Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo

Opisi virusa, 21.10.2011, 09:51 AM

Zagonetka zvana Duqu: Naslednik Stuxnet-a ili nešto sasvim drugo

Novo sajber oružje zove se Duqu, a njegova pojava je ove nedelje bila praćena brojnim spekulacijama i raspravama u kojima je dominantna dilema - da li je novi malware direkntni naslednik Stuxnet-a dizajniran sa namerom da nanese štetu infrastrukturi razvijenim državama zapadne hemisfere.

Neki od ključnih elemenata u sastavu i ponašanju malware-a Duqu kao i okolnosti pod kojima je otkriven, doveli su mnoge stručnjake do zaključka da su ova dva malware-a zaista nekako povezani. Konkretno, nešto od koda u glavnom modulu Duqu malware-a je skoro identično delovima koda Stuxnet-a a i struktura im je slična.

I Duqu i Stuxnet koriste modularnu arhitekturu koja se sastoji od glavnog modula sa drajverom ili setom drajvera koji ubacuju DLL u sistemske procese. Takođe postoji DLL koji uključuje još jedan modul i kod za povezivanje sa C&C serverom i konfiguracijski fajl. Stuxnet takođe ima odvojenu komponentu koja je payload, a taj payload može biti zamenjen potpuno odvojenom komponentom koja je u osnovi keylogger.

Još jedna ključna sličnost između Stuxnet-a i Duqu-a je upotreba ukradenih digitalnih sertifikata za jedan ili više njihovih drajvera, što je tehnika koja pomaže malware-u da izbegne otkrivanje.

Ali to je otprilike sve kada se govori o sličnostima. Da li ovakvi argumenti, razmatrani zajedno, dokazuju da je Duqu zaista potekao od Stuxnet-a ili da ga je napravila ista grupa koja je odgovorna za Stuxnet? Ne, jer nema ni indicija da je Duqu zamišljen kao oružje za ometanje rada industrijskih kontrolnih sistema ili drugih sistema povezanih sa kritičnom infrastrukturom. Ustvari, Duqu nema kapacitete i ne uključuje bilo kakve komponente sposobne za napad na industrijske kontrolne sisteme.

Ono što pokazuju sada dostupni dokazi je da su oba malware-a osmišljena tako da ostanu neprimećeni i da kompromituju određene vrste sistema. Stuxnet je napravljen sa jednim jedinim ciljem - da napadne određene PLC (Programmable Logic Controller) uređaje. On je ispunio misiju ali je usled nekih nepredvih događaja crv našao put do Windows-a i započeo sa širenjem na korisničkim računarima, što je ubrzalo njegovo otkrivanje.

Duqu je takođe napravljen sa određenim ciljem, kažu istraživači, ali nije jasno kakav bi to cilj mogao biti.

“Za razliku od Stuxnet-a, koji je inficirao mnogo sistema ali tragao za određenom metom, Duqu inficira veoma mali broj veoma specifičnih sistema širom sveta, ali koristi potpuno različite module za svaki sistem. Pored toga, trenutno niko nije pronašao instalacioni fajl (dropper), koji bi morao biti prvi link u lancu infekcije - odgovoran za instalaciju i drajvera i DLL. Taj fajl bi mogao biti crv i koristiti različite exploit-e. Taj fajl je ključ za rešenje zagonetke zvane Duqu,” kaže Aleks Gostev iz Kaspersky Laboratorije u svojoj analizi ovog malware-a.

Sasvim je moguće da je Duqu delo iste grupe koja stoji iza Stuxnet-a. Mnogi stručnjaci smatraju da je ovo najprihvatljivija teorija zbog toga što kod Stuxnet-a nije dostupan javnosti.

Ostajući u domenu nagađanja, moglo bi se pretpostaviti da su autori Stuxnet-a, budući da su imali uspeha koristeći Stuxnet za napad na nuklearno postrojenje u Iranu, sada na drugom zadatku. Stručnjaci kažu da je do ovog trenutka uočeno nekoliko verzija Duqu, ali da se ne može znatti koliko ih je još u opticaju, koji tiho rade ono zbog čega je osmišljen Duqu.

Ipak, treba biti oprezan kada se govori o Duqu kao o nasledniku Stuxnet-a jer dovođenje u vezu ta dva malware-a nužno implicira pretpostavke o prirodi ove pretnje. Dovoljno je pogledati naslove tekstova čiji se autori bave Duqu malware-om pa da bude jasno da je on već viđen kao oružje sajber rata.

“Kako takvi visokocilajni napadi budu postajali sve češći a tema elektronskog ratovanja i špijunaže sve cenjenija u popularnoj kulturi, oni koji u zajednici okupljenoj oko bezbednosti razumeju prirodu i ozbiljnost ovakvih pretnji i napada bi trebalo da preuzmu na sebe odgovornost kada koriste Stuxnet kao osnovu za poređenje,” zaključuje Denis Fišer koluminista ThreatPost-a.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje

Novi opasni ransomware briše sadržaj fajlova na uređajima

Novi opasni ransomware briše sadržaj fajlova na uređajima

Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje

Malver Acreed: nova zvezda na crnom sajber-tržištu

Malver Acreed: nova zvezda na crnom sajber-tržištu

Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja

Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje