Duqu – nowy trojan przypominający Stuxneta

clock 3m 27s

Czy nowy trojan - Duqu - znaleziony na kilku komputerach na świecie może postawić na baczność największe firmy antywirusowe i specjalistów do spraw zagrożeń komputerowych?

Sensacją zeszłego roku okazał się Stuxnet — zaawansowany, wysoce wyspecjalizowany trojan, którego zadaniem było sabotowanie irańskich instalacji wzbogacania uranu poprzez niszczenie sterowników PLC. Niektórzy twierdzą, że Stuxnet jest de facto precyzyjnym oprogramowaniem bojowym.

Jak działa trojan Duqu?

Duqu, odnaleziony przez węgierski CrySyS Lab i szczegółowo badany później przez wszystkich dużych producentów oprogramowania antywirusowego, to złożony i względnie duży, jak na malware, program o budowie modułowej. Zadaniem modułu głównego jest komunikacja z serwerem kontrolującym (tzw. C&C — command-and-control server), przy czym zastosowany protokół wymiany danych opiera się na HTTP i do złudzenia przypomina „bezpieczną” komunikację przeglądarki internetowej z typowym serwerem www. Po nawiązaniu połączenia z serwerem C&C trojan może pobrać dowolny szkodliwy program, np. śledzący znaki wpisywane przez użytkownika z klawiatury, mapujący topologię sieci lub przesyłający zawartość plików.

Większość znalezionych odmian (a jest ich sporo) odinstalowuje się automatycznie po 30 lub 36 dniach. Wiadomo jednak, że serwer C&C może wydać trojanowi polecenie, po którym szkodliwe oprogramowanie pozostanie na danym komputerze dłużej.

Duqu podobny do Stuxneta

Mimo odmiennego sposobu działania Duqu ma zaskakująco wiele części kodu wspólnych ze Stuxnetem. Większość specjalistów zgodnie twierdzi, że oba szkodniki stworzono przez tą samą grupę ludzi. Jest również bardzo prawdopodobne, że sam Stuxnet miał wcześniejszą fazę typu Duqu, która po prostu nie została przez nikogo odkryta. Zgodnie z tą teorią obecnie obserwowane zagrożenie to tylko wstęp do bardziej szkodliwej akcji.

Jakie jest ryzyko dla biznesu, jeśli Duqu faktycznie został zaprojektowany i uruchomiony w celach „bojowych”?

Trojan Duqu pokazuje jak ważne jest ciągłe zarządzanie bezpieczeństwem informacji. Nie może ono ograniczać się do corocznych audytów i okresowych aktualizacji oprogramowania antywirusowego. Administratorzy sieci w firmach powinni na bieżąco śledzić aktualne zagrożenia. Nawet nie pod kątem konkretnych wirusów (dla których producenci specjalizowanego oprogramowania bardzo szybko przygotowują odpowiednie sygnatury), ale pod kątem nowych sposobów działania cyberprzestępców (za którymi producenci już nie są w stanie zdążyć).

Duqu wykorzystuje techniki, dzięki którym upodabnia się do większości programów instalowanych „legalnie”. Instaluje sterowniki podpisane prawidłowym certyfikatem, sporadycznie komunikuje się z zewnętrznymi serwerami WWW, a po pewnym czasie zostaje odinstalowany. Nie ingeruje w konfigurację, nie komunikuje się masowo z innymi komputerami w sieci (jak robią np. komputery włączone do botnetu) i nie próbuje się powielać… Zwyczajny „obywatel” środowiska IT.

Nawet jeśli obecnym zastosowaniem Duqu jest wyłącznie szpiegowanie na zlecenie któregokolwiek rządu, to z pewnością ten sposób działania zostanie wkrótce powielony przez przestępców zajmujących się szpiegostwem przemysłowym. W połączeniu z technikami AET może stanowić poważne zagrożenie. Jak napisał Ryan Naraine z Kaspersky: „Zasadniczo, [Duqu] może ukraść wszystko.”

Warto przeczytać:

  • The Mystery of Duqu: Part One – Securelist
  • The Mystery of Duqu: Part Two – Securelist
  • Duqu FAQ – Securelist
  • Duqu – Understanding, References – SCADAhacker
  • Researchers find new ‘cyber-surveillance’ malware threat | ZDNet
  • The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu | Blog Central
  • The Duqu virus explored
  • ‘Duqu’ Not After Same Target As Stuxnet, Researchers Say – Dark Reading
  • ‘Son of Stuxnet’ virus could be used to attack critical computers worldwide
  • Duqu: The Next Stuxnet? – Cisco Blog
  • Duqu underscores trouble AV industry has in stopping threats – SC Magazine US
  • Duqu, Stuxnet and the World of Cyber Espionage – eSecurity Planet
  • Son of Stuxnet Found in the Wild on Systems in Europe | Threat Level | Wired.com
  • Duqu: Not Just a Cybersecurity Antagonist « Cyber Security « IT Security, Compliance and Best Practices
  • The next big cyber risk | News | Strategic Risk

Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź nasze usługi lub skontaktuj się z nami mailowo: kontakt@resilia.pl

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)
Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)

    Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.

    Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej  Polityce przetwarzania danych osobowych.