Duqu

Duqu — це зібрання шкідливих програмних засобів виявлених 1 вересня 2011, яке вважається, пов'язаним із хробаком Стакснет. Лабораторія криптографії та системи безпеки (CrySyS Lab^[en])^[1] Будапештського університету технології та економіки (Угорщина) виявили та проаналізували загрозу цього шкідливого ПО у вигляді 60-сторінкової доповіді^[2], давши назву Duqu.^[3] Duqu отримав свою назву від префікса «~ DQ» яка є в іменах файлів, ним створених.^[4]

Номенклатура

Термін Дуку використовується у багатьох значеннях:

• Комп'ютерний вірус Дуку — це набір програм які комплексно використовуються при вірусній атаці. На цей момент він включає до себе здатність до крадіжки особистих даних у фоновому режимі. Частина вірусу була написана на невідомій мові програмування високого рівня.^[5] Названий «Duqu framework». Багато мов було перевірено, в тому числі: C++, Python, Ada, Lua. Однак результати нещодавніх досліджень [Архівовано 7 жовтня 2014 у Wayback Machine.] дозволяють припустити, що Дуку міг бути написаний на об'єктно-орієнтованому С (ОО С) та скомпільований в Microsoft Visual Studio 2008.
• Недолік Дуку — це недолік в Microsoft Windows який використовується в інфікованих файлах для того щоб виконати вірусні компоненти Дуку. На цей момент відома одна хиба, яка належить до TTF в win32k.sys.
• Операція Дуку — це процес в якому використовується лише тільки Дуку, цілі якої невідомі. Можливо ця операція належить до операції Стакснет.

Відношення до Стакснет

Symantec, базуючись на звіті Лабораторія Криптографії та Систем Безпеки, продовжує аналізувати загрозу, яку вони називають «майже ідентичною до Стакснет, але з зовсім іншою метою», та опублікували технічний документ з неї, в якій використали первинний звіт в урізаній формі як додаток.^[4][6] Symantec вважає, що Дуку був створений тією самою людиною, що й Стакснет, чи автор мав доступ до вихідного коду Стакснет. Черв'як подібний до Стакснет: має вірний, але неправильно вживаний цифровий підпис, та збирає інформацію для майбутніх атак.^[4][7]. Мікко Хіпонен^[en], головний дослідницький офіцер F-Secure сказав, що драйвер ядра Дуку JMINET7.SYS, настільки подібний до драйвера ядра Стакснет MRXCLS.SYS, що система бекенду визначила його як Стакснет. Також він заявив, що ключ який був використано для створення власного цифрового підпису Дуку був вкрадений у C-Media, розміщеної в Тайпей, Тайвань. Термін дії сертифікату мав добігти кінця 2 серпня 2012 року, але був відкликаний 14 жовтня 2011 згідно з даними Symantec.^[6]

Інше джерело, SecureWorks^[en], повідомляє, що Дуку може не належати до Стакснет. Хоче існують переконливі докази, що Дуку належить до родини Стакснет.^[8]

У ході порівняння було виявлено три подібності:

• Інсталятор використовує zero-day уразливість в ядрі Windows.
• Компоненти підписані вкраденим цифровим ключем.
• Дуку та Стакснет націлені на ядерні програми Ірану.

Мета

Duqu шукає інформацію, яка може бути корисна в нападах на промислові системи управління. Його мета не полягає в тому, щоб бути руйнівним, відомі компоненти намагаються збирати інформацію.^[9] Проте, на основі модульної структури Duqu, спеціальний модуль може бути використаний, щоб атакувати будь-який тип комп'ютерних систем за допомогою будь-яких засобів і, таким чином кібер-фізичні атаки, засновані на Duqu, можуть бути можливими. Проте, використовування на системах персональних комп'ютерів призводило до видалення всієї нещодавньої інформації, а в деяких випадках повного стирання інформації з жорсткого диску комп'ютера. Внутрішні комунікації Duqu проаналізовані Symantec,^[4] але фактичний та точний метод, як він дублюється всередині мережі ще не повністю відомий. Згідно McAfee, одним з пріоритетів Duqu є викрадання цифрових сертифікатів(та відповідно приватних ключів, які використовують відкриті криптографічні ключі) з уражених комп'ютерів, за допомогою яких майбутні віруси з'являються як безпечне програмне забезпечення.^[10] Duqu використовує 54× 54 JPEG файл і зашифровані фіктивні файли як контейнери для передачі даних його серверу керування. Експерти з безпеки ще аналізують код, щоб визначити, яка інформація міститься в передачах. Первинне дослідження показало, що первинний зразок вірусу автоматично видаляє себе після 36 днів (вірус зберігає цей параметр в файлах конфігурації), що обмежує його виявлення.^[6]

