Duqu: wykryto ukierunkowane ataki na ira艅skie i suda艅skie obiekty

Eksperci z Kaspersky Lab nadal badaj膮 nowy szkodliwy program Duqu posiadaj膮cy pewne cechy wsp贸lne z nies艂awnym robakiem Stuxnet, kt贸ry atakowa艂 instalacje przemys艂owe w Iranie. Chocia偶 wci膮偶 nie wiadomo, w jakim celu zosta艂o stworzone to najnowsze cyberzagro偶enie, z dotychczasowych ustale艅 wynika, 偶e Duqu jest uniwersalnym narz臋dziem wykorzystywanym do przeprowadzania ukierunkowanych atak贸w na wyselekcjonowan膮 liczb臋 obiekt贸w, kt贸re mo偶e zosta膰 zmodyfikowane w zale偶no艣ci od danego zadania.

Pierwszy etap analizy Duqu przeprowadzonej przez specjalist贸w z Kaspersky Lab ujawni艂 kilka interesuj膮cych cech trojana. Po pierwsze, ka偶da wykryta modyfikacja tego szkodnika posiada艂a inne sterowniki wykorzystywane do infekowania system贸w. W jednym przypadku sterownik wykorzysta艂 fa艂szywy podpis cyfrowy, w innych - w og贸le nie zosta艂 podpisany. Po drugie, coraz wi臋cej przemawia za tym, 偶e prawdopodobnie istnia艂y te偶 inne elementy Duqu, ale jak dot膮d nie zosta艂y jeszcze odnalezione. Na tej podstawie mo偶emy za艂o偶y膰, 偶e szkodliwy program potrafi zmienia膰 swoje zachowanie w zale偶no艣ci od atakowanego celu.

Niewielka liczba wykrytych infekcji (w momencie opublikowania pierwszej cz臋艣ci raportu z analizy Duqu przeprowadzonej przez Kaspersky Lab) to podstawowa r贸偶nica mi臋dzy Duqu a Stuxnetem, kt贸re pod innymi wzgl臋dami wykazuj膮 jednak wiele podobie艅stw. Od momentu zidentyfikowania pierwszych pr贸bek Duqu eksperci z Kaspersky Lab wykryli ju偶 cztery nowe przypadki infekcji tym szkodnikiem (za pomoc膮 opartego na chmurze systemu Kaspersky Security Network). Ofiar膮 jednej z nich pad艂 u偶ytkownik w Sudanie; pozosta艂e trzy by艂y zlokalizowane w Iranie.

W ka偶dym z czterech przypadk贸w infekcji Duqu wykorzystano unikatow膮 modyfikacj臋 sterownika, kt贸ry jest niezb臋dny do przeprowadzenia ataku. Warto r贸wnie偶 wspomnie膰, 偶e w przypadku jednej z ira艅skich infekcji wykryto r贸wnie偶 dwie pr贸by atak贸w sieciowych wykorzystuj膮cych luk臋 MS08-067. Luka ta zosta艂a wcze艣niej wykorzystana przez Stuxneta, jak r贸wnie偶 przez starszy szkodliwy program - Kido. Pierwsza z dw贸ch pr贸b atak贸w sieciowych mia艂a miejsce 4 pa藕dziernika, druga - 16 pa藕dziernika. Obie zosta艂y przeprowadzone z tego samego adresu IP - formalnie nale偶膮cego do ameryka艅skiego dostawcy us艂ug internetowych. Gdyby zosta艂a odnotowana tylko jedna taka pr贸ba, mogliby艣my wpisa膰 j膮 w typowy spos贸b dzia艂ania robaka Kido. Jednak dwie jednoczesne pr贸by sugeruj膮, 偶e mieli艣my do czynienia z ukierunkowanym atakiem na okre艣lony obiekt w Iranie. Niewykluczone, 偶e szkodnik wykorzystywa艂 r贸wnie偶 inne luki w zabezpieczeniach.

Komentuj膮c najnowsze odkrycia, Alexander Gostiew, g艂贸wny ekspert ds. bezpiecze艅stwa z Kaspersky Lab, powiedzia艂: "Mimo 偶e zaatakowane przez Duqu systemy s膮 zlokalizowane w Iranie, jak dot膮d nie ma dowod贸w na to, 偶e s膮 to systemy przemys艂owe lub maj膮 zwi膮zek z programem nuklearnym. W zwi膮zku z tym nie mo偶na potwierdzi膰, 偶e nowe zagro偶enie ma taki sam cel jak Stuxnet. Mimo to nie ma w膮tpliwo艣ci, 偶e ka偶da infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, 偶e Duqu jest wykorzystywany do ukierunkowanych atak贸w na wybrane cele".

Szczeg贸艂owe wyniki analizy Duqu s膮 dost臋pne w Encyklopedii Wirus贸w VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=756 oraz http://www.viruslist.pl/weblog.html?weblogid=757.

殴ród艂o:
Kaspersky Lab