool
fot. BitDefender - Removal Tool
Osoby, które chciałyby przeskanować swój komputer, sprawdzając, czy nie został on zainfekowany nowym trojanem i ewentualnie go usunąć, mogą skorzystać z bezpłatnego narzędzia udostępnionego przez firmę Bitdefender pod adresem www.duquremoval.com.


Źródło: Kaspersky Lab, Symantec, Bitdefender
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy