Duqu - nový špoionážny malware podobný Stuxnetu

Organizácie podieľajúce sa na správe kritickej infraštruktúry a veľké priemyselné korporácie znepokojuje nová hrozba. Je ňou malware označovaný ako Duqu, nápadne sa podobajúci neslávne známemu červu Stuxnet.

Podľa spoločnosti Symantec je novo objavený malware takmer totožný so Stuxnetom, dá sa tak predpokladať, že pochádza od rovnakých autorov, alebo mali jeho autori prístup k samotnému zdrojovému kódu Stuxnetu. V tom prípade by sa dalo hovoriť aj o označení „Stuxnet 2.“

Hoci jeden variant Duqu bol pravdepodobne vyvinutý len tento mesiac, ďalšie sa môžu údajne šíriť už od decembra minulého roka. Infiltrácia bola detegovaná v niekoľkých organizáciách, kde bol spolu s ňou objavený, ako súčasť i škodlivý kód v podobe keyloggerov. Konkrétne spoločnosti neboli menované, má však ísť o organizácie pôsobiace v Európe.

Primárnou úlohou malware je zhromažďovať a odosielať odcudzené informácie útočníkom. Podľa Symantecu ide o akúsi "prieskumnú misiu," ktorá má predchádzať prípadným ďalším kybernetickým útokom. Tomuto tvrdeniu nasvedčuje viacero faktov z pohľadu na technickú funkčnosť tohto malware. Na komunikáciu s riadiacim severom je využívaný šifrovaný (https) i nešifrovaný (http) protokol. Nazhromaždené dáta sú komprimované i šifrované a odosielané na servery útočníkov. Jeden z riadiacich serverov sa podľa IP adresy pravdepodobne nachádzal v Indii, v súčasnosti je už zablokovaný. Okrem toho je malware schopný do počítača nainštalovať aj akýkoľvek iný škodlivý kód, či deaktivovať bezpečnostné aplikácie. Pre ukrývanie svojej činnosti v systéme používa rootkit techniky, konkrétne maskovanie pomocou špecifických DLL knižníc.

Infiltrácia je v počítači aktívna iba 36 dní. Po uplynutí tejto doby sa automaticky odstráni z infikovaného systému. Podobnosť s červom Stuxnet možno vnímať hneď v niekoľkých oblastiach. Duqu používa kernel driver JMINET7.SYS, Stuxnet využíval ovládač MRXCLS.SYS. Rovnako ako Stuxnet aj Duqu vsadil na využitie ukradnutých digitálnych certifikátov. Duqu využíva odcudzený certifikát C-Media Electronics, ktorého platnosť skončila 14. októbra. Stuxnet používal podobne certifikát podpísaný Taiwanskou spoločnosťou. Obe infiltrácie fungujú aj vďaka zašifrovaným DLL knižniciam načítavaným do systémových procesov. Rozdiel medzi Doqu a Stuxnetom je najmä v spôsobe deštrukčnosti a sebareplikácie.

Názor spoločnosti McAfee je mierne odlišný od názoru spoločnosti Symantec. McAfee na rozdiel od účelu prieskumnej misie tvrdí, že Duqu je zameraný najmä na útoky voči certifikačným autoritám v Európe, Ázií a Afrike. McAfee si taktiež myslí, že certifikát používaný pri šírení Duqu bol získaný priamym útokom na certifikačnú autoritu, Symantec naopak zastáva scenár o krádeži certifikátu. Za Duqu pravdepodobne stojí skupina s dobrým finančným zázemím, alebo samotná vláda niektorej krajiny.

Zdroj: theregister.co.uk, net-security.org, computerworld.com