Kaspersky Lab: szkodliwe programy II 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy XI 2011

Badania dotyczące szkodliwego programu Duqu zmieniły kierunek z proaktywnej na dogłębną analizę oraz podsumowanie zgromadzonych danych. W styczniu i lutym 2012 r. nasi eksperci skoncentrowali się na technicznych aspektach Duqu, takich jak jego systemy serwerowe służące do gromadzenia danych oraz wbudowane moduły trojana.

Od końca grudnia 2011 r. nie wykryliśmy już żadnych śladów Duqu w Internecie. Jak dowiedzieliśmy się, w dniach 1-2 grudnia 2011 r. autorzy tego programu trojańskiego po raz kolejny wyczyścili swoje serwery na całym świecie. Próbowali naprawić błędy popełnione 20 października podczas swojego pierwszego czyszczenia serwera. Dzięki temu można poznać tymczasowe skutki ostatniego ataku.

Kaspersky Lab odnotował ponad tuzin incydentów Duqu, przy czym przeważająca większość ofiar znajdowała się w Iranie. Analiza zaatakowanych organizacji oraz rodzaju danych, którymi są zainteresowani autorzy Duqu, pozwala sądzić, że osoby odpowiedzialne za te ataki szukały głównie informacji o systemach zarządzania produkcją w różnych sektorach przemysłu w Iranie, jak również informacji o związkach handlowych między kilkoma irańskimi organizacjami.

Na podstawie analizy kodu Duqu eksperci z Kaspersky Lab doszli do wniosku, że oprócz wykorzystania pewnego typu standardowej platformy (o nazwie Tilded) autorzy Duqu najprawdopodobniej zastosowali własny szkielet rozwinięty w nieznanym języku programowania.

W oparciu o zebrane przez nas dane można założyć, że twórcy platformy Tilded będą najprawdopodobniej kontynuowali swoją pracę i w przyszłości (prawdopodobnie bardzo bliskiej) będziemy mieli do czynienia z efektami ich pracy.

Ataki na użytkowników indywidualnych

Luki w systemie płatności Google Wallet

Jesienią 2011 roku Google uruchomił Google Wallet, system płatności elektronicznych, który pozwala użytkownikom płacić za towary i usługi przy użyciu telefonów działających pod kontrolą Androida z komunikacją bliskiego zasięgu (ang. Near Field Communication). Aplikacja Google Wallet jest instalowana na smartfonie, a użytkownik określa, jaka karta kredytowa będzie wykorzystywana. W celu przetworzenia płatności właściciel telefonu musi wprowadzić kod PIN do aplikacji Google Wallet oraz umieścić telefon w pobliżu urządzenia skanującego. Następnie telefon prześle zaszyfrowane dane, aby zakończyć transakcję.

Gdy Google ogłosił wprowadzenie tej nowej usługi, eksperci ds. bezpieczeństwa danych wyrazili obawy odnośnie bezpieczeństwa w razie gdyby telefon został zgubiony lub skradziony lub w inny sposób wpadł w cudze ręce. Następnie, na początku lutego, wykryto dwie metody włamania się do aplikacji Google Wallet.