Berta Sándor
Felbukkant Európában a Stuxnet kistestvére
Egy új kártevő aggasztja az IT-biztonsági szakembereket. A trójai európai számítógépeken bukkant fel és minden jel arra mutat, hogy a tavaly megjelent Stuxnet kistestvére.
Az új trójai program a szakértőktől a W32.Duqu nevet kapta és a célja az ipari létesítmények irányítórendszereinek kikémlelése. Az új verzióról elsőként a Symantec számolt be. A szakembereket különösen az aggasztja, hogy a Duqu a Stuxnet kódjának bizonyos részeit tartalmazza. "A Duqu alighanem egy jövőbeli támadás előfutára" - állapították meg a Symantec munkatársai, akik egy hosszabb elemzést is nyilvánosságra hoztak. Egy azonosításban közreműködő, kiterjedt nemzetközi kapcsolatokkal rendelkező kutatólabor biztosított mintákat a Symantec számára, amelyeket Európában található számítógépes rendszerekről állítottak vissza. A Duqu néhány része közel azonos a Stuxnet-tel, de teljesen más céllal jött létre.
A trójai adatokat gyűjt a megfertőzött számítógépekről, majd az információkat továbbítja a fejlesztőinek egy olyan irányítószerverre, ahonnan szükség esetén akár új modulokat is letölthet. A szerver a McAfee információi szerint Indiában található. Az egész kártevő mindössze 500 kilobájtos és a továbbított adatcsomagokat Jpeg formátumú képeknek álcázza. A kártevő több részből áll. Van egy kémmodulja, egy Remote-Access funkciója, egy billentyűleütés-figyelő alkalmazása és egy képernyőkép-lopó modulja.
Vikram Thakur, a Symantec menedzsere elmondta, hogy a kémszoftvert eddig hét vagy nyolc európai vállalat számítógépein találták meg. E cégek mindegyike ipari létesítmények rendszereinek a fejlesztésében vesz részt. Az alkalmazást kifejezetten úgy programozták, hogy 36 nap után automatikusan eltávolítsa magát a megfertőzött számítógépről és képes legyen megtéveszteni az úgynevezett Sandbox megoldásokban végrehajtott elemzéseket is. Utóbbi miatt a kártevő a telepítést követő első 15 percben semmilyen tevékenységet sem végez. Ugyanakkor azt még nem lehet tudni, hogy a Duqu pontosan milyen információkat gyűjt.
"Ami igazán megdöbbentett bennünket az az, hogy ezek az emberek még mindig aktívak. Azt hittük, hogy a Stuxnet ismertté válása után a háttérbe vonultak, de úgy tűnik, nem ez a helyzet. Tavaly is aktívak voltak" - nyilatkozta Liam O'Murchu, a Symantec szakértője. A McAfee munkatársai arra a következtetésre jutottak, hogy a Duqu segítségével olyan cégek is megtámadhatók, amelyek honlapok és szoftverek engedélyezéséhez szükséges digitális tanúsítványok kiadásával foglalkoznak. Lopott tanúsítványok segítségével bárki kiadhatja magát bárkinek és bármilyen veszélyes alkalmazás legális termékként tüntethető fel.
A Sophos Labs munkatársai úgy vélik, hogy a Duqu a C-Media nevű tajvani gyártó tanúsítványait használja fel. Mindez hasonlít a Stuxnet módszerére, amely a Realtek és a JMicron tanúsítványaival élt vissza. Mindez aligha lehet a véletlen műve. Chester Wisniewski, a Sophos elemzője ígéretet tett arra, hogy a rendelkezésre álló kódokat tüzetesen meg fogják vizsgálni, hogy kiderítsék: miért született meg a Duqu? A Stuxnet egyébként tavaly szeptemberben jelent meg, s megfertőzte 15 erőmű és más üzem számítógépes rendszereit. A Stuxnet lelassította Irán atomprogramját és az országnak korlátozott károkat okozott. Idén januárban vált ismertté, hogy a vírus izraeli lehet, majd kiderült, hogy legalább 12 000 rendszert fertőzött meg világszerte.
