Duqu: nowy wirus, który kradnie wszystko
21.10.2011 13:18, aktual.: 21.10.2011 16:00
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Kilka dni temu wykryto nowego trojana Duqu, który został okrzyknięty przez media następcą Stuxneta, wirusa odpowiedzialnego za przeprowadzony w zeszłym roku, najgłośniejszy w historii sabotaż przemysłowy dokonany przez cyberprzestępców. Za powstaniem Duqu stoją najprawdopodobniej ci sami ludzie, jednak nie ma on tak wiele wspólnego ze Stuxnetem, jak mogłoby się wydawać na pierwszy rzut oka
Duqu to wyrafinowany trojan, napisany prawdopodobnie przez te same osoby, które stworzyły niesławnego robaka Stuxnet. Główną funkcją nowego trojana jest otwieranie tylnych drzwi do zainfekowanego systemu i ułatwianie kradzieży prywatnych informacji. Jest to podstawowa różnica między Duqu a Stuxnetem, który został stworzony w celu przeprowadzania sabotażu przemysłowego. Trzeba również zaznaczyć, że o ile Stuxnet potrafi powielać się z jednego komputera na inny przy użyciu różnych mechanizmów, Duqu wydaje się być pozbawiony zdolności samodzielnego rozmnażania się.
W przeciwieństwie do Stuxneta, Duqu nie atakuje bezpośrednio sprzętu PLC/SCADA wykorzystywanego w przemyśle, jednak niektóre z jego funkcji mogłyby zostać wykorzystane do kradzieży informacji związanych z instalacjami przemysłowymi. Wygląda na to, że Duqu został stworzony do gromadzenia informacji o swoich celach, które mogą obejmować wszystko, co jest dostępne w formie cyfrowej na zainfekowanym komputerze.
W internecie można znaleźć doniesienia, że głównym zadaniem Duqu jest wykradanie informacji z instytucji tworzących certyfikaty cyfrowe, jednak na razie nie ma żadnego jednoznacznego dowodu na poparcie tego twierdzenia. Funkcjonalność backdoora zawartego w Duqu jest dość złożona i może mieć więcej zastosowań. Można powiedzieć, że szkodnik potrafi kraść wszystko.
Serwer cyberprzestępców odpowiedzialny za kontrolowanie komputerów zainfekowanych trojanem Duqu był zlokalizowany w Indiach i został już odłączony od internetu. Co ciekawe, nowy trojan został skonfigurowany tak, by działał jedynie przez 3. dni. Wygląda na to, że cyberprzestępcy odpowiedzialni za Duqu (i prawdopodobnie za Stuxneta) zainteresowali się astronomią - plik wykonywalny modułu odpowiedzialnego za kradzież danych zawiera fragment pliku JPEG dostarczonego przez teleskop Hubble’a. Obrazek przedstawia skutek bezpośredniej kolizji dwóch galaktyk kilka milionów lat temu:
Pierwsza publiczna wzmianka dotycząca Duqu pochodzi z wpisu węgierskiego bloggera, który prawdopodobnie padł ofiarą ataku tego szkodnika. Później osoba ta opublikowała informacje o certyfikacie wykorzystywanym do podpisywania sterownika Duqu, ostatecznie jednak wykasowała swoje posty. Pierwsza próbka nowego trojana - moduł odpowiedzialny za kradzież informacji - dotarła do analityków z Kaspersky Lab 1. października 2011 r. i tego samego dnia opublikowane zostało uaktualnienie antywirusowych baz danych, zapewniające wykrywanie i usuwanie nowego zagrożenia.
Trzeba także wyjaśnić kilka niejasności dotyczących plików i ich nazw. Aby mieć pełny obraz sytuacji, trzeba wiedzieć, że mówimy tu o zaledwie dwóch szkodliwych programach –. głównym module i keyloggerze. Wszystko, co zostało wspomniane w ciągu ostatnich 24 godzin o związkach między Duqu a Stuxnetem, odnosi się w większości do tego pierwszego - głównego modułu.
