Obecnie prowadzone jest dochodzenie dotyczące kilku incydentów związanych z infekcją trojana Duqu. Poczyniliśmy pewne postępy w „rozgryzaniu” Duqu, a także udało nam się zebrać kilka brakujących komponentów, bez których trudno zrozumieć, co tak naprawdę się dzieje.

Specjaliści z sudańskiego CERT-a służyli pomocą i wykazali się profesjonalizmem – zgodnie z wartościami i celami każdej placówki CERT na świecie.

Porównanie wykrytych danych z tymi, które uzyskali inni badacze i firmy antywirusowe, pozwoliło ustalić różne cechy wspólne, na podstawie których odtworzyliśmy przybliżoną chronologię zdarzeń oraz określiliśmy ogólne metody wykorzystywane przez autorów Duqu.

Istnieje korelacja między datami incydentu a historią wykrycia wirusa o nazwie Stars w Iranie. W tym czasie irańscy specjaliści nie przekazywali próbek wykrytego wirusa firmom antywirusowym, co stanowiło poważny błąd, który zapoczątkował wszystkie kolejne wydarzenia w sadze o Duqu. Irańczycy najprawdopodobniej znaleźli moduł keyloggera, który został załadowny do systemu i zawierał zdjęcie galaktyki NGC 6745. Wyjaśnia to nadaną mu nazwę Stars.

Moduł keyloggera ze zdjęciem Galaktyki

Kliknij aby powiększyć

Możliwe, że irańscy specjaliści znaleźli tylko keyloggera, a główny moduł Duqu oraz dropper (łącznie z dokumentami zawierającymi nieznaną wtedy lukę) pozostawały niewykryte.

Etap 1: Penetracja, e-mail

Atak został przeprowadzony na wybrany wcześniej cel. Z oczywistych powodów nie możemy ujawniać nazwy firmy, która była celem w incydencie nr 1. Podobnie jak w przypadku incydentu badanego przez CrySyS Lab, atak został przeprowadzony za pośrednictwem poczty e-mail.

Obiekt został zaatakowany dwukrotnie - 17 i 21 kwietnia 2011 r. Pierwsza próba okazała się nieudana (e-mail od osób atakujących trafił do śmieci). Atak został powtórzony cztery dni później, jednak z nieco zmienionym tematem e-maila.

Fałszywy e-mail

Kliknij aby powiększyć