Новый вирус, обозначенный как Duqu, является очень специализированным
трояном способным собирать конфиденциальную информацию с объектов, таких как
производители систем промышленного контроля, с целью облегчения проведения
будущих атак на другие компании.
«Злоумышленники ищут информацию типа конструкторскую документацию, которая
поможет им подготовить будущие атаки на оборудование промышленного контроля»,
заявляет Symantec.
Symantec сообщила о том, что получила копию вируса от неназванной
лаборатории с сильными международными связями.
Компания обнаружила, что части Duqu практически идентичны Stuxnet, но
вирус имеет другое назначение.
Duqu по сути предвестником будущих атак типа Stuxnet. Вирус был
написан теми же авторами (или теми, кто имеет доступ к коду Stuxnet) и выглядит
как созданный после восстановления Stuxnet..
Компания заявляет, что Stuxnet и Duqu имеют одинаковую модульную
структуру, механизм заражения, и драйвер с цифровой подписью
скомпрометированного ключа.
В отличие от Stuxnet, новый вирус не содержит какой либо код относящийся к
системам промышленного контроля. Но создан как троян для обеспечения
удаленного доступа, который не тиражирует себя.
Злоумышленники используют Duqu для установки другого вируса для кражи
информации, который может записать клавиатурный ввод и собирать другую
системную информацию. Преступники искали оборудование, которое может быть
использовано для будущих атак.
Один вариант файлового драйвера был подписан правомерным сертификатом,
имеющим срок до 2 августа 2012 года. Цифровой сертификат принадлежит C-Media
Electronics Incorporation, компании со штаб – квартирой в Тайпеи, Тайвань.
Сертификат был аннулирован 14 октября 2011 года.
Symantec отмечает, что Duqu использует HTTP и HTTPS для связи с
сервером для управления и контроля.
Через командный сервер преступники могли загружать
дополнительные исполняемые программы, включая infostealer, который может
отслеживать сети, записывать клавиатурный ввод и собирать системную информацию.
Информация шифруется, сжимается и передается.
Вирус сконфигурирован для работы в течение 36 дней. После этого срока
программа автоматически удаляет себя из системы.
Техническое описание сходства межде вирусами Stuxnet и Duqu может быть
найдено здесь.