Trojan Duqu - nowe wątki

Przeczytaj także: Ukierunkowane ataki trojana Duqu

Wnioski

W ramach dochodzenia w sprawie opisywanego incydentu określono punkty wejścia wykorzystane podczas penetracji systemów, daty zdarzeń oraz kilka faktów dotyczących postępowania osób atakujących. Informacje te pozwalają określić datę jednej z fal ataku na połowę-koniec kwietnia 2011 r. Poniżej zamieszczam kluczowe fakty ustalone podczas dochodzenia:

• dla każdej ofiary został stworzony oddzielny zestaw plików wykorzystywanych do przeprowadzenia ataku
• każdy unikatowy zestaw plików wykorzystywał oddzielny serwer kontroli;
• ataki zostały przeprowadzone za pośrednictwem wiadomości e-mail z załączonym plikiem .DOC.
• wysyłki zostały przeprowadzone z anonimowych skrzynek pocztowych, prawdopodobnie za pośrednictwem zhakowanych komputerów;
• znany jest przynajmniej jeden adres e-mail, z którego przeprowadzono wysyłki - bjason1xxxx@xxxx.com;
• dla każdej ofiary stworzono oddzielny plik DOC;
• exploit luk był zawarty w czcionce “Dexter Regular”;
• osoby atakujące zmieniały kod powłoki i zakresy dat potencjalnych infekcji;
  
• po przeniknięciu do systemu osoby atakujące instalowały dodatkowe moduły i infekowały sąsiednie komputery;
• obecność w systemie plików ~DF.tmp[pięciocyfrowa liczba] i ~DQ.tmp[czrerocyfrowa liczba] jednoznacznie wskazuje na infekcję przez Duqu.
  

Ponadto, na razie nie ujawniamy adresu serwera kontroli dla tej wersji Duqu; sądzimy jednak, że już nie działa i wszystkie znajdujące się na nim krytyczne informacje zostały usunięte przez osoby atakujące. To samo dotyczy innego wykrytego przez nas serwera kontroli. Informacje o serwerach kontroli zostaną opublikowane w późniejszym czasie.

Na chwilę obecną wiemy o istnieniu co najmniej 12 unikatowych plików Duqu. Omawiany w tym poście wariant ma nazwę variant F. Szczegółowe informacje dotyczące innych wariantów zostaną opublikowane w późniejszym terminie.