Najczęściej kupowane
Rozwiązania dla domu
- ESET NOD32 Antivirus 60.96 PLN
- ESET Smart Security179.73 PLN
Rozwiązania dla firmy
- Symantec Endpoint Protection72.07 PLN
- ESET NOD32 Antivirus Business Edition Client36.65 PLN
Duqu: wykryto ukierunkowane ataki na irańskie i sudańskie obiekty
Drukuj2011-10-29
Justyna Pławecka, Perceptus sp. z o. o.
podziel się:
Chociaż wciąż nie wiadomo, w jakim celu zostało stworzone to najnowsze cyberzagrożenie, z dotychczasowych ustaleń wynika, że Duqu jest uniwersalnym narzędziem wykorzystywanym do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów, które może zostać zmodyfikowane w zależności od danego zadania.
Pierwszy etap analizy Duqu przeprowadzonej przez specjalistów z Kaspersky Lab ujawnił kilka interesujących cech trojana. Po pierwsze, każda wykryta modyfikacja tego szkodnika posiadała inne sterowniki wykorzystywane do infekowania systemów. W jednym przypadku sterownik wykorzystał fałszywy podpis cyfrowy, w innych – w ogóle nie został podpisany. Po drugie, coraz więcej przemawia za tym, że prawdopodobnie istniały też inne elementy Duqu, ale jak dotąd nie zostały jeszcze odnalezione. Na tej podstawie możemy założyć, że szkodliwy program potrafi zmieniać swoje zachowanie w zależności od atakowanego celu.
Niewielka liczba wykrytych infekcji (w momencie opublikowania pierwszej części raportu z analizy Duqu przeprowadzonej przez Kaspersky Lab) to podstawowa różnica między Duqu a Stuxnetem, które pod innymi względami wykazują jednak wiele podobieństw. Od momentu zidentyfikowania pierwszych próbek Duqu eksperci z Kaspersky Lab wykryli już cztery nowe przypadki infekcji tym szkodnikiem (za pomocą opartego na chmurze systemu Kaspersky Security Network). Ofiarą jednej z nich padł użytkownik w Sudanie; pozostałe trzy były zlokalizowane w Iranie.
W każdym z czterech przypadków infekcji Duqu wykorzystano unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku. Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto również dwie próby ataków sieciowych wykorzystujących lukę MS08-067. Luka ta została wcześniej wykorzystana przez Stuxneta, jak również przez starszy szkodliwy program – Kido. Pierwsza z dwóch prób ataków sieciowych miała miejsce 4 października, druga – 16 października. Obie zostały przeprowadzone z tego samego adresu IP – formalnie należącego do amerykańskiego dostawcy usług internetowych. Gdyby została odnotowana tylko jedna taka próba, moglibyśmy wpisać ją w typowy sposób działania robaka Kido. Jednak dwie jednoczesne próby sugerują, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik wykorzystywał również inne luki w zabezpieczeniach.
Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: "Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele".
Niewielka liczba wykrytych infekcji (w momencie opublikowania pierwszej części raportu z analizy Duqu przeprowadzonej przez Kaspersky Lab) to podstawowa różnica między Duqu a Stuxnetem, które pod innymi względami wykazują jednak wiele podobieństw. Od momentu zidentyfikowania pierwszych próbek Duqu eksperci z Kaspersky Lab wykryli już cztery nowe przypadki infekcji tym szkodnikiem (za pomocą opartego na chmurze systemu Kaspersky Security Network). Ofiarą jednej z nich padł użytkownik w Sudanie; pozostałe trzy były zlokalizowane w Iranie.
W każdym z czterech przypadków infekcji Duqu wykorzystano unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku. Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto również dwie próby ataków sieciowych wykorzystujących lukę MS08-067. Luka ta została wcześniej wykorzystana przez Stuxneta, jak również przez starszy szkodliwy program – Kido. Pierwsza z dwóch prób ataków sieciowych miała miejsce 4 października, druga – 16 października. Obie zostały przeprowadzone z tego samego adresu IP – formalnie należącego do amerykańskiego dostawcy usług internetowych. Gdyby została odnotowana tylko jedna taka próba, moglibyśmy wpisać ją w typowy sposób działania robaka Kido. Jednak dwie jednoczesne próby sugerują, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik wykorzystywał również inne luki w zabezpieczeniach.
Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: "Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele".
źródło: Kaspersky Lab
Twoje konto
Informacje
Mechanizmy serwisu