Główny moduł składa się z trzech komponentów:
sterownika, który wstrzykuje DLL do procesów systemowych;
biblioteki DLL, która posiada dodatkowy moduł i współpracuje z centrum kontroli botnetu (C&C); oraz
pliku konfiguracyjnego
Moduł ten jest bardzo podobny do Stuxneta –. zarówno pod względem struktury jak i zachowania. Jednak nazwa Duqu nie ma z nim prawie żadnego związku. W rzeczywistości, opiera się na nazwach plików związanych z całkowicie innym szkodliwym programem szpiegującym!
Drugi szkodliwy program, który zasadniczo jest keyloggerem (ale potrafi również zbierać inne rodzaje informacji), został wykryty w systemie jednej z ofiar infekcji wraz z opisanym wyżej głównym modułem. Fakt ten, jak również posiadana przez główny moduł zdolność pobierania innych komponentów, sugerowały, że główny moduł oraz keylogger są w pewien sposób powiązane ze sobą. Działając w systemie, keylogger przechowuje zebrane dane w plikach o nazwach takich jak ~DQx.tmp. Tak więc nazwa głównego modułu –. Duqu – wywodzi się od tych plików.
W rzeczywistości, kod trojana szpiegującego częściowo potwierdza związek między nim a głównym modułem i został prawdopodobnie pobrany przez główny moduł wcześniej. Jednak pod względem funkcjonalności stanowi niezależną szkodliwą aplikację, która może działać bez głównego modułu. Z drugiej strony główny moduł potrafi działać bez trojana szpiegującego. Jednak związek między keyloggerem a Stuxnetem nie jest tak oczywisty. Dlatego moglibyśmy nazwać go wnukiem Stuxneta, ale na pewno nie dzieckiem :)
Rok temu podczas analizowania Stuxneta, ustaliliśmy, że szkodnik ten składa się z dwóch części: nośnika oraz oddzielnego modułu odpowiedzialnego za sterownik programowalny (PLC). Można powiedzieć, że Stuxnet jest jak pocisk rakietowy, składający się z silnika rakietowego (samego robaka) oraz głowicy (moduł PLC).
Doszliśmy do wniosku, że Stuxnet został prawdopodobnie stworzony przez dwie oddzielne grupy, które mogły nawet nie wiedzieć o swoim istnieniu czy ostatecznym przeznaczeniu projektu.
Fragment Stuxneta odpowiedzialny za jego rozprzestrzenianie oraz infekowanie systemów mógł zostać ponownie wykorzystany, z tym że już z inną “głowicą”. Mniej więcej coś podobnego miało miejsce w przypadku Duqu. Z tą jedynie różnicą, że Duqu nie posiadał żadnej “głowicy”, ale mógł zainstalować dowolną “głowicę” w dowolnym momencie i wycelować ją w dowolny cel. *Cel: Cały świat? *
Pamiętacie historię Stuxneta? Zarówno nasza, jak i inne firmy antywirusowe zidentyfikowała dziesiątki tysięcy infekcji (szczególni w Iranie) od razu po wykryciu tego szkodnika. To dość jednoznacznie wskazywało na prawdopodobny cel szkodnika, a dalsze dochodzenie potwierdziło tę teorię.
A jak wyglądała mapa infekcji Duqu? W ciągu 2. godzin od dodania sygnatury wykrywania wszystkich modułów zidentyfikowaliśmy tylko jedną prawdziwą infekcję!
Co więcej, państwo, w którym jest zlokalizowany zainfekowany użytkownik, jest bardzo specyficzne i ma niewiele wspólnego z krajami, o których była mowa wcześniej w tym raporcie (czyli Węgry, Austria, Indonezja oraz Wielka Brytania).
Źródło: Kaspersky Lab