20 października 2011

Duqu - czy rzeczywiście mamy do czynienia z kolejnym Stuxnetem?

Kaspersky Lab przedstawia informacje o wykrytym kilka dni temu trojanie Duqu, nazwanym przez media następcą Stuxneta, który w ubiegłym roku był odpowiedzialny za najgłośniejszy w historii sabotaż przemysłowy przeprowadzony przez cyberprzestępców. Za powstaniem Duqu stoją najprawdopodobniej ci sami ludzie, jednak nie ma on tak wiele wspólnego ze Stuxnetem, jak mogłoby się wydawać na pierwszy rzut oka.


Duqu to wyrafinowany trojan, napisany prawdopodobnie przez te same osoby, które stworzyły niesławnego robaka Stuxnet. Główną funkcją nowego trojana jest otwieranie tylnych drzwi do zainfekowanego systemu i ułatwianie kradzieży prywatnych informacji. Jest to podstawowa różnica między Duqu a Stuxnetem, który został stworzony w celu przeprowadzania sabotażu przemysłowego. Trzeba również zaznaczyć, że o ile Stuxnet potrafi powielać się z jednego komputera na inny przy użyciu różnych mechanizmów, Duqu wydaje się być pozbawiony zdolności samodzielnego rozmnażania się.

W przeciwieństwie do Stuxneta, Duqu nie atakuje bezpośrednio sprzętu PLC/SCADA wykorzystywanego w przemyśle, jednak niektóre z jego funkcji mogłyby zostać wykorzystane do kradzieży informacji związanych z instalacjami przemysłowymi. Wygląda na to, że Duqu został stworzony do gromadzenia informacji o swoich celach, które mogą obejmować wszystko, co jest dostępne w formie cyfrowej na zainfekowanym komputerze.

W Internecie można znaleźć doniesienia o tym, że głównym zadaniem Duqu jest wykradanie informacji z instytucji tworzących certyfikaty cyfrowe, jednak na razie nie ma żadnego jednoznacznego dowodu na poparcie tego twierdzenia. Funkcjonalność backdoora zawartego w Duqu jest dość złożona i może mieć więcej zastosowań. Można powiedzieć, że szkodnik potrafi kraść wszystko.

Serwer cyberprzestępców odpowiedzialny za kontrolowanie komputerów zainfekowanych trojanem Duqu był zlokalizowany w Indiach i został już odłączony od Internetu. Co ciekawe, nowy trojan został skonfigurowany tak, by działał jedynie przez 36 dni. Wygląda na to, że cyberprzestępcy odpowiedzialni za Duqu (i prawdopodobnie za Stuxneta) zainteresowali się astronomią – plik wykonywalny modułu odpowiedzialnego za kradzież danych zawiera fragment pliku JPEG dostarczonego przez teleskop Hubble’a. Obrazek przedstawia skutek bezpośredniej kolizji dwóch galaktyk kilka milionów lat temu:


Obrazek załączony w kodzie trojana Duqu


Pierwsza publiczna wzmianka dotycząca Duqu pochodzi z wpisu węgierskiego bloggera, który prawdopodobnie padł ofiarą ataku tego szkodnika. Później osoba ta opublikowała informacje o certyfikacie wykorzystywanym do podpisywania sterownika Duqu, ostatecznie jednak wykasowała swoje posty. Pierwsza próbka nowego trojana - moduł odpowiedzialny za kradzież informacji - dotarła do analityków z Kaspersky Lab 14 października 2011 r. i tego samego dnia opublikowane zostało uaktualnienie antywirusowych baz danych, zapewniające wykrywanie i usuwanie nowego zagrożenia.

Analitycy z Kaspersky Lab działający w ramach Globalnego Zespołu ds. Badań i Analiz (GReAT) nieustannie badają sprawę i będą na bieżąco publikowali informacje o kolejnych odkryciach związanych z trojanem DuQu. Więcej szczegółów można znaleźć na blogu analityków dostępnym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=755.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.