Chociaż wciąż nie wiadomo, w jakim celu zostało stworzone to najnowsze cyberzagrożenie, z dotychczasowych ustaleń wynika, że Duqu jest uniwersalnym narzędziem wykorzystywanym do przeprowadzania ukierunkowanych ataków na wyselekcjonowaną liczbę obiektów, które może zostać zmodyfikowane w zależności od danego zadania.

Pierwszy etap analizy Duqu przeprowadzonej przez specjalistów z Kaspersky Lab ujawnił kilka interesujących cech trojana. Po pierwsze, każda wykryta modyfikacja tego szkodnika posiadała inne sterowniki wykorzystywane do infekowania systemów. W jednym przypadku sterownik wykorzystał fałszywy podpis cyfrowy, w innych – w ogóle nie został podpisany. Po drugie, coraz więcej przemawia za tym, że prawdopodobnie istniały też inne elementy Duqu, ale jak dotąd nie zostały jeszcze odnalezione. Na tej podstawie możemy założyć, że szkodliwy program potrafi zmieniać swoje zachowanie w zależności od atakowanego celu.

Stuxnet

Kliknij aby powiększyć

Niewielka liczba wykrytych infekcji (w momencie opublikowania pierwszej części raportu z analizy Duqu przeprowadzonej przez Kaspersky Lab) to podstawowa różnica między Duqu a Stuxnetem, które pod innymi względami wykazują jednak wiele podobieństw. Od momentu zidentyfikowania pierwszych próbek Duqu eksperci z Kaspersky Lab wykryli już cztery nowe przypadki infekcji tym szkodnikiem (za pomocą opartego na chmurze systemu Kaspersky Security Network). Ofiarą jednej z nich padł użytkownik w Sudanie; pozostałe trzy były zlokalizowane w Iranie.

W każdym z czterech przypadków infekcji Duqu wykorzystano unikatową modyfikację sterownika, który jest niezbędny do przeprowadzenia ataku. Warto również wspomnieć, że w przypadku jednej z irańskich infekcji wykryto również dwie próby ataków sieciowych wykorzystujących lukę MS08-067. Luka ta została wcześniej wykorzystana przez Stuxneta, jak również przez starszy szkodliwy program – Kido. Pierwsza z dwóch prób ataków sieciowych miała miejsce 4 października, druga – 16 października. Obie zostały przeprowadzone z tego samego adresu IP – formalnie należącego do amerykańskiego dostawcy usług internetowych.

Stuxnet

Kliknij aby powiększyć

Gdyby została odnotowana tylko jedna taka próba, moglibyśmy wpisać ją w typowy sposób działania robaka Kido. Jednak dwie jednoczesne próby sugerują, że mieliśmy do czynienia z ukierunkowanym atakiem na określony obiekt w Iranie. Niewykluczone, że szkodnik wykorzystywał również inne luki w zabezpieczeniach.

Komentując najnowsze odkrycia, Alexander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab, powiedział: „Mimo że zaatakowane przez Duqu systemy są zlokalizowane w Iranie, jak dotąd nie ma dowodów na to, że są to systemy przemysłowe lub mają związek z programem nuklearnym. W związku z tym nie można potwierdzić, że nowe zagrożenie ma taki sam cel jak Stuxnet. Mimo to nie ma wątpliwości, że każda infekcja szkodnikiem Duqu jest unikatowa. To sugeruje, że Duqu jest wykorzystywany do ukierunkowanych ataków na wybrane cele”.