Duqu - nowy Stuxnet

Odkryto nowego trojana. Badacze twierdzą, że jego autorami są najprawdopodobniej te same osoby, które stworzyły Stuxneta, jednego z najbardziej znaczących przypadków złośliwego oprogramowania w historii. Duqu, bo tak nazwano nowego trojana, podobnie jak Stuxnet za cel wziął sobie systemy przemysłowe.
Duqu, nowy Stuxnet Odkryto nowego trojana. Badacze twierdzą, że autorami nowo odkrytego wirusa są najprawdopodobniej te same osoby, które stworzyły Stuxneta, jednego z najbardziej znaczących przypadków złośliwego oprogramowania w historii. Duqu, bo tak nazwano nowego trojana, podobnie jak Stuxnet za cel wziął sobie systemy przemysłowe. Nazwa Duqu pochodzi od tworzonych przez trojana plików z prefiksem DQ. Duqu został odkryty 14 października 2011 roku, jednak po przeszukaniu archiwów firm antywirusowych odkryto jego próbki, które zostały skompilowane pod koniec roku 2010. Trojan ten nie służy do sabotażu i w przeciwieństwie do Stuxneta, którego zadaniem było zniszczyć irański program jądrowy, nie próbuje manipulować systemami SCADA. Duqu nie niszczy sprzętu, nie rozmnaża się, jest po prostu nastawiony na zwykłe wykradanie informacji, z tym, że jego ofiary to komputery wykorzystywane w przemyśle. Najprawdopodobniej wykradane przez Duqu dane mają pomóc w przeprowadzaniu kolejnych, bardziej ukierunkowanych ataków (por. ataki na RSA, które rzekomo pomogły w ataku na Lockheed Martin). Wirus komunikuje się z serwerem (transmisja jest szyfrowana) i przesyła screenshoty oraz zapis wciśniętych klawiszy a także informacje na temat uruchomionych procesów. Duqu nie uruchamia się od razu, czeka kilkanaście minut od momentu infekcji - najprawdopodobniej chodzi o ominięcie sandboksów programów antywirusowych. Duqu jest podpisany cyfrowo. Podaje się za firmę JMicron, ale korzysta ze skradzionych kluczy prywatnych należących do C-Media Electronics Incorporation. Poprawny certyfikat umożliwia mu instalacje jako sterownik jądra. Po 36 dniach Duqu odinstalowywuje się sam. Wszystko wskazuje więc na to, że Stuxnet nie był jednostkowym przypadkiem. Do Stuxneta i Duqu dorzućmy niemieckiego R2D2 i jest już jasne, że na dobre wkroczyliśmy w erę szpiegowskich i rządowych trojanów. Oprogramowanie stało się bronią.

Duqu

Symantec opublikował raport, który bazuje na pracy grupy badaczy pragnących pozostać anonimowymi. W raporcie podkreśla się, że Duqu przypomina Stuxneta pod wieloma względami. Badacze twierdzą, że jeśli kod nie został napisany przez tych samych ludzi, to autorzy Duqu na pewno mieli dostęp do kodu źródłowego Stuxneta (ten nie został do tej pory nigdzie opublikowany). Oba trojany korzystają z kilku niemal identycznych komponentów. Nazwa Duqu pochodzi od tworzonych przez trojana plików z prefiksem ~DQ.

Duqu


Duqu został odkryty 14 października 2011 roku, jednak po przeszukaniu archiwów firm antywirusowych odkryto jego próbki, które zostały skompilowane pod koniec roku 2010. Poniżej skróty plików trojana:

cmi4432.pnf 0a566b1616c8afeef214372b1a0580c7
netp192.pnf 94c4ef91dfcd0c53a96fdc387f9f9c35
cmi4464.PNF e8d6b4dadb96ddb58775e6c85b10b6cc

netp191.PNF b4ac366e24204d821376653279cbad86

cmi4432.sys 4541e850a228eb69fd0f0e924624b245

jminet7.sys 0eecd17c6c215b358b7b872b74bfd800
Infostealer 9749d38ae9b9ddd81b50aad679ee87e

Cele Duqu

Duqu nie służy do sabotażu i w przeciwieństwie do Stuxneta, którego zadaniem było zniszczyć irański program jądrowy, nie próbuje manipulować systemami SCADA. Duqu nie niszczy sprzętu, nie rozmnaża się, jest po prostu nastawiony na zwykłe wykradanie informacji, z tym, że jego ofiary to komputery wykorzystywane w przemyśle. Najprawdopodobniej wykradane przez Duqu dane mają pomóc w przeprowadzaniu kolejnych, bardziej ukierunkowanych ataków (por. ataki na RSA, które rzekomo pomogły w ataku na Lockheed Martin).

Jak działa Duqu?

Trojan komunikuje się z serwerem (transmisja jest szyfrowana) i przesyła screenshoty oraz zapis wciśniętych klawiszy a także informacje na temat uruchomionych procesów. Duqu nie uruchamia się od razu, czeka kilkanaście minut od momentu infekcji - najprawdopodobniej chodzi o ominięcie sandboksów programów antywirusowych.


Duqu

Duqu jest podpisany cyfrowo. Podaje się za firmę JMicron, ale korzysta ze skradzionych kluczy prywatnych należących do C-Media Electronics Incorporation. Poprawny certyfikat umożliwia mu instalacje jako sterownik jądra. Po 36 dniach Duqu odinstalowywuje się sam

Wszystko wskazuje więc na to, że Stuxnet nie był jednostkowym przypadkiem. Do Stuxneta i Duqu dorzućmy niemieckiego R2D2 i jest już jasne, że na dobre wkroczyliśmy w erę szpiegowskich i rządowych trojanów. Oprogramowanie stało się bronią.

Tekst pochodzi z bloga Niebezpiecznik.pl.