Duqu – nowy trojan przypominający Stuxneta

clock 3m 27s

Czy nowy trojan - Duqu - znaleziony na kilku komputerach na świecie może postawić na baczność największe firmy antywirusowe i specjalistów do spraw zagrożeń komputerowych?

Sensacją zeszłego roku okazał się Stuxnet — zaawansowany, wysoce wyspecjalizowany trojan, którego zadaniem było sabotowanie irańskich instalacji wzbogacania uranu poprzez niszczenie sterowników PLC. Niektórzy twierdzą, że Stuxnet jest de facto precyzyjnym oprogramowaniem bojowym.

Jak działa trojan Duqu?

Duqu, odnaleziony przez węgierski CrySyS Lab i szczegółowo badany później przez wszystkich dużych producentów oprogramowania antywirusowego, to złożony i względnie duży, jak na malware, program o budowie modułowej. Zadaniem modułu głównego jest komunikacja z serwerem kontrolującym (tzw. C&C — command-and-control server), przy czym zastosowany protokół wymiany danych opiera się na HTTP i do złudzenia przypomina „bezpieczną” komunikację przeglądarki internetowej z typowym serwerem www. Po nawiązaniu połączenia z serwerem C&C trojan może pobrać dowolny szkodliwy program, np. śledzący znaki wpisywane przez użytkownika z klawiatury, mapujący topologię sieci lub przesyłający zawartość plików.

Większość znalezionych odmian (a jest ich sporo) odinstalowuje się automatycznie po 30 lub 36 dniach. Wiadomo jednak, że serwer C&C może wydać trojanowi polecenie, po którym szkodliwe oprogramowanie pozostanie na danym komputerze dłużej.

Duqu podobny do Stuxneta

Mimo odmiennego sposobu działania Duqu ma zaskakująco wiele części kodu wspólnych ze Stuxnetem. Większość specjalistów zgodnie twierdzi, że oba szkodniki stworzono przez tą samą grupę ludzi. Jest również bardzo prawdopodobne, że sam Stuxnet miał wcześniejszą fazę typu Duqu, która po prostu nie została przez nikogo odkryta. Zgodnie z tą teorią obecnie obserwowane zagrożenie to tylko wstęp do bardziej szkodliwej akcji.

Jakie jest ryzyko dla biznesu, jeśli Duqu faktycznie został zaprojektowany i uruchomiony w celach „bojowych”?

Trojan Duqu pokazuje jak ważne jest ciągłe zarządzanie bezpieczeństwem informacji. Nie może ono ograniczać się do corocznych audytów i okresowych aktualizacji oprogramowania antywirusowego. Administratorzy sieci w firmach powinni na bieżąco śledzić aktualne zagrożenia. Nawet nie pod kątem konkretnych wirusów (dla których producenci specjalizowanego oprogramowania bardzo szybko przygotowują odpowiednie sygnatury), ale pod kątem nowych sposobów działania cyberprzestępców (za którymi producenci już nie są w stanie zdążyć).

Duqu wykorzystuje techniki, dzięki którym upodabnia się do większości programów instalowanych „legalnie”. Instaluje sterowniki podpisane prawidłowym certyfikatem, sporadycznie komunikuje się z zewnętrznymi serwerami WWW, a po pewnym czasie zostaje odinstalowany. Nie ingeruje w konfigurację, nie komunikuje się masowo z innymi komputerami w sieci (jak robią np. komputery włączone do botnetu) i nie próbuje się powielać… Zwyczajny „obywatel” środowiska IT.

Nawet jeśli obecnym zastosowaniem Duqu jest wyłącznie szpiegowanie na zlecenie któregokolwiek rządu, to z pewnością ten sposób działania zostanie wkrótce powielony przez przestępców zajmujących się szpiegostwem przemysłowym. W połączeniu z technikami AET może stanowić poważne zagrożenie. Jak napisał Ryan Naraine z Kaspersky: „Zasadniczo, [Duqu] może ukraść wszystko.”

Warto przeczytać:

  • The Mystery of Duqu: Part One – Securelist
  • The Mystery of Duqu: Part Two – Securelist
  • Duqu FAQ – Securelist
  • Duqu – Understanding, References – SCADAhacker
  • Researchers find new ‘cyber-surveillance’ malware threat | ZDNet
  • The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu | Blog Central
  • The Duqu virus explored
  • ‘Duqu’ Not After Same Target As Stuxnet, Researchers Say – Dark Reading
  • ‘Son of Stuxnet’ virus could be used to attack critical computers worldwide
  • Duqu: The Next Stuxnet? – Cisco Blog
  • Duqu underscores trouble AV industry has in stopping threats – SC Magazine US
  • Duqu, Stuxnet and the World of Cyber Espionage – eSecurity Planet
  • Son of Stuxnet Found in the Wild on Systems in Europe | Threat Level | Wired.com
  • Duqu: Not Just a Cybersecurity Antagonist « Cyber Security « IT Security, Compliance and Best Practices
  • The next big cyber risk | News | Strategic Risk

Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź nasze usługi lub skontaktuj się z nami mailowo: kontakt@resilia.pl

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.