Duqu: wykryto ukierunkowane ataki na irańskie i sudańskie obiekty

Eksperci z Kaspersky Lab nadal badają nowy szkodliwy program Duqu posiadający pewne cechy wspólne z niesławnym robakiem Stuxnet, który atakował instalacje przemysłowe w Iranie. Chociaż wciąż nie wiadomo, w jakim celu zostało stworzone to najnowsze cyberzagrożenie, z dotychczasowych ustaleń wynika, że Duqu jest uniwersalnym narzędziem wykorzystywanym do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów, które może zostać zmodyfikowane w zależności od danego zadania. Pierwszy etap analizy Duqu przeprowadzonej przez specjalistów z Kaspersky Lab ujawnił kilka interesujących cech trojana. Po pierwsze, każda wykryta modyfikacja tego szkodnika posiadała inne sterowniki wykorzystywane do infekowania systemów. W jednym przypadku sterownik wykorzystał fałszywy podpis cyfrowy, w innych – w ogóle nie został podpisany. Po drugie, coraz więcej przemawia za tym, że prawdopodobnie istniały też inne elementy Duqu, ale jak dotąd nie zostały jeszcze odnalezione. Na tej podstawie możemy założyć, że szkodliwy program potrafi zmieniać swoje zachowanie w zależności od atakowanego celu. Niewielka liczba wykrytych infekcji (w momencie opublikowania pierwszej części raportu z analizy Duqu przeprowadzonej przez Kaspersky Lab) to podstawowa różnica między Duqu a Stuxnetem, które pod innymi względami wykazują jednak wiele podobieństw. Od momentu zidentyfikowania pierwszych próbek Duqu eksperci z Kaspersky Lab wykryli już cztery nowe przypadki infekcji tym szkodnikiem (za pomocą opartego na chmurze systemu Kaspersky Security Network). Ofiarą jednej z nich padł użytkownik w Sudanie; pozostałe trzy były zlokalizowane w Iranie. W każdym z czterech przypadków infekcji Duqu wykorzystano unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku. Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto również dwie próby ataków sieciowych wykorzystujących lukę MS08-067. Luka ta została wcześniej wykorzystana przez Stuxneta, jak również przez starszy szkodliwy program – Kido. Pierwsza z dwóch prób ataków sieciowych miała miejsce 4 października, druga – 16 października. Obie zostały przeprowadzone z tego samego adresu IP – formalnie należącego do amerykańskiego dostawcy usług internetowych. Gdyby została odnotowana tylko jedna taka próba, moglibyśmy wpisać ją w typowy sposób działania robaka Kido. Jednak dwie jednoczesne próby sugerują, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik wykorzystywał również inne luki w zabezpieczeniach. Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: "Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele". Szczegółowe wyniki analizy Duqu są dostępne w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=756 oraz http://www.viruslist.pl/weblog.html?weblogid=757.