Přichází Duqu – nová hrozba podobná Stuxnetu

Jiří Novák | 20.10.2011 | Bezpečnost | Žádné komentáře

Zástupci společnosti Symantec informovali, že analyzují nově objevenou cílenou hrozbu s názvem Duqu, která je údajně velmi podobná známému škodlivému kódu Stuxnet. Podle dosavadních zjištění je zřejmé, že autoři hrozby měli přístup ke zdrojovému kódu Stuxnetu. Je tedy možné, že Duqu vytvořil stejný tým kyberzločinců jako Stuxnet. Již se proto pro nový vir objevuje označení Stuxnet 2.0.

Duqu má za cíl shromažďovat data a informace například o výrobcích průmyslových řídicích systémů, aby bylo následně bylo možné snadněji provést útok proti třetí straně. Útočníci hledají například projektové dokumentace, které by mohli využít při útoku na průmyslová zařízení.

„Po zásadním škodlivém kódu Stuxnet, který měl za úkol sabotovat konkrétní výrobní proces, tu máme podobně propracovaného následníka, jehož úkolem je zatím pouze budovat předmostí pro případné budoucí útoky. Útočníci mají stále velký zájem o reálný svět za branami počítačových sítí, výrobní průmyslové automaty a technologické řídící systémy  a zřejmě i nadále budou hledat cesty, jak se do tohoto skutečného světa dostat a buď ho přímo ovlivňovat nebo z něj získávat cenné informace,“ říká Jakub Jiříček, bezpečnostní konzultant společnosti Symantec.

Podobné varování vydává i společnost McAfee. Ta upřesňuje, že Duqu používá ovladače a šifrované knihovny DLL s obdobnou funkcionalitou jako Stuxnet, obdobné jsou rovněž použité šifrovací klíče. Některé funkce malwaru Duqu se od Stuxnetu odlišují, hlavní rozdíl je však v cílech útočníků. McAfee pak narozdíl od Symantecu tvrdí, že ve srovnání se Stuxnetem není Duqu navržen za účelem sabotáže systémů řídících průmyslové procesy (infekce červem Stuxnet poškodila mj. odstředivky používané v Íránu pro obohacování uranu), ale především pro útoky na weby certifikačních autorit. Další cílem malwaru Duqu je špionáž – zejména krádeže duševního vlastnictví z informačních systémů průmyslových podniků. Společnost McAfee doporučuje, aby především firmy poskytující certifikační autoritu ověřily, zda jejich systémy nebyly narušeny tímto útokem.

Malware Duqu je ovládán pomocí šifrovaného konfiguračního souboru. Pokouší se komunikovat s řídicím serverem v Indii, příslušná IP adresa řídicího serveru byla však již zařazena na black list a v tuto chvíli nefunguje. DuQu může na zasaženém počítači instalovat další škodlivé kódy, odhalen byl související keylogger (program zaznamenávající stisky kláves). Malware se před odhalením bezpečnostními programy může skrývat pomocí funkcionality rootkitu.

Společnost McAfee detekuje malware Duqu jako PWS-Duqu, PWS-Duqu.dr a PWS-Duqu! Rootkit. Názvy ovladačů, které Duqu používá, mohou být cmi4432.sys a jminet7.sys. Příslušné soubory mohou předstírat, že jsou podepsány digitálním certifikátem společnosti C-Media Electronics, tento certifikát by však již měl být neplatný.

Více informací o Duqu najdete (v angličtině) na blogu společnosti Symantec: http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


šest − = pět

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz