Duqu 2.0: Egy agresszív kiber-kém fenyegetés újbóli feltűnése

A támadók a Duqu féreg új verzióját alkalmazzák telekom, elektronikai és akár információ-biztonsági szektorok elleni ambiciózus támadásokban

A Duqu 2.0, a kiber-kém eszköz - amit a Kaspersky Lab nevű biztonságtechnikai cég feltörésénél alkalmaztak - egy egész sor más célpont elleni támadássorozatban is szerepet játszott– beleértve több telekom társaságot is. A Symantec elemzése, ami egybecseng a Kaspersky mai értékelésével azt állapítja meg, hogy a Duqu 2.0 (amit a Symantec W32.Duqu.B-ként azonosít) a régebbi Duqu féreg evolúciója. A régebbi férget 2011-es leleplezése előtt számos ipari cél ellen felhasználták kémtámadásokra. Bár más funkcionalitású, de az eredeti Duqu féreg egy sor hasonlóságot mutat a Stuxnet féreggel, amit az iráni atomprogram szabotálására használtak.

Új támadások

A Symantec bizonyítékot talált arra, hogy a Duqu-t kisszámú kiválasztott cél elleni több támadás-kampányban is alkalmazták. A megtámadott intézmények között volt például európai telekom cég, észak-afrikai telekom cég és egy délkelet-ázsiai elektronikus berendezés gyártó. Fertőzött számítógépeket találtak az Egyesült Államokban, Egyesült Királyságban, Svédországban, Indiában és Hongkongban is.

A Kaspersky szerint a saját maga elleni támadáson kívül a Duqu-t Irán atomprogramjával kapcsolatos nemzetközi tárgyalásokban résztvevő országok elleni támadásokra használták. A megtámadott szervezetek egy része a Symantec szerint valószínűleg nem a végső cél, hanem a támadók közbülső állomásnak használták. A támadó csoport különös érdeklődése a telekom cégek iránt bizonyos személyek kommunikációjának megfigyelésére irányulhat.

A Duqu 2.0 működése

A Duqu új verziója rejtőzködő, és kizárólag a számítógép memóriájában létezik, diszkre írt fájlok nélkül. Két változata ismert. Az egyik egy egyszerű back door, amit arra használnak, hogy több számítógép megfertőzésével stabil jelenlétet érjenek el a megcélzott entitásban.

A második variáns összetettebb. Az elsővel megegyező struktúrájú, de több modulból áll, ami többféle funkciót biztosít a kártevő számára, például információt gyűjt a fertőzött számítógépről, adatot lop, hálózati struktúrát derít fel vagy a hálózatot tovább fertőzi, kommunikál a vezérlő (C&C) szerverekkel.

Úgy tűnik, ez a második verzió a támadók igazi célját képező számítógépekre települ.

Konklúzió

Értékelésünk alapján a Symantec úgy véli, hogy a Duqu 2.0 az eredeti fenyegetés evolúciója, melyet ugyanaz a támadói csoport hozott létre. A Duqu 2.0 egy teljes kiépítésű információ-tolvaj eszköz, melyet arra terveztek, hogy a cél hálózaton rejtőzködve hosszú ideig alkalmazható legyen. Létrehozói valószínűleg egyik fő eszközükként használták több információ-gyűjtő kampány során.

Mivel a Duqu eredeti verziójának felfedezése után annak aktivitása lecsökkent, valószínűnek tartjuk, hogy a csoport most újra visszavonul mielőtt újabb kártevővel jelentkezne.

Védelem

A Symantec és a Norton termékek ezt a fenyegetést a következő néven detektálják:

W32.Duqu.B

További részletes információ és a visszafejtett kódok assembly listájának összehasonlítása a Symantec következő oldalán található:

http://www.symantec.com/connect/blogs/duqu-20-reemergence-aggressive-cyberespionage-threat