Ключові моменти:

• Вірус було розроблено після Стакснет, використовуючи первинний код, який був виявлений у Стакснет.
• Вірус розроблено для збору інформації, такої як натискання клавіш та системної інформації.
• Поточний аналіз показує, що код не пов'язаний з промисловими системами управління або з самовідтворенням.
• Виконувані файли були знайдені в обмеженій кількості організацій, в тому числі тих, що беруть участь у виробництві промислових систем управління.
• Відфільтрована інформація може бути використана для майбутніх, подібних до Стакснет атак або, можливо, вже була використана з цією метою.

Ботнети

Деякі з ботнетів Duqu були проаналізовані. Здається, що керівники, віддавали перевагу серверам CentOS 5.x, внаслідок чого деякі дослідники вважають, що вони повинні були мати уразливість zero-day. Ботнети розкидані в різних країнах, у тому числі Німеччини, Бельгії, Філіппін, Індії та Китаю. Kaspersky опублікував кілька блогпостів та ботнетів.^[11]

Див. також

• Flame (вірус)
• Проактивний захист
• Кіберкомандування США

Примітки

1. Laboratory of Cryptography and System Security (CrySyS). Архів оригіналу за 7 серпня 2019. Процитовано 4 November 2011.
2. Duqu: A Stuxnet-like malware found in the wild, technical report (PDF). Laboratory of Cryptography of Systems Security (CrySyS). 14 October 2011. Архів оригіналу (PDF) за 21 квітня 2019. Процитовано 4 листопада 2014.
3. Statement on Duqu's initial analysis. Laboratory of Cryptography of Systems Security (CrySyS). 21 October 2011. Архів оригіналу за 3 жовтень 2012. Процитовано 25 October 2011.
4. W32.Duqu – The precursor to the next Stuxnet (Version 1.4) (PDF). Symantec. 23 листопада 2011. Архів оригіналу (PDF) за 11 березня 2012. Процитовано 30 грудня 2011.
5. Shawn Knight (2012) [Архівовано 24 грудня 2017 у Wayback Machine.] Duqu Trojan contains mystery programming language in Payload DLL
6. Zetter, Kim (18 October 2011). Son of Stuxnet Found in the Wild on Systems in Europe. Wired. Архів оригіналу за 20 жовтня 2011. Процитовано 21 October 2011.
7. Virus Duqu alarmiert IT-Sicherheitsexperten. Die Zeit. 19 жовтня 2011. Архів оригіналу за 20 жовтня 2011. Процитовано 19 жовтня 2011.
8. Spotted in Iran, trojan Duqu may not be "son of Stuxnet" after all. Архів оригіналу за 28 жовтня 2011. Процитовано 27 October 2011.
9. Steven Cherry, with Larry Constantine (14 грудня 2011). Sons of Stuxnet. IEEE Spectrum. Архів оригіналу за 25 грудня 2018. Процитовано 4 листопада 2014.
10. Venere, Guilherme; Szor, Peter (18 жовтня 2011). The Day of the Golden Jackal – The Next Tale in the Stuxnet Files: Duqu. McAfee. Архів оригіналу за 31 травня 2016. Процитовано 19 жовтня 2011.
11. The mystery of Duqu part six: The command and control servers. 30 листопада 2011. Архів оригіналу за 7 червня 2014. Процитовано 30 листопада 2011.