Veszélyes trójai borzolja a kedélyeket

A Stuxnet első variánsát 2010 júniusában a VirusBlokAda kutatói fedezték fel, amikor egy iráni atomerőműben vizsgálatot folytattak. A kártékony program híre nagyon hamar a címoldalakra került, ugyanis bebizonyosodott, hogy komoly kockázatot jelent egyes ipari rendszerekre. A féreg a Siemens SIMATIC WinCC és S7 PLC rendszereinek hibáit valamint a Windows egyes sérülékenységeit használta fel arra, hogy a számítógépeket megfertőzze. A Stuxnet felbukkanása óta sok víruskutató nyilatkozott úgy, hogy ez a féreg az eddigi egyik legkifinomultabb technikákat alkalmazó kártékony program.

Mivel a Stuxnet már bebizonyította, hogy képes kritikus fontosságú rendszerek esetében is meglepetéseket okozni, ezért az antivírus cégek fokozott figyelemmel kísérik az útját. A napokban a Symantec kutatói vették észre, hogy egy olyan, Duqu névre keresztelt trójai jelent meg egyes európai rendszerekben, amely sok tekintetben hasonlít a Stuxnetre. "Meg tudjuk erősíteni, hogy a Duqu egy olyan, távoli hozzáférést lehetővé tevő trójai, amelyet vagy a Stuxnet írói készítettek, vagy egy olyan valaki, aki hozzá tudott férni a féreg kódjához" - nyilatkozta a Symantec.

Noha a Duqu kódszinten sok mindent örökölt a Stuxnettől, a célja mégis jelentősen eltér az elődjétől. Míg a Stuxnet az ipari vezérlőrendszerek szabotálására termett, addig a Duqu elsősorban adatlopásra törekszik, és ipari vezérlőrendszerekből, illetve az azokhoz kapcsolódó hálózatokból próbál minél több információt kiszivárogtatni. Az összegyűjtött adatokat HTTP vagy HTTPS protokollok segítségével juttatja ki a szervezetektől, és a jelenlegi variánsa egy indiai szerverre tölti fel az adatokat.

Kevin Haley, a Symantec termékmenedzsmentért felelős igazgatója elmondta, hogy a trójai eddig célzott támadásokban vett részt, és korlátozott számú szervezet rendszerébe került be. A szakember ugyanakkor azt nem kívánta elárulni, hogy pontosan hány és mely vállalatok, intézmények berkein belül tudták kimutatni a kározó jelenlétét. A trójai azonban felerősítette azokat az aggodalmakat, amelyek a kiberbűnözés által a kritikus infrastruktúrákra, kiemelten védett szervezetekre (atomerőművekre, víztisztítókra, vegyi üzemekre, stb.) jelentett veszélyekre vezethetők vissza.

A Duqu a fertőzött rendszerekre egy billentyűzetfigyelő összetevőt telepít fel, majd feltérképezi a belső hálózatokat. Az összegyűjtött és kiszivárogtatott információk, dokumentumok alapján a kiberbűnözés a jövőben még célzottabb támadásokat kezdeményezhet. A trójai további fontos jellemzője, hogy nem tartalmaz olyan algoritmusokat, amelyek révén automatikusan tudna terjedni. Tulajdonképpen három fontosabb komponensből épül fel: egy meghajtóprogramból, egy DLL-ből és egy konfigurációs állományból. Ezek mellett sys és pnf kierjesztésű fájlokat is létrehoz. A Duqu a fertőzött rendszereken legfeljebb 36 napig működik, majd eltávolítja a saját állományait.

A Symantec kutatói egyelőre nem tudják biztosan, hogy a Duqu által érintett szervezetek rendszereibe miként kerülhetett be a kártékony program. A védekezés terén annyit sikerült elérni, hogy a trójaihoz tartozó tanúsítványt - amely egy tajpeji vállalathoz tartozott - az érintett hitelesítésszolgáltató visszavonta.

A hír megjelenését a Biztonságportál támogatta.