A támadók a Duqu féreg új verzióját alkalmazzák telekom, elektronikai és akár információ-biztonsági szektorok elleni ambiciózus támadásokban
A Duqu 2.0, a kiber-kém eszköz - amit a Kaspersky Lab nevű biztonságtechnikai cég feltörésénél alkalmaztak - egy egész sor más célpont elleni támadássorozatban is szerepet játszott– beleértve több telekom társaságot is. A Symantec elemzése, ami egybecseng a Kaspersky mai értékelésével azt állapítja meg, hogy a Duqu 2.0 (amit a Symantec W32.Duqu.B-ként azonosít) a régebbi Duqu féreg evolúciója. A régebbi férget 2011-es leleplezése előtt számos ipari cél ellen felhasználták kémtámadásokra. Bár más funkcionalitású, de az eredeti Duqu féreg egy sor hasonlóságot mutat a Stuxnet féreggel, amit az iráni atomprogram szabotálására használtak.
Új támadások
A Symantec bizonyítékot talált arra, hogy a Duqu-t kisszámú kiválasztott cél elleni több támadás-kampányban is alkalmazták. A megtámadott intézmények között volt például európai telekom cég, észak-afrikai telekom cég és egy délkelet-ázsiai elektronikus berendezés gyártó. Fertőzött számítógépeket találtak az Egyesült Államokban, Egyesült Királyságban, Svédországban, Indiában és Hongkongban is.
A Kaspersky szerint a saját maga elleni támadáson kívül a Duqu-t Irán atomprogramjával kapcsolatos nemzetközi tárgyalásokban résztvevő országok elleni támadásokra használták. A megtámadott szervezetek egy része a Symantec szerint valószínűleg nem a végső cél, hanem a támadók közbülső állomásnak használták. A támadó csoport különös érdeklődése a telekom cégek iránt bizonyos személyek kommunikációjának megfigyelésére irányulhat.
A Duqu 2.0 működése
A Duqu új verziója rejtőzködő, és kizárólag a számítógép memóriájában létezik, diszkre írt fájlok nélkül. Két változata ismert. Az egyik egy egyszerű back door, amit arra használnak, hogy több számítógép megfertőzésével stabil jelenlétet érjenek el a megcélzott entitásban.
A második variáns összetettebb. Az elsővel megegyező struktúrájú, de több modulból áll, ami többféle funkciót biztosít a kártevő számára, például információt gyűjt a fertőzött számítógépről, adatot lop, hálózati struktúrát derít fel vagy a hálózatot tovább fertőzi, kommunikál a vezérlő (C&C) szerverekkel.
Úgy tűnik, ez a második verzió a támadók igazi célját képező számítógépekre települ.
Konklúzió
Értékelésünk alapján a Symantec úgy véli, hogy a Duqu 2.0 az eredeti fenyegetés evolúciója, melyet ugyanaz a támadói csoport hozott létre. A Duqu 2.0 egy teljes kiépítésű információ-tolvaj eszköz, melyet arra terveztek, hogy a cél hálózaton rejtőzködve hosszú ideig alkalmazható legyen. Létrehozói valószínűleg egyik fő eszközükként használták több információ-gyűjtő kampány során.
Mivel a Duqu eredeti verziójának felfedezése után annak aktivitása lecsökkent, valószínűnek tartjuk, hogy a csoport most újra visszavonul mielőtt újabb kártevővel jelentkezne.
Védelem
A Symantec és a Norton termékek ezt a fenyegetést a következő néven detektálják:
További részletes információ és a visszafejtett kódok assembly listájának összehasonlítása a Symantec következő oldalán található:
http://www.symantec.com/connect/blogs/duqu-20-reemergence-aggressive-cyberespionage-threat