Duqu
Symantec opublikował raport , który bazuje na pracy grupy badaczy pragnących pozostać anonimowymi. W raporcie podkreśla się, że Duqu przypomina Stuxneta pod wieloma względami. Badacze twierdzą, że jeśli kod nie został napisany przez tych samych ludzi, to autorzy Duqu na pewno mieli dostęp do kodu źródłowego Stuxneta (ten nie został do tej pory nigdzie opublikowany). Oba trojany korzystają z kilku niemal identycznych komponentów. Nazwa Duqu pochodzi od tworzonych przez trojana plików z prefiksem ~DQ .
Duqu Duqu
Duqu został odkryty 14 października 2011 roku, jednak po przeszukaniu archiwów firm antywirusowych odkryto jego próbki, które zostały skompilowane pod koniec roku 2010. Poniżej skróty plików trojana:
cmi4432.pnf 0a566b1616c8afeef214372b1a0580c7 netp192.pnf 94c4ef91dfcd0c53a96fdc387f9f9c35 cmi4464.PNF e8d6b4dadb96ddb58775e6c85b10b6cc netp191.PNF b4ac366e24204d821376653279cbad86 cmi4432.sys 4541e850a228eb69fd0f0e924624b245 jminet7.sys 0eecd17c6c215b358b7b872b74bfd800 Infostealer 9749d38ae9b9ddd81b50aad679ee87e
Cele Duqu
Duqu nie służy do sabotażu i w przeciwieństwie do Stuxneta, którego zadaniem było zniszczyć irański program jądrowy , nie próbuje manipulować systemami SCADA. Duqu nie niszczy sprzętu, nie rozmnaża się, jest po prostu nastawiony na zwykłe wykradanie informacji, z tym, że jego ofiary to komputery wykorzystywane w przemyśle. Najprawdopodobniej wykradane przez Duqu dane mają pomóc w przeprowadzaniu kolejnych, bardziej ukierunkowanych ataków (por. ataki na RSA , które rzekomo pomogły w ataku na Lockheed Martin ).
Jak działa Duqu?
Trojan komunikuje się z serwerem (transmisja jest szyfrowana) i przesyła screenshoty oraz zapis wciśniętych klawiszy a także informacje na temat uruchomionych procesów. Duqu nie uruchamia się od razu , czeka kilkanaście minut od momentu infekcji - najprawdopodobniej chodzi o ominięcie sandboksów programów antywirusowych.
Duqu Duqu
Duqu jest podpisany cyfrowo. Podaje się za firmę JMicron , ale korzysta ze skradzionych kluczy prywatnych należących do C-Media Electronics Incorporation . Poprawny certyfikat umożliwia mu instalacje jako sterownik jądra. Po 36 dniach Duqu odinstalowywuje się sam
Wszystko wskazuje więc na to, że Stuxnet nie był jednostkowym przypadkiem. Do Stuxneta i Duqu dorzućmy niemieckiego R2D2 i jest już jasne, że na dobre wkroczyliśmy w erę szpiegowskich i rządowych trojanów . Oprogramowanie stało się bronią.
Tekst pochodzi z bloga Niebezpiecznik.pl .
