Symantec znalazł spyware autorów Stuxnetu
Specjaliści do spraw bezpieczeństwa z firmy Symantec wykryli trojana — Duqu — który prawdopodobnie został napisany przez te same osoby, co cieszący się złą sławą Stuxnet. Duqu został odnaleziony na komputerach kilku europejskich firm, a konkretnie na maszynach sterujących procesem produkcyjnym.
20.10.2011 | aktual.: 21.10.2011 11:11
Symantec poinformował, że Duqu pod wieloma względami przypomina Stuxnet, a jego metody komunikacji są charakterystyczne dla nowoczesnych trojanów, na przykład ZeuSa. Symantec sugeruje, że autorzy Duqu mieli dostęp do kodu źródłowego Stuxneta, lub są to nawet te same osoby. Jednak w przeciwieństwie do Stuxneta, który został zaprojektowany aby manipulować systemami przemysłowymi, Duqu to typowy spyware, który „jedynie” zbiera i wysyła informacje. Zebrane informacje są przez robaka wysyłane do serwera kontrolującego szyfrowanym kanałem. W razie potrzeby operatorzy botnetu mają możliwość doinstalowania kolejnych komponentów robaka, co raz miało nawet miejsce — do Duqu dołączony został moduł przechwytujący i wysyłający zrzuty ekranu, wciśnięte klawisze klawiatury, listę uruchomionych procesów oraz podłączone zasoby sieciowe. Robak sam się usuwa z zainfekowanego komputera po 36 dniach od wstrzyknięcia.
Eksperci z Symanteca uważają, że Duqu to tylko zwiastun pojawienia się kolejnej generacji Stuxneta. Magazynowanie poufnych danych z zakładów przemysłowych z pewnością posłuży do przygotowania bardziej ukierunkowanych ataków na instytucje, gdzie urządzenia pochodzące z tych zakładów są wykorzystywane. Symantec nie podaje szczegółów, ale możemy spodziewać się, że w przygotowaniu jest seria akcji na miarę cyberataku na irańską elektrownię atomową z wykorzystaniem Stuxneta.
Nie wiadomo jeszcze jak Duqu się rozprzestrzenia, ale Symantec poinformował, że niektóre związane z nim pliki zostały podpisane prywatnym kluczem powiązanym z certyfikatem używanym do podpisywania oprogramowania, wydanym przez Symantec. Klucz został ukradziony jednej z zaatakowanych przez Duqu firm, ale Symantec szybko wycofał certyfikat tego klienta. Sam wydawca certyfikatu nie padł ofiarą żadnego ataku.