Эксперты «Лаборатории Касперского» продолжают исследование новой вредоносной программы Duqu, имеющей общие черты с печально известным «промышленным» червем Stuxnet. Хотя реальную цель создателей новой киберугрозы еще только предстоит выяснить, уже сейчас эксперты сходятся во мнении, что Duqu является универсальным инструментом для проведения целевой атаки на ограниченное число объектов, причем в каждом случае он может быть модифицирован в зависимости от задачи.
На первом этапе исследования специалисты «Лаборатории Касперского» выявили несколько особенностей Duqu. Во-первых, в каждой модификации вредоносной программы использовался видоизмененный драйвер, необходимый для заражения системы. В одном из случаев он задействовал поддельную цифровую подпись, в других – не был подписан. Во-вторых, стала очевидной высокая вероятность наличия и других элементов Duqu, которые пока не найдены. Все это позволило сделать вывод о том, что возможности данной вредоносной программы могут быть изменены в зависимости от того, какая именно цель является объектом атаки.
Малое количество заражений (всего одно на момент публикации первой части исследования «Лаборатории Касперского») серьезно отличает Duqu от Stuxnet, с которым у нового зловреда есть явные сходства. За время, прошедшее с момента обнаружения вредоносной программы, с помощью облачной системы безопасности Kaspersky Security Network удалось выявить новые случаи заражения. Одно из них было зафиксировано у пользователя в Судане, еще три – в Иране.
В каждом из случаев использовалась уникальная модификация драйвера, необходимого для заражения системы. Более того, на компьютере пользователя из Ирана, были также зафиксированы две попытки сетевых атак через уязвимость, которая ранее использовалась и Stuxnet, и вредоносной программой Kido. Инциденты произошли 4 и 16 октября, и в обоих случаях атака проводилась с одного IP-адреса, формально принадлежащего американскому интернет-провайдеру. Если одиночную атаку можно было бы «списать» на обычную активность Kido, по-прежнему широко распространенного в Сети вируса, то факт ее повторения говорит о том, что речь идет именно о таргетированной атаке на объект в Иране. Возможно, в ходе атаки были задействованы и другие уязвимости в программном обеспечении.
«Несмотря на то, что ряд пострадавших от Duqu систем находятся в Иране, пока нет доказательств их принадлежности к промышленным объектам, тем более ядерным, – комментирует Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского. – Соответственно, нельзя утверждать, что цель новой вредоносной программы – та же, что и у Stuxnet. Тем не менее, очевидно, что каждый случай заражения Duqu уникален. Собранная нами информация позволяет с уверенностью говорить о том, что Duqu используется для целевой атаки на заранее определенные объекты».
Подробные результаты нового исследования Duqu доступны на сайте http://www.securelist.com/ru/blog/207766916/Tayna_Duqu_chast_vtoraya
О «Лаборатории Касперского»
«Лаборатория Касперского» – крупнейший в Европе производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама. Компания входит в четверку ведущих мировых производителей программных решений для обеспечения информационной безопасности. По итогам 2010 года, выручка компании выросла на 38%, превысив 500 млн долларов США. В «Лаборатории Касперского» работают более 2300 высококвалифицированных специалистов. Продукты компании надежно защищают компьютеры и мобильные устройства более 300 млн пользователей во всем мире, технологии используются в продуктах крупнейших мировых поставщиков программных и аппаратных решений. Более подробную информацию можно получить на сайте www.kaspersky.ru
Источник: PR-агентство Newsfront
|