Technologie » Internet
Duqu: wykryto ukierunkowane ataki na irańskie i sudańskie obiekty
Przeczytaj również
- Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
- Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
- Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
- Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików
Chociaż wciąż nie wiadomo, w jakim celu zostało stworzone to najnowsze cyberzagrożenie, z dotychczasowych ustaleń wynika, że Duqu jest uniwersalnym narzędziem wykorzystywanym do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów, które może zostać zmodyfikowane w zależności od danego zadania.
Pierwszy etap analizy Duqu przeprowadzonej przez specjalistów z Kaspersky Lab ujawnił kilka interesujących cech trojana. Po pierwsze, każda wykryta modyfikacja tego szkodnika posiadała inne sterowniki wykorzystywane do infekowania systemów. W jednym przypadku sterownik wykorzystał fałszywy podpis cyfrowy, w innych – w ogóle nie został podpisany. Po drugie, coraz więcej przemawia za tym, że prawdopodobnie istniały też inne elementy Duqu, ale jak dotąd nie zostały jeszcze odnalezione. Na tej podstawie możemy założyć, że szkodliwy program potrafi zmieniać swoje zachowanie w zależności od atakowanego celu.
Niewielka liczba wykrytych infekcji (w momencie opublikowania pierwszej części raportu z analizy Duqu przeprowadzonej przez Kaspersky Lab) to podstawowa różnica między Duqu a Stuxnetem, które pod innymi względami wykazują jednak wiele podobieństw. Od momentu zidentyfikowania pierwszych próbek Duqu eksperci z Kaspersky Lab wykryli już cztery nowe przypadki infekcji tym szkodnikiem (za pomocą opartego na chmurze systemu Kaspersky Security Network). Ofiarą jednej z nich padł użytkownik w Sudanie; pozostałe trzy były zlokalizowane w Iranie.
W każdym z czterech przypadków infekcji Duqu wykorzystano unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku. Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto również dwie próby ataków sieciowych wykorzystujących lukę MS08-067. Luka ta została wcześniej wykorzystana przez Stuxneta, jak również przez starszy szkodliwy program – Kido. Pierwsza z dwóch prób ataków sieciowych miała miejsce 4 października, druga – 16 października. Obie zostały przeprowadzone z tego samego adresu IP – formalnie należącego do amerykańskiego dostawcy usług internetowych. Gdyby została odnotowana tylko jedna taka próba, moglibyśmy wpisać ją w typowy sposób działania robaka Kido. Jednak dwie jednoczesne próby sugerują, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik wykorzystywał również inne luki w zabezpieczeniach.
Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: "Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele".
Szczegółowe wyniki analizy Duqu są dostępne w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=756 oraz http://www.viruslist.pl/weblog.html?weblogid=757.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Nadesłał:
Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl 
|
Poznaj historię Króla Maciusia – bezpłatne przedstawienie dla dzieci 
Wege odsłona warsztatów kulinarnych dla dzieci 
Rodzinne soboty z teatrzykiem w Centrum Handlowym Auchan Hetmańska
Komentarze (0)