Grupa Duqu špijunirala i telekomunikacijske kompanije

Vesti, 12.06.2015, 01:30 AM

Grupa koja stoji iza alata za sajber špijunažu Duqu 2 nije samo napala Kaspersky Lab. Osim ruske kompanije, među njenim žrtvama su i telekomunikacijske kompanije iz Evrope i Severne Afrike, kao i proizvođač elektronske opreme iz jugoistočne Azije.

Aktivnosti ove grupe nije pratio samo Kaspersky Lab, već i kompanija Symantec, koja je objavila svoje informacije o novim napadima ove grupe.

Kompjuteri inficirani sa Duqu 2 pronađeni su u SAD, Velikoj Britaniji, Švedskoj, Indiji i Hong Kongu, pokazuju telemetrijski podaci kompanije Symantec. Na listi zemalja u kojoj je otkriven Duqu je i Rusija.

Prosečni korisnici nemaju razlog za brigu, kažu iz Symanteca, jer je Duqu rezervisan samo za odabrane ciljeve.

Iz Kaspersky Laba kažu da su infekcije primećene na mestima gde su se vodili pregovori između svetskih sila i Irana. Kaspersky Lab je identifikovao infekcije sa Duqu 2.0 u hotelima u kojima su održavani sastanci na kojima su učestvovali predstavnici SAD, Nemačke, Francuske, Rusije, Velike Britanije, Kine i Irana. Infekcije su otkrivene i na mestu na kome je 27. januara održana komemoracija povodom 70 godina od oslobođenja Aušvica.

Kompanija Kaspersky Lab je otkrila da je početkom proleća nekoliko njenih internih sistema inficirano novom verzijom sofisticirane maliciozne platforme Duqu za koju se veruje da je povezana sa čuvenim kompjuterskim crvom Stuxnet koji je korišćen za sabotažu centrifuga u iranskom postrojenju za obogaćivanje uranijuma Natanz.

S obzirom na raznolikost ciljeva, u Symantecu veruju da su Duqu napadači umešani u nekoliko kampanja sajber špijunaže. Neke organizacije možda nisu krajnji ciljevi delovanja grupe, već samo sredstvo da se dođe do krajnjeg cilja.

Istraživači su upoređivali novu sa prethodnom verzijom platforme, i došli do zaključka da je nova verzija sofisticiranija. Jedna od razlika je da Duqu 2 ne ostavlja tragove na disku, što otežava njeno otkrivanje na kompromitovanom sistemu. Duqu 2 to postiže boravkom u memoriji kompjutera. Zato restartovanje računara uklanja ovakav malver. Međutim, širenjem kroz mrežu, Duqu 2 može ponovo inficirati sistem koji je restartovan.

S obzirom da su otkriveni, u ovom trenutku grupa će verovatno obustaviti svoju aktivnost da bi napravila novi malver.

Zbog sofisticiranosti maliciozne platforme i tehnika koje su primenili njeni tvorci, uključujući i korišćenje nekoliko 0-day exploita, u kompaniji Kaspersky Lab veruju da iza Duqu 2 stoji neka država.

Wall Street Journal je u sredu objavio da je neimenovani bivši američki vladin zvaničnik rekao da veruje da iza Duqu stoji Izrael. To bi objasnilo interes grupe da špijunira pregovore sa Iranom, kao i to što ova platforma ima neke sličnosti sa Stuxnetom, za koji se veruje da je zajednički projekat SAD i Izraela.

Grupa je poznata po kompromitovanju "utilitarnih ciljeva". Takvi ciljevi su i kompanije kao što je Kaspersky Lab ili telekomunikacijske kompanije, čije informacije i sredstva mogu pomoći grupi da unapredi svoje napade i postigne krajnje ciljeve.