Duqu – najniebezpieczniejszy wirus

1034

Kaspersky Lab opublikował informacje o wykrytym trojanie Duqu, nazwanym przez media następcą Stuxneta, który w ubiegłym roku był odpowiedzialny za najgłośniejszy w historii sabotaż przemysłowy przeprowadzony przez cyberprzestępców. Za powstaniem Duqu stoją najprawdopodobniej ci sami ludzie, jednak nie ma on tak wiele wspólnego ze Stuxnetem, jak mogłoby się wydawać na pierwszy rzut oka.
Duqu to wyrafinowany trojan, napisany prawdopodobnie przez te same osoby, które stworzyły niesławnego robaka Stuxnet. Główną funkcją nowego trojana jest otwieranie tylnych drzwi do zainfekowanego systemu i ułatwianie kradzieży prywatnych informacji. Jest to podstawowa różnica między Duqu a Stuxnetem, który został stworzony w celu przeprowadzania sabotażu przemysłowego. Trzeba również zaznaczyć, że o ile Stuxnet potrafi powielać się z jednego komputera na inny przy użyciu różnych mechanizmów, Duqu wydaje się być pozbawiony zdolności samodzielnego rozmnażania się.
W przeciwieństwie do Stuxneta, Duqu nie atakuje bezpośrednio sprzętu PLC/SCADA wykorzystywanego w przemyśle, jednak niektóre z jego funkcji mogłyby zostać wykorzystane do kradzieży informacji związanych z instalacjami przemysłowymi. Wygląda na to, że Duqu został stworzony do gromadzenia informacji o swoich celach, które mogą obejmować wszystko, co jest dostępne w formie cyfrowej na zainfekowanym komputerze.
W Internecie można znaleźć doniesienia o tym, że głównym zadaniem Duqu jest wykradanie informacji z instytucji tworzących certyfikaty cyfrowe, jednak na razie nie ma żadnego jednoznacznego dowodu na poparcie tego twierdzenia. Funkcjonalność backdoora zawartego w Duqu jest dość złożona i może mieć więcej zastosowań. Można powiedzieć, że szkodnik potrafi kraść wszystko.
Serwer cyberprzestępców odpowiedzialny za kontrolowanie komputerów zainfekowanych trojanem Duqu był zlokalizowany w Indiach i został już odłączony od Internetu. Co ciekawe, nowy trojan został skonfigurowany tak, by działał jedynie przez 36 dni. Wygląda na to, że cyberprzestępcy odpowiedzialni za Duqu (i prawdopodobnie za Stuxneta) zainteresowali się astronomią – plik wykonywalny modułu odpowiedzialnego za kradzież danych zawiera fragment pliku JPEG dostarczonego przez teleskop Hubble’a. Obrazek przedstawia skutek bezpośredniej kolizji dwóch galaktyk kilka milionów lat temu:

Pierwsza publiczna wzmianka dotycząca Duqu pochodzi z wpisu węgierskiego bloggera, który prawdopodobnie padł ofiarą ataku tego szkodnika. Później osoba ta opublikowała informacje o certyfikacie wykorzystywanym do podpisywania sterownika Duqu, ostatecznie jednak wykasowała swoje posty. Pierwsza próbka nowego trojana – moduł odpowiedzialny za kradzież informacji – dotarła do analityków z Kaspersky Lab 14 października 2011 r. i tego samego dnia opublikowane zostało uaktualnienie antywirusowych baz danych, zapewniające wykrywanie i usuwanie nowego zagrożenia.

Chociaż wciąż nie wiadomo, w jakim celu zostało stworzone to najnowsze cyberzagrożenie, z dotychczasowych ustaleń wynika, że Duqu jest uniwersalnym narzędziem wykorzystywanym do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów, które może zostać zmodyfikowane w zależności od danego zadania.

Pierwszy etap analizy Duqu przeprowadzonej przez specjalistów z Kaspersky Lab ujawnił kilka interesujących cech trojana. Po pierwsze, każda wykryta modyfikacja tego szkodnika posiadała inne sterowniki wykorzystywane do infekowania systemów. W jednym przypadku sterownik wykorzystał fałszywy podpis cyfrowy, w innych – w ogóle nie został podpisany. Po drugie, coraz więcej przemawia za tym, że prawdopodobnie istniały też inne elementy Duqu, ale jak dotąd nie zostały jeszcze odnalezione. Na tej podstawie możemy założyć, że szkodliwy program potrafi zmieniać swoje zachowanie w zależności od atakowanego celu.
Niewielka liczba wykrytych infekcji (w momencie opublikowania pierwszej części raportu z analizy Duqu przeprowadzonej przez Kaspersky Lab) to podstawowa różnica między Duqu a Stuxnetem, które pod innymi względami wykazują jednak wiele podobieństw. Od momentu zidentyfikowania pierwszych próbek Duqu eksperci z Kaspersky Lab wykryli już cztery nowe przypadki infekcji tym szkodnikiem (za pomocą opartego na chmurze systemu Kaspersky Security Network). Ofiarą jednej z nich padł użytkownik w Sudanie; pozostałe trzy były zlokalizowane w Iranie.
W każdym z czterech przypadków infekcji Duqu wykorzystano unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku. Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto również dwie próby ataków sieciowych wykorzystujących lukę MS08-067. Luka ta została wcześniej wykorzystana przez Stuxneta, jak również przez starszy szkodliwy program – Kido. Pierwsza z dwóch prób ataków sieciowych miała miejsce 4 października, druga – 16 października. Obie zostały przeprowadzone z tego samego adresu IP – formalnie należącego do amerykańskiego dostawcy usług internetowych. Gdyby została odnotowana tylko jedna taka próba, moglibyśmy wpisać ją w typowy sposób działania robaka Kido. Jednak dwie jednoczesne próby sugerują, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik wykorzystywał również inne luki w zabezpieczeniach.

Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: „Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele”.

źródło: Kaspersky Lab

więcej szczegółowych informacji znajdziecie tu – Tajemnica Duqu: Część pierwsza oraz Tajemnica Duqu: Część druga

Opublikowany w: