Trojan Duqu - nowe wątki
2011-11-18 10:16
Moduł keyloggera ze zdjęciem Galaktyki © fot. mat. prasowe
Przeczytaj także: Ukierunkowane ataki trojana Duqu
Obecnie prowadzone jest dochodzenie dotyczące kilku incydentów związanych z infekcją trojana Duqu. Poczyniliśmy pewne postępy w „rozgryzaniu” Duqu, a także udało nam się zebrać kilka brakujących komponentów, bez których trudno zrozumieć, co tak naprawdę się dzieje.Specjaliści z sudańskiego CERT-a służyli pomocą i wykazali się profesjonalizmem – zgodnie z wartościami i celami każdej placówki CERT na świecie.
Porównanie wykrytych danych z tymi, które uzyskali inni badacze i firmy antywirusowe, pozwoliło ustalić różne cechy wspólne, na podstawie których odtworzyliśmy przybliżoną chronologię zdarzeń oraz określiliśmy ogólne metody wykorzystywane przez autorów Duqu.
Istnieje korelacja między datami incydentu a historią wykrycia wirusa o nazwie Stars w Iranie. W tym czasie irańscy specjaliści nie przekazywali próbek wykrytego wirusa firmom antywirusowym, co stanowiło poważny błąd, który zapoczątkował wszystkie kolejne wydarzenia w sadze o Duqu. Irańczycy najprawdopodobniej znaleźli moduł keyloggera, który został załadowny do systemu i zawierał zdjęcie galaktyki NGC 6745. Wyjaśnia to nadaną mu nazwę Stars.
fot. mat. prasowe
Moduł keyloggera ze zdjęciem Galaktyki
Możliwe, że irańscy specjaliści znaleźli tylko keyloggera, a główny moduł Duqu oraz dropper (łącznie z dokumentami zawierającymi nieznaną wtedy lukę) pozostawały niewykryte.
Etap 1: Penetracja, e-mail
Atak został przeprowadzony na wybrany wcześniej cel. Z oczywistych powodów nie możemy ujawniać nazwy firmy, która była celem w incydencie nr 1. Podobnie jak w przypadku incydentu badanego przez CrySyS Lab, atak został przeprowadzony za pośrednictwem poczty e-mail.
Obiekt został zaatakowany dwukrotnie - 17 i 21 kwietnia 2011 r. Pierwsza próba okazała się nieudana (e-mail od osób atakujących trafił do śmieci). Atak został powtórzony cztery dni później, jednak z nieco zmienionym tematem e-maila.
fot. mat. prasowe
Fałszywy e-mail
oprac. : Katarzyna Sikorska / eGospodarka.pl
Przeczytaj także
-
Trojan Duqu: nieznany język programowania
-
Nowy trojan Duqu
-
Jakie aplikacje podatne na ataki hakerskie?
-
Szkodliwy program Stuxnet "umarł"
-
Szkodliwe programy Stuxnet/Duqu a platforma "Tilded"
-
Guloader najczęściej wykrywanym złośliwym programem w Polsce
-
Nowa fałszywa aktualizacja Flash Player
-
Botnety coraz groźniejsze
-
Kaspersky Lab: szkodliwe programy III kw. 2013