Choć wykrytego w ubiegłym tygodniu trojana Duqu media zdążyły już okrzyknąć następcą Stuxneta, który atakował instalacje przemysłowe w Iranie, eksperci powstrzymują się od kategorycznych stwierdzeń i wciąż badają różne warianty szkodnika. Z dotychczasowych ustaleń wynika, że jest to uniwersalne narzędzie wykorzystywane do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów.
Jak zapewne pamiętają czytelnicy DI, Stuxnet posłużył w ubiegłym roku do przeprowadzenia chyba najgłośniejszego w historii sabotażu przemysłowego - Iran potwierdził, że opóźnione uruchomienie elektrowni atomowej w Bushehr miało związek z atakiem tego właśnie szkodnika. Nawiasem mówiąc, niektóre media przypisały jego stworzenie Izraelowi (przy współpracy ze Stanami Zjednoczonymi). Pojawiły się też pogłoski o tym, że Stuxnet dostał się w ręce Anonymous.
W nowo odkrytym trojanie Duqu zarówno dziennikarze, jak i niektórzy specjaliści zaczęli się dopatrywać następcy Stuxneta. Szeroki rozgłos zyskała wstępna sugestia analityków firmy Symantec, że celem Duqu ma być kradzież certyfikatów z Organizacji Certyfikujących, przy pomocy których można podpisać szkodliwy kod w celu utrudnienia jego wykrywania. Eksperci z Kaspersky Lab zwracają uwagę, że „Funkcjonalność backdoora zawartego w Duqu jest dość złożona i może mieć więcej zastosowań. Zasadniczo, można powiedzieć, że szkodnik potrafi kraść wszystko”.
Jak wspomnieliśmy wyżej, Stuxnet został stworzony w celu przeprowadzania sabotażu przemysłowego. Główną funkcją Duqu jest prawdopodobnie otwieranie tylnych drzwi do zainfekowanego systemu i ułatwianie kradzieży zgromadzonych w nim informacji. To podstawowa różnica między tymi zagrożeniami. Warto też zauważyć, że o ile Stuxnet potrafił powielać się z jednego komputera na inny przy użyciu różnych mechanizmów, to Duqu wydaje się pozbawiony zdolności samodzielnego rozpowszechniania się.
Na uwagę zasługuje również niewielka liczba wykrytych dotychczas infekcji. Przykładowo, specjaliści z Kaspersky Lab w swoim ostatnim raporcie nt. Duqu piszą o zaledwie czterech takich przypadkach - ofiarą jednego z wariantów trojana padł użytkownik w Sudanie, pozostałe trzy infekcje zlokalizowano w Iranie. Za każdym razem cyberprzestępcy wykorzystali unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku.
Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto także dwie niezbyt od siebie odległe próby ataków sieciowych poprzez lukę MS08-067. Wcześniej była ona wykorzystywana nie tylko przez Stuxneta, ale także przez niesławnego Confickera (którego analitycy tej firmy nazywają Kido). Według Kaspersky Lab oznacza to, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik potrafi wykorzystywać również inne luki w zabezpieczeniach.
Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: „Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel, jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele”.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|