Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo

Opisi virusa, 21.10.2011, 09:51 AM

Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo

Novo sajber oružje zove se Duqu, a njegova pojava je ove nedelje bila praćena brojnim spekulacijama i raspravama u kojima je dominantna dilema - da li je novi malware direkntni naslednik Stuxnet-a dizajniran sa namerom da nanese štetu infrastrukturi razvijenim državama zapadne hemisfere.

Neki od ključnih elemenata u sastavu i ponašanju malware-a Duqu kao i okolnosti pod kojima je otkriven, doveli su mnoge stručnjake do zaključka da su ova dva malware-a zaista nekako povezani. Konkretno, nešto od koda u glavnom modulu Duqu malware-a je skoro identično delovima koda Stuxnet-a a i struktura im je slična.

I Duqu i Stuxnet koriste modularnu arhitekturu koja se sastoji od glavnog modula sa drajverom ili setom drajvera koji ubacuju DLL u sistemske procese. Takođe postoji DLL koji uključuje još jedan modul i kod za povezivanje sa C&C serverom i konfiguracijski fajl. Stuxnet takođe ima odvojenu komponentu koja je payload, a taj payload može biti zamenjen potpuno odvojenom komponentom koja je u osnovi keylogger.

Još jedna ključna sličnost između Stuxnet-a i Duqu-a je upotreba ukradenih digitalnih sertifikata za jedan ili više njihovih drajvera, što je tehnika koja pomaže malware-u da izbegne otkrivanje.

Ali to je otprilike sve kada se govori o sličnostima. Da li ovakvi argumenti, razmatrani zajedno, dokazuju da je Duqu zaista potekao od Stuxnet-a ili da ga je napravila ista grupa koja je odgovorna za Stuxnet? Ne, jer nema ni indicija da je Duqu zamišljen kao oružje za ometanje rada industrijskih kontrolnih sistema ili drugih sistema povezanih sa kritičnom infrastrukturom. Ustvari, Duqu nema kapacitete i ne uključuje bilo kakve komponente sposobne za napad na industrijske kontrolne sisteme.

Ono što pokazuju sada dostupni dokazi je da su oba malware-a osmišljena tako da ostanu neprimećeni i da kompromituju određene vrste sistema. Stuxnet je napravljen sa jednim jedinim ciljem - da napadne određene PLC (Programmable Logic Controller) uređaje. On je ispunio misiju ali je usled nekih nepredvih događaja crv našao put do Windows-a i započeo sa širenjem na korisničkim računarima, što je ubrzalo njegovo otkrivanje.

Duqu je takođe napravljen sa određenim ciljem, kažu istraživači, ali nije jasno kakav bi to cilj mogao biti.

“Za razliku od Stuxnet-a, koji je inficirao mnogo sistema ali tragao za određenom metom, Duqu inficira veoma mali broj veoma specifičnih sistema širom sveta, ali koristi potpuno različite module za svaki sistem. Pored toga, trenutno niko nije pronašao instalacioni fajl (dropper), koji bi morao biti prvi link u lancu infekcije - odgovoran za instalaciju i drajvera i DLL. Taj fajl bi mogao biti crv i koristiti različite exploit-e. Taj fajl je ključ za rešenje zagonetke zvane Duqu,” kaže Aleks Gostev iz Kaspersky Laboratorije u svojoj analizi ovog malware-a.

Sasvim je moguće da je Duqu delo iste grupe koja stoji iza Stuxnet-a. Mnogi stručnjaci smatraju da je ovo najprihvatljivija teorija zbog toga što kod Stuxnet-a nije dostupan javnosti.

Ostajući u domenu nagađanja, moglo bi se pretpostaviti da su autori Stuxnet-a, budući da su imali uspeha koristeći Stuxnet za napad na nuklearno postrojenje u Iranu, sada na drugom zadatku. Stručnjaci kažu da je do ovog trenutka uočeno nekoliko verzija Duqu, ali da se ne može znatti koliko ih je još u opticaju, koji tiho rade ono zbog čega je osmišljen Duqu.

Ipak, treba biti oprezan kada se govori o Duqu kao o nasledniku Stuxnet-a jer dovođenje u vezu ta dva malware-a nužno implicira pretpostavke o prirodi ove pretnje. Dovoljno je pogledati naslove tekstova čiji se autori bave Duqu malware-om pa da bude jasno da je on već viđen kao oružje sajber rata.

“Kako takvi visokocilajni napadi budu postajali sve češći a tema elektronskog ratovanja i špijunaže sve cenjenija u popularnoj kulturi, oni koji u zajednici okupljenoj oko bezbednosti razumeju prirodu i ozbiljnost ovakvih pretnji i napada bi trebalo da preuzmu na sebe odgovornost kada koriste Stuxnet kao osnovu za poređenje,” zaključuje Denis Fišer koluminista ThreatPost-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje