Pár nappal ezelőtt a Symantec olyan új vírusmintára hívta fel a a figyelmet, amely kísérteties hasonlóságot mutat a világ egyik legkifinomultabb vírusával, a Stuxnettel. A fenyegetést “Duqu”-nak nevezték el, mert “~DQ” előtagú fájlneveket hoz létre. Egy azonosításban közreműködő, kiterjedt nemzetközi kapcsolatokkal rendelkező kutatólabor mintákat biztosított a Symantec számára, amelyeket Európában található számítógépes rendszerekről állítottak vissza. A Duqu néhány része közel azonos a Stuxnettel, de teljesen más céllal jött létre.

A Duqu tulajdonképpen az előfutára egy jövőbeli Stuxnetszerű támadásnak. Ugyanazok az alkotók írták (vagy azok, akik hozzáfértek a Stuxnet forráskódjához) és valószínűleg akkor készítették el, amikor az utolsó Stuxnet fájlt visszaállították. A Duqu célja, hogy összegyűjtse az intelligens adatokat és eszközöket olyan szervezetektől, mint például az ipari vezérlőrendszerek gyártói, annak érdekében, hogy megkönnyítse egy jövőbeli támadás levezetését egy harmadik fél ellen. A támadók olyan információkat keresnek, mint például a tervezési dokumentumok, amelyek segítségével könnyebben tervezhetnek támadást egy ipari ellenőrző létesítmény ellen.

A Duqu nem tartalmaz semmilyen kódot ipari vezérlőrendszerekhez kötődően, és elsősorban ez egy távoli hozzáférésű trójai (RAT). A fenyegetés nem tudja lemásolni magát. A Symantec telemetriája azt mutatja, hogy a fenyegetés elsődlegesen limitált számú szervezetet, illetve azok speciális eszközeit veszi célba. Ennek ellenére lehetséges, hogy más támadások másfajta szervezeteket vesznek célba hasonló módon, jelenleg észrevétlen variánsokkal.

A támadók arra használták a Duqut, hogy egy másik infostealert telepítsenek, amely rögzíti a billentyűleütéseket, hogy még több rendszerinformációhoz nyerjenek hozzáférést. A támadók olyan eszközöket kerestek, amelyeket felhasználhattak volna egy későbbi támadáshoz. Az egyik esetben nem bizonyultak sikeresnek az érzékeny adatok megszerzésében, de a részletek nem minden esetben elérhetőek. Két variánst visszaállítottak, és a Symantec riport archívumainak felülvizsgálatakor kiderült, hogy a binárisok első felvétele 2011. szeptember 1-jére tehető. Ennek ellenére a fájlösszeállítási idő alapján azok a támadások, amelyek ezeket a variánsokat használták, már 2010 decemberében jelen voltak.

HVG

Kényes digitális tanúsítvány

Az egyik variáns illesztőprogram fájljait egy érvényes digitális tanúsítvánnyal írták alá, amely 2012. augusztus 2-án jár le. A digitalis tanúsítvány egy tajpeji, tajvani székhelyű cégez tartozik. A tanúsítványt 2011. október 14-én vonták vissza.

A Duqu HTTP és HTTPS-t használ arra, hogy kommunikáljon az irányító, úgynevezett „command-and-control” (C&C) szerverrel, hogy az írás idejekor az még mindig működőképes legyen. A támadók le tudtak tölteni további futtatható fájlokat a C&C szervereken keresztül, beleértve egy infostealert, amely olyan műveleteket képes végrehajtani, mint például a hálózatfelsorolás, billentyűleütések felvétele és rendszerinformációk gyűjtése. Az információt átírták egy enyhén titkosított és tömörített helyi fájlba, amelyet aztán felhasználtak.

A fenyegetés saját C&C protokollt használ, és elsődlegesen azokat tölti fel, vagy tölti le, amelyek JPG fájlnak tűnnek. Amellett azonban, hogy látszólagos JPG fájlokat másol át, további kiszivárogtatott adatokat titkosít és küld, valamint valószínűleg kap is. Végül, a fenyegetést úgy tervezték, hogy 36 napig fusson, ezután pedig automatikusan eltávolítja magát a rendszerből.

A Duqu nagy mennyiségű kódot oszt meg a Stuxnettel, habár a payload végrehajtása teljesen más: ahelyett, hogy megakadályozná az ipari vezérlőrendszer működését, egy általános távoli hozzáférési képességgel rendelkezik. A Duqu alkotói hozzáfértek a Stuxnet forráskódjához is, nem csak a Stuxnet binárisaihoz. A támadók ezt a képességet akarják kihasználni arra, hogy információt gyűjtsenek privát szervezetektől, egy harmadik fél jövőbeli megtámadását elősegítve. Bár gyanítható volt, nem állítottak vissza hasonló előzményfáljt, amely előre vetítette volna a Stuxnet támadásokat.