Az új trójai program a szakértőktől a W32.Duqu nevet kapta és a célja az ipari létesítmények irányítórendszereinek kikémlelése. Az új verzióról elsőként a Symantec számolt be. A szakembereket különösen az aggasztja, hogy a Duqu a Stuxnet kódjának bizonyos részeit tartalmazza. "A Duqu alighanem egy jövőbeli támadás előfutára" - állapították meg a Symantec munkatársai, akik egy hosszabb elemzést is nyilvánosságra hoztak. Egy azonosításban közreműködő, kiterjedt nemzetközi kapcsolatokkal rendelkező kutatólabor biztosított mintákat a Symantec számára, amelyeket Európában található számítógépes rendszerekről állítottak vissza. A Duqu néhány része közel azonos a Stuxnet-tel, de teljesen más céllal jött létre.
A trójai adatokat gyűjt a megfertőzött számítógépekről, majd az információkat továbbítja a fejlesztőinek egy olyan irányítószerverre, ahonnan szükség esetén akár új modulokat is letölthet. A szerver a McAfee információi szerint Indiában található. Az egész kártevő mindössze 500 kilobájtos és a továbbított adatcsomagokat Jpeg formátumú képeknek álcázza. A kártevő több részből áll. Van egy kémmodulja, egy Remote-Access funkciója, egy billentyűleütés-figyelő alkalmazása és egy képernyőkép-lopó modulja.
Vikram Thakur, a Symantec menedzsere elmondta, hogy a kémszoftvert eddig hét vagy nyolc európai vállalat számítógépein találták meg. E cégek mindegyike ipari létesítmények rendszereinek a fejlesztésében vesz részt. Az alkalmazást kifejezetten úgy programozták, hogy 36 nap után automatikusan eltávolítsa magát a megfertőzött számítógépről és képes legyen megtéveszteni az úgynevezett Sandbox megoldásokban végrehajtott elemzéseket is. Utóbbi miatt a kártevő a telepítést követő első 15 percben semmilyen tevékenységet sem végez. Ugyanakkor azt még nem lehet tudni, hogy a Duqu pontosan milyen információkat gyűjt.
"Ami igazán megdöbbentett bennünket az az, hogy ezek az emberek még mindig aktívak. Azt hittük, hogy a Stuxnet ismertté válása után a háttérbe vonultak, de úgy tűnik, nem ez a helyzet. Tavaly is aktívak voltak" - nyilatkozta Liam O'Murchu, a Symantec szakértője. A McAfee munkatársai arra a következtetésre jutottak, hogy a Duqu segítségével olyan cégek is megtámadhatók, amelyek honlapok és szoftverek engedélyezéséhez szükséges digitális tanúsítványok kiadásával foglalkoznak. Lopott tanúsítványok segítségével bárki kiadhatja magát bárkinek és bármilyen veszélyes alkalmazás legális termékként tüntethető fel.
A Sophos Labs munkatársai úgy vélik, hogy a Duqu a C-Media nevű tajvani gyártó tanúsítványait használja fel. Mindez hasonlít a Stuxnet módszerére, amely a Realtek és a JMicron tanúsítványaival élt vissza. Mindez aligha lehet a véletlen műve. Chester Wisniewski, a Sophos elemzője ígéretet tett arra, hogy a rendelkezésre álló kódokat tüzetesen meg fogják vizsgálni, hogy kiderítsék: miért született meg a Duqu? A Stuxnet egyébként tavaly szeptemberben jelent meg, s megfertőzte 15 erőmű és más üzem számítógépes rendszereit. A Stuxnet lelassította Irán atomprogramját és az országnak korlátozott károkat okozott. Idén januárban vált ismertté, hogy a vírus izraeli lehet, majd kiderült, hogy legalább 12 000 rendszert fertőzött meg világszerte.