Stuxnetův syn ve volné přírodě na systémech v Evropě

Brrrrrrr... Nepochybně skenují celou planetu, aby našli průmyslové systémy... A autoři jsou známí! (Dodatečné informace). No, zvláště od společnosti Symantec... americké společnosti... Podívejte se na soubory „~DQ“ na svých pevných discích, abyste zjistili, zda nejste infikováni, použijte locate32 pro větší účinnost; )

 

Screen-Shot-2011-10-18-na-12.26.12-PM.png
Schéma malwaru Duqu, s laskavým svolením společnosti Symantec.

Něco málo přes rok poté, co byl na počítačových systémech v Íránu objeven ničitel infrastruktury Stuxnet, byl podle zpráv výzkumníků z bezpečnostní firmy Symantec nalezen nový malware využívající některé ze stejných technik, který infikuje systémy v Evropě.

Nový malware, nazvaný „Duqu“ [du-kyu], obsahuje části kódu, které jsou téměř identické se Stuxnetem, a zdá se, že byl napsán stejnými autory jako Stuxnet, nebo alespoň někým, kdo měl přímý přístup k Zdrojový kód Stuxnet, říká Liam O Murchu. Je jedním z předních odborníků na Stuxnet již loni se dvěma svými kolegy ve společnosti Symantec provedl hloubkovou analýzu tohoto červaa má zveřejnil dokument podrobně popisující Duquovu analýzu.

Duqu, stejně jako Stuxnet, se maskuje jako legitimní kód pomocí souboru ovladače podepsaného platným digitálním certifikátem. Certifikát patří společnosti se sídlem v Taipei na Tchaj-wanu, kterou Symantec odmítl identifikovat. F-Secure, bezpečnostní firma se sídlem ve Finsku, identifikovala Taipei společnost jako C-Media Electronics Incorporation. Platnost certifikátu měla vypršet 2. srpna 2012, ale úřady jej 14. října odvolaly, krátce poté, co Symantec začal malware zkoumat.

Nový kód se sám nereplikuje, aby se šířil – nejde tedy o červa. Neobsahuje destruktivní zátěž způsobující poškození hardwaru jako Stuxnet. Místo toho se zdá, že jde o předchůdce útoku ve stylu Stuxnet, navrženého k provádění průzkumu neznámého průmyslového řídicího systému za účelem shromažďování informací, které pak lze použít k provedení cíleného útoku.

„Když jsme předtím mluvili o Stuxnetu, očekávali jsme, že bude existovat další součást Stuxnetu, kterou jsme neviděli, a která by shromažďovala informace o tom, jak byl průmyslový areál uspořádán,“ řekl O Murchu. "Ale nikdy jsme nic takového [ve Stuxnetu] neviděli. Může to být tato slavná součást. »

Ačkoli byl Duqu vytvořen krátce po Stuxnetu, podobnou komponentu mohli použít útočníci používající Stuxnet ke shromažďování informací pro svůj náklad.

Zdá se, že Duqu byl v provozu nejméně rok. To je založeno na datech kompilace binárních souborů. Symantec tvrdí, že útoky pomocí tohoto malwaru mohly být provedeny již v prosinci 2010, přibližně pět měsíců poté, co byl Stuxnet objeven, a přibližně 18 měsíců poté, co byl Stuxnet podezřelý, že byl spuštěn na íránských počítačích.

„Opravdu překvapivé pro nás je, že tito kluci jsou stále aktivní,“ říká O Murchu. „Mysleli jsme si, že tihle chlapi po vší publicitě kolem Stuxnetu zmizí. Očividně tomu tak není. Protože byly v provozu minulý rok. Je velmi pravděpodobné, že informace, které shromáždí, budou použity pro nový útok. Byli jsme hluboce šokováni, když jsme se to dozvěděli. »

Symantec obdržel dvě varianty malwaru 14. října z neidentifikované výzkumné laboratoře „se silnými mezinárodními vazbami“.

"Je to zjevně citlivé téma, a z toho důvodu se v tuto chvíli rozhodli, že nechtějí být identifikováni," řekl O Murchu s odkazem na své rané spekulace o Stuxnetu, který vytvořil národní stát s cílem je sabotovat íránský jaderný program.

Symantec obdržel dvě varianty malwaru, z nichž obě infikovaly stejný počítač. Od té doby O Murchu a jeho kolegové našli další vzorky na asi 10 strojích. Výzkumníci po prohledání svých archivů malwaru pro podobné soubory zjistili, že jednu z variant zachytil systém Symantec pro detekci hrozeb dne 1.er Září 2011. Symantec odmítl uvést země, kde byl soubor nalezen, nebo identifikovat konkrétně infikované sektory, jinak než uvést, že se jedná o sektory výroby a kritické infrastruktury.

Přestože naprostá většina infekcí Stuxnet pochází z Íránu, O Murchu říká, že dosud objevené infekce Duqu nejsou seskupeny v konkrétní geografické oblasti. To by se však mohlo změnit, pokud se objeví nové infekce.

Název tohoto malwaru je založen na předponě „~DQ“, kterou používá v názvech souborů, které vytváří v infikovaném systému. O Murchu říká, že malware používá pět souborů. Patří mezi ně kapátko souborů, které injektuje všechny komponenty do infikovaného systému, které bude malware potřebovat ke své práci; zavaděč, který umístí soubory do paměti při spouštění počítače, a trojský kůň se vzdáleným přístupem, který slouží jako zadní vrátka na infikovaných systémech k vysávání dat, která obsahuje; stejně jako další zavaděč, který spouští trojského koně, a keylogger.

Stejně jako Stuxnet, Duqu používá sofistikovanou a jedinečnou techniku ​​ke skrytí svých komponent v paměti stroje, místo aby je četl z pevného disku, aby se vyhnul detekci antivirovými motory; používá také systém triků v Načítání souborů z paměti místo z pevný disk. Tato technika byla jedním z prvních varovných signálů, které Symantec našel ve Stuxnetu a který jim řekl, že dělá něco, co přesahuje jiné typy malwaru, které předtím viděli.

Malware je nakonfigurován tak, aby fungoval 36 dní, poté se automaticky odstraní z infikovaného systému.

O Murchu říká, že stále netuší, jak se Duquovi podařilo infikovat systémy. Stuxnet zpočátku používal hlavně zranitelnost zero-day, která umožňovala jeho šíření napříč systémy prostřednictvím infikovaného USB klíče.

"Existuje součást instalačního programu [v Duqu], kterou jsme neviděli," řekl O Murchu. "Nevíme, zda se instalační program sám replikuje." Tohle je kousek skládačky, který nám teď chybí. »

Varianty mají velikost kolem 300 kB – zatímco Stuxnet má 500 KB. Používá vlastní protokol ke komunikaci mezi infikovaným systémem a příkazovým a řídicím serverem, který odebírá data z infikovaného počítače a nahrává do něj nové komponenty. Podle O Murchu se malware pokouší skrýt svou škodlivou komunikaci tím, že ji připojí k souboru JPEG o velikosti 54 x 54 pixelů. Přidaná data jsou šifrována a výzkumníci analyzují kód, aby zjistili, co komunikace obsahuje.

Aktualizace: Tento příspěvek byl aktualizován, aby opravila velikost souboru jpeg, který malware odesílá na příkazový a řídicí server.

Zdroj: Kabelové / Google Překladač/Folamour

Doplňující informace:


Přihlaste se k odběru Daily Crashletter

Přihlaste se k odběru Crashletteru a získejte všechny nové články na webu v 17:00.

Přátelské stránky