Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

FAQ dotyczący Duqu

Ryan Naraine
Kaspersky Lab Expert
Dodany 20 października 2011, 10:39 CEST

Globalny zespół ds. badań i analiz firmy Kaspersky Lab prowadzi aktywne dochodzenie dotyczące Duqu. Zaprezentowany dokument FAQ będzie aktualizowany w miarę potrzeb.

Czym dokładnie jest Duqu? W jaki sposób jest powiązany ze Stuxnetem?

Duqu to wyrafinowany trojan, napisany prawdopodobnie przez te same osoby, które stworzyły niesławnego robaka Stuxneta. Jego główna funkcja polega na otwieraniu tylnych drzwi do systemu i ułatwianiu kradzieży prywatnych informacji. Jest to podstawowa różnica między nim a Stuxnetem, który został stworzony w celu przeprowadzania sabotażu przemysłowego. Trzeba również zaznaczyć, że o ile Stuxnet potrafi powielać się z jednego komputera na inny przy użyciu różnych mechanizmów, Duqu to trojan, który wydaje się być pozbawiony zdolności samodzielnego rozmnażania się.

Czy trojan atakuje sprzęt PLC/SCADA? Czym lub kim są jego cele? Czy wiadomo coś na ten temat?

W przeciwieństwie do Stuxneta, Duqu nie atakuje sprzętu PLC/SCADA bezpośrednio, jednak niektóre z jego subprocedur mogłyby zostać wykorzystane do kradzieży informacji związanych z instalacjami przemysłowymi. Wygląda na to, że Duqu został stworzony w celu gromadzenia informacji o swoich celach, które mogą obejmować wszystko, co jest dostępne w formie cyfrowej na komputerze ofiary.

W jaki sposób Duqu infekuje komputery? Czy może rozprzestrzeniać się za pośrednictwem urządzeń USB?

Jak dotąd, widzieliśmy tylko ślady pochodzące z zainfekowanych systemów, a nie główny komponent odpowiedzialny za rozmnażanie się szkodnika. Wygląda na to, że istnieje dropper, swoista “baza” dla Duqu, który infekuje komputery, jednak nie posiadamy jeszcze próbki.

Czy Duqu posiada jakiegoś exploita, w szczególności zero-day?

Jak dotąd, nie znaleźliśmy żadnych exploitów zero-day dołączonych do tego szkodnika, ale dochodzenie jest w toku. Szkodliwy kod jest dość złożony, a jego analiza bardzo czasochłonna.

W jaki sposób firmy antywirusowe dowiedziały się o tym zagrożeniu? Kto je zgłosił?

Pierwsza publiczna wzmianka, o jakiej nam wiadomo, pochodzi z wpisu węgierskiego bloggera, który prawdopodobnie padł ofiarą ataku tego szkodnika. Później osoba ta opublikowała informacje o certyfikacie wykorzystywanym do podpisywania sterownika Duqu, ostatecznie jednak wykasowała swoje posty.

Kiedy zagrożenie zostało po raz pierwszy zidentyfikowane?

14 września dodaliśmy sygnaturę wykrywania głównego komponentu odpowiedzialnego za kradzież informacji (infostealer) pod nazwą “Trojan.Win32.Inject.bjyg". Następnie znaleźliśmy wcześniejszą próbkę z 1 września 2011 r.

Ile istnieje wariantów Duqu? Czy można znaleźć większe różnice pomiędzy wariantami?

Prawdopodobnie istnieją co najmniej trzy warianty sterowników Duqu oraz kilka innych komponentów. Wszystkie z nich są wykrywane pod innymi nazwami przez różne firmy antywirusowe, co daje mylne wrażenie, że istnieje wiele różnych wariantów. Do chwili obecnej wiemy o istnieniu jednego komponentu Infostealer oraz trzech różnych sterowników.

Krążą pogłoski, że szkodnik ten atakuje głównie Instytucje Certyfikujące? Czy to prawda?

Wprawdzie pojawiły się doniesienia o tym, że głównym celem Duqu jest wykradanie informacji z Instytucji Certyfikujących, jednak na razie nie ma żadnego jednoznacznego dowodu na poparcie tego twierdzenia.

Symantec twierdzi, że szkodnik atakuje określone organizacje, prawdopodobnie w celu gromadzenia określonych informacji, które mogłyby zostać wykorzystane do przeprowadzania przyszłych ataków. O jaki typ danych chodzi i jakie rodzaje przyszłych ataków są możliwe?

Podejrzewa się, między innymi, że Duqu był wykorzystywany do kradzieży certyfikatów z Organizacji Certyfikujących, przy pomocy których można podpisać szkodliwy kod w celu utrudnienia jego wykrywania. Funkcjonalność backdoora zawartego w Duqu jest dość złożona i może mieć więcej zastosowań. Zasadniczo, można powiedzieć, że szkodnik potrafi kraść wszystko.

Czy serwer kontroli (C&C) wykorzystywany przez Duqu jest nadal aktywny? Co się dzieje, gdy zainfekowana maszyna kontaktuje się z takim serwerem?

Serwer kontroli Duqu, który był hostowany w Indiach, nie jest już aktywny. Podobnie jak w przypadku Stuxneta, został dość szybko odłączony.

Dlaczego Duqu został skonfigurowany tak, aby działał przez 36 dni?

Być może autor lubi okrągłe liczby, takie jak 6x6?

Kto stoi za tym atakiem?

Ten sam gang, który był odpowiedzialny za Stuxneta. Co ciekawe, wydaje się, że jego członkowie zainteresowali się astronomią; plik wykonywalny infostealera zawiera fragment pliku JPEG dostarczonego przez teleskop Hubble (“Interacting Galaxy System NGC 6745”):

Obrazek pokazuje skutek bezpośredniej kolizji dwóch galaktyk (!) kilka milionów lat temu. Tutaj można przeczytać historię.

Więcej szczegółów wkrótce...

* Badanie przeprowadzone przez Globalny zespół ds. badań i analiz firmy Kaspersky Lab.