Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo

Opisi virusa, 21.10.2011, 09:51 AM

Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo

Novo sajber oružje zove se Duqu, a njegova pojava je ove nedelje bila praćena brojnim spekulacijama i raspravama u kojima je dominantna dilema - da li je novi malware direkntni naslednik Stuxnet-a dizajniran sa namerom da nanese štetu infrastrukturi razvijenim državama zapadne hemisfere.

Neki od ključnih elemenata u sastavu i ponašanju malware-a Duqu kao i okolnosti pod kojima je otkriven, doveli su mnoge stručnjake do zaključka da su ova dva malware-a zaista nekako povezani. Konkretno, nešto od koda u glavnom modulu Duqu malware-a je skoro identično delovima koda Stuxnet-a a i struktura im je slična.

I Duqu i Stuxnet koriste modularnu arhitekturu koja se sastoji od glavnog modula sa drajverom ili setom drajvera koji ubacuju DLL u sistemske procese. Takođe postoji DLL koji uključuje još jedan modul i kod za povezivanje sa C&C serverom i konfiguracijski fajl. Stuxnet takođe ima odvojenu komponentu koja je payload, a taj payload može biti zamenjen potpuno odvojenom komponentom koja je u osnovi keylogger.

Još jedna ključna sličnost između Stuxnet-a i Duqu-a je upotreba ukradenih digitalnih sertifikata za jedan ili više njihovih drajvera, što je tehnika koja pomaže malware-u da izbegne otkrivanje.

Ali to je otprilike sve kada se govori o sličnostima. Da li ovakvi argumenti, razmatrani zajedno, dokazuju da je Duqu zaista potekao od Stuxnet-a ili da ga je napravila ista grupa koja je odgovorna za Stuxnet? Ne, jer nema ni indicija da je Duqu zamišljen kao oružje za ometanje rada industrijskih kontrolnih sistema ili drugih sistema povezanih sa kritičnom infrastrukturom. Ustvari, Duqu nema kapacitete i ne uključuje bilo kakve komponente sposobne za napad na industrijske kontrolne sisteme.

Ono što pokazuju sada dostupni dokazi je da su oba malware-a osmišljena tako da ostanu neprimećeni i da kompromituju određene vrste sistema. Stuxnet je napravljen sa jednim jedinim ciljem - da napadne određene PLC (Programmable Logic Controller) uređaje. On je ispunio misiju ali je usled nekih nepredvih događaja crv našao put do Windows-a i započeo sa širenjem na korisničkim računarima, što je ubrzalo njegovo otkrivanje.

Duqu je takođe napravljen sa određenim ciljem, kažu istraživači, ali nije jasno kakav bi to cilj mogao biti.

“Za razliku od Stuxnet-a, koji je inficirao mnogo sistema ali tragao za određenom metom, Duqu inficira veoma mali broj veoma specifičnih sistema širom sveta, ali koristi potpuno različite module za svaki sistem. Pored toga, trenutno niko nije pronašao instalacioni fajl (dropper), koji bi morao biti prvi link u lancu infekcije - odgovoran za instalaciju i drajvera i DLL. Taj fajl bi mogao biti crv i koristiti različite exploit-e. Taj fajl je ključ za rešenje zagonetke zvane Duqu,” kaže Aleks Gostev iz Kaspersky Laboratorije u svojoj analizi ovog malware-a.

Sasvim je moguće da je Duqu delo iste grupe koja stoji iza Stuxnet-a. Mnogi stručnjaci smatraju da je ovo najprihvatljivija teorija zbog toga što kod Stuxnet-a nije dostupan javnosti.

Ostajući u domenu nagađanja, moglo bi se pretpostaviti da su autori Stuxnet-a, budući da su imali uspeha koristeći Stuxnet za napad na nuklearno postrojenje u Iranu, sada na drugom zadatku. Stručnjaci kažu da je do ovog trenutka uočeno nekoliko verzija Duqu, ali da se ne može znatti koliko ih je još u opticaju, koji tiho rade ono zbog čega je osmišljen Duqu.

Ipak, treba biti oprezan kada se govori o Duqu kao o nasledniku Stuxnet-a jer dovođenje u vezu ta dva malware-a nužno implicira pretpostavke o prirodi ove pretnje. Dovoljno je pogledati naslove tekstova čiji se autori bave Duqu malware-om pa da bude jasno da je on već viđen kao oružje sajber rata.

“Kako takvi visokocilajni napadi budu postajali sve češći a tema elektronskog ratovanja i špijunaže sve cenjenija u popularnoj kulturi, oni koji u zajednici okupljenoj oko bezbednosti razumeju prirodu i ozbiljnost ovakvih pretnji i napada bi trebalo da preuzmu na sebe odgovornost kada koriste Stuxnet kao osnovu za poređenje,” zaključuje Denis Fišer koluminista ThreatPost-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje