Kaspersky Lab: szkodliwe programy X 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy IX 2011

Nowy arsenał sztuczek cyberprzestępców

Duqu – nowy Stuxnet

Głównym tematem miesiąca było wykrycie trojana Duqu oraz jego związki ze Stuxnetem - pierwszym powszechnie znanym przykładem cyberbroni. Eksperci z węgierskiego laboratorium badawczego Crysys zidentyfikowali liczne podobieństwa w kodowaniu Duqu i Stuxneta. Sugerują one, że oba szkodniki zostały napisane przez tę samą grupę osób lub że Duqu opierał się na kodzie źródłowym Stuxneta. Wbrew krążącym pogłoskom, kod Stuxneta nie został udostępniony publicznie.

W przeciwieństwie do Stuxneta, który zawierał kod potrafiący modyfikować działanie sterowników przetworników wysokiej częstotliwości, a jego celem była ponoć instalacja wzbogacania uranu w Iranie, Duqu nie posiada funkcjonalności atakowania systemów przemysłowych. Podczas analizy pierwszego zgłoszonego incydentu na Węgrzech, stwierdzono, że pliki Duqu zawierają główny moduł odpowiedzialny za poprawne działanie trojana i możliwość kontaktowania się z serwerem kontroli. Pliki zawierały również dodatkowy moduł trojana szpiegującego. Moduł ten potrafił przechwytywać dane wprowadzane za pośrednictwem klawiatury, wykonując zrzuty ekranu, gromadząc informacje o systemie itd. Skradzione dane mogły być następnie wysyłane do serwera kontroli trojana, zlokalizowanego w tym czasie w Indiach. Gdy okazało się, że głównym celem trojana jest szpiegostwo przemysłowe – a nie sabotaż przemysłowy w stylu Stuxneta – pojawiło się mnóstwo pytań dotyczących prawdziwej funkcji Duqu.

Podczas własnego badania eksperci z Kaspersky Lab nie tylko zidentyfikowali nowe ofiary Duqu, głównie w Iranie (kolejna analogia do Stuxneta), ale również znaleźli nowe i wcześniej nieznane pliki Duqu. Potwierdza to nasze przypuszczenia, że osoby odpowiedzialne za Duqu nadal są aktywne, a ich ataki (w przeciwieństwie do masowych infekcji Stuxneta) są przeprowadzana na konkretne osoby. Ponadto, dla każdego ukierunkowanego ataku wykorzystywany jest unikatowy zestaw plików. Niewykluczone, że wykorzystywane są jeszcze inne moduły - nie tylko trojan szpiegujący, ale również moduły posiadające wiele innych funkcji.

Badanie Duqu jest w toku. Mamy nadzieję, że w następnym raporcie będziemy mogli przedstawić więcej szczegółów dotyczących tego szkodnika.

Ataki na użytkowników indywidualnych

Bundestrojan: dozwolone limity

W październiku głośny skandal wybuchł w Niemczech, po tym jak wykryto backdoora wykorzystywanego przez niemiecką policję do przechwytywania komunikacji głosowej i wiadomości z komputerów podejrzanych osób. Powodem oburzenia było nie tylko to, że do stosowania tego trojana przyznało się pięć landów, ale również fakt, że prawo federalne tego kraju zezwala organom ścigania jedynie na przechwytywanie komunikacji podejrzanych osób za pośrednictwem Skype’a, podczas gdy trojan potrafił szpiegować również wiele innych rodzajów programów.