Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo
Opisi virusa, 21.10.2011, 09:51 AM
Novo sajber oružje zove se Duqu, a njegova pojava je ove nedelje bila praćena brojnim spekulacijama i raspravama u kojima je dominantna dilema - da li je novi malware direkntni naslednik Stuxnet-a dizajniran sa namerom da nanese štetu infrastrukturi razvijenim državama zapadne hemisfere.
Neki od ključnih elemenata u sastavu i ponašanju malware-a Duqu kao i okolnosti pod kojima je otkriven, doveli su mnoge stručnjake do zaključka da su ova dva malware-a zaista nekako povezani. Konkretno, nešto od koda u glavnom modulu Duqu malware-a je skoro identično delovima koda Stuxnet-a a i struktura im je slična.
I Duqu i Stuxnet koriste modularnu arhitekturu koja se sastoji od glavnog modula sa drajverom ili setom drajvera koji ubacuju DLL u sistemske procese. Takođe postoji DLL koji uključuje još jedan modul i kod za povezivanje sa C&C serverom i konfiguracijski fajl. Stuxnet takođe ima odvojenu komponentu koja je payload, a taj payload može biti zamenjen potpuno odvojenom komponentom koja je u osnovi keylogger.
Još jedna ključna sličnost između Stuxnet-a i Duqu-a je upotreba ukradenih digitalnih sertifikata za jedan ili više njihovih drajvera, što je tehnika koja pomaže malware-u da izbegne otkrivanje.
Ali to je otprilike sve kada se govori o sličnostima. Da li ovakvi argumenti, razmatrani zajedno, dokazuju da je Duqu zaista potekao od Stuxnet-a ili da ga je napravila ista grupa koja je odgovorna za Stuxnet? Ne, jer nema ni indicija da je Duqu zamišljen kao oružje za ometanje rada industrijskih kontrolnih sistema ili drugih sistema povezanih sa kritičnom infrastrukturom. Ustvari, Duqu nema kapacitete i ne uključuje bilo kakve komponente sposobne za napad na industrijske kontrolne sisteme.
Ono što pokazuju sada dostupni dokazi je da su oba malware-a osmišljena tako da ostanu neprimećeni i da kompromituju određene vrste sistema. Stuxnet je napravljen sa jednim jedinim ciljem - da napadne određene PLC (Programmable Logic Controller) uređaje. On je ispunio misiju ali je usled nekih nepredvih događaja crv našao put do Windows-a i započeo sa širenjem na korisničkim računarima, što je ubrzalo njegovo otkrivanje.
Duqu je takođe napravljen sa određenim ciljem, kažu istraživači, ali nije jasno kakav bi to cilj mogao biti.
“Za razliku od Stuxnet-a, koji je inficirao mnogo sistema ali tragao za određenom metom, Duqu inficira veoma mali broj veoma specifičnih sistema širom sveta, ali koristi potpuno različite module za svaki sistem. Pored toga, trenutno niko nije pronašao instalacioni fajl (dropper), koji bi morao biti prvi link u lancu infekcije - odgovoran za instalaciju i drajvera i DLL. Taj fajl bi mogao biti crv i koristiti različite exploit-e. Taj fajl je ključ za rešenje zagonetke zvane Duqu,” kaže Aleks Gostev iz Kaspersky Laboratorije u svojoj analizi ovog malware-a.
Sasvim je moguće da je Duqu delo iste grupe koja stoji iza Stuxnet-a. Mnogi stručnjaci smatraju da je ovo najprihvatljivija teorija zbog toga što kod Stuxnet-a nije dostupan javnosti.
Ostajući u domenu nagađanja, moglo bi se pretpostaviti da su autori Stuxnet-a, budući da su imali uspeha koristeći Stuxnet za napad na nuklearno postrojenje u Iranu, sada na drugom zadatku. Stručnjaci kažu da je do ovog trenutka uočeno nekoliko verzija Duqu, ali da se ne može znatti koliko ih je još u opticaju, koji tiho rade ono zbog čega je osmišljen Duqu.
Ipak, treba biti oprezan kada se govori o Duqu kao o nasledniku Stuxnet-a jer dovođenje u vezu ta dva malware-a nužno implicira pretpostavke o prirodi ove pretnje. Dovoljno je pogledati naslove tekstova čiji se autori bave Duqu malware-om pa da bude jasno da je on već viđen kao oružje sajber rata.
“Kako takvi visokocilajni napadi budu postajali sve češći a tema elektronskog ratovanja i špijunaže sve cenjenija u popularnoj kulturi, oni koji u zajednici okupljenoj oko bezbednosti razumeju prirodu i ozbiljnost ovakvih pretnji i napada bi trebalo da preuzmu na sebe odgovornost kada koriste Stuxnet kao osnovu za poređenje,” zaključuje Denis Fišer koluminista ThreatPost-a.
Izdvojeno
Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja
Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje
Malver TodoSwift inficira macOS maskiran u PDF aplikaciju
Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje
Novi malver Banshee Stealer krade podatke sa macOS računara
Kompanija za sajber bezbednost Elastic objavila je da su njeni istraživači otkrili novi malver za krađu informacija pod nazivom Banshee Stealer koj... Dalje
''Nevidiljivi'' malver krade lozinke i podatke sa kreditnih kartica
Analitičari malvera iz kompanije Barracuda Networks otkrili su novi sofisticirani phishing napad koji uključuje "nevidljivi" malver za krađu inform... Dalje
U toku je operacija čišćenja hiljade računara od malvera PlugX
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Pratite nas
Nagrade