Duqu – nowy trojan przypominający Stuxneta
Czy nowy trojan – Duqu – znaleziony na kilku komputerach na świecie może postawić na baczność największe firmy antywirusowe i specjalistów do spraw zagrożeń komputerowych?
Sensacją zeszłego roku okazał się Stuxnet — zaawansowany, wysoce wyspecjalizowany trojan, którego zadaniem było sabotowanie irańskich instalacji wzbogacania uranu poprzez niszczenie sterowników PLC. Niektórzy twierdzą, że Stuxnet jest de facto precyzyjnym oprogramowaniem bojowym.
Jak działa trojan Duqu?
Duqu, odnaleziony przez węgierski CrySyS Lab i szczegółowo badany później przez wszystkich dużych producentów oprogramowania antywirusowego, to złożony i względnie duży, jak na malware, program o budowie modułowej. Zadaniem modułu głównego jest komunikacja z serwerem kontrolującym (tzw. C&C — command-and-control server), przy czym zastosowany protokół wymiany danych opiera się na HTTP i do złudzenia przypomina „bezpieczną” komunikację przeglądarki internetowej z typowym serwerem www. Po nawiązaniu połączenia z serwerem C&C trojan może pobrać dowolny szkodliwy program, np. śledzący znaki wpisywane przez użytkownika z klawiatury, mapujący topologię sieci lub przesyłający zawartość plików.
Większość znalezionych odmian (a jest ich sporo) odinstalowuje się automatycznie po 30 lub 36 dniach. Wiadomo jednak, że serwer C&C może wydać trojanowi polecenie, po którym szkodliwe oprogramowanie pozostanie na danym komputerze dłużej.
Duqu podobny do Stuxneta
Mimo odmiennego sposobu działania Duqu ma zaskakująco wiele części kodu wspólnych ze Stuxnetem. Większość specjalistów zgodnie twierdzi, że oba szkodniki stworzono przez tą samą grupę ludzi. Jest również bardzo prawdopodobne, że sam Stuxnet miał wcześniejszą fazę typu Duqu, która po prostu nie została przez nikogo odkryta. Zgodnie z tą teorią obecnie obserwowane zagrożenie to tylko wstęp do bardziej szkodliwej akcji.
Jakie jest ryzyko dla biznesu, jeśli Duqu faktycznie został zaprojektowany i uruchomiony w celach „bojowych”?
Trojan Duqu pokazuje jak ważne jest ciągłe zarządzanie bezpieczeństwem informacji. Nie może ono ograniczać się do corocznych audytów i okresowych aktualizacji oprogramowania antywirusowego. Administratorzy sieci w firmach powinni na bieżąco śledzić aktualne zagrożenia. Nawet nie pod kątem konkretnych wirusów (dla których producenci specjalizowanego oprogramowania bardzo szybko przygotowują odpowiednie sygnatury), ale pod kątem nowych sposobów działania cyberprzestępców (za którymi producenci już nie są w stanie zdążyć).
Duqu wykorzystuje techniki, dzięki którym upodabnia się do większości programów instalowanych „legalnie”. Instaluje sterowniki podpisane prawidłowym certyfikatem, sporadycznie komunikuje się z zewnętrznymi serwerami WWW, a po pewnym czasie zostaje odinstalowany. Nie ingeruje w konfigurację, nie komunikuje się masowo z innymi komputerami w sieci (jak robią np. komputery włączone do botnetu) i nie próbuje się powielać… Zwyczajny „obywatel” środowiska IT.
Nawet jeśli obecnym zastosowaniem Duqu jest wyłącznie szpiegowanie na zlecenie któregokolwiek rządu, to z pewnością ten sposób działania zostanie wkrótce powielony przez przestępców zajmujących się szpiegostwem przemysłowym. W połączeniu z technikami AET może stanowić poważne zagrożenie. Jak napisał Ryan Naraine z Kaspersky: „Zasadniczo, [Duqu] może ukraść wszystko.”
Warto przeczytać:
- The Mystery of Duqu: Part One – Securelist
- The Mystery of Duqu: Part Two – Securelist
- Duqu FAQ – Securelist
- Duqu – Understanding, References – SCADAhacker
- Researchers find new ‘cyber-surveillance’ malware threat | ZDNet
- The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu | Blog Central
- The Duqu virus explored
- ‘Duqu’ Not After Same Target As Stuxnet, Researchers Say – Dark Reading
- ‘Son of Stuxnet’ virus could be used to attack critical computers worldwide
- Duqu: The Next Stuxnet? – Cisco Blog
- Duqu underscores trouble AV industry has in stopping threats – SC Magazine US
- Duqu, Stuxnet and the World of Cyber Espionage – eSecurity Planet
- Son of Stuxnet Found in the Wild on Systems in Europe | Threat Level | Wired.com
- Duqu: Not Just a Cybersecurity Antagonist « Cyber Security « IT Security, Compliance and Best Practices
- The next big cyber risk | News | Strategic Risk