Duqu: atklāti mērķtiecīgi uzbrukumi objektiem Irānā un Sudānā

Kaspersky Lab eksperti turpina pētīt jauno kaitīgo programmatūru Duqu, kas ir līdzīga bēdīgi slavenajam «rūpnieciskajam» datortārpam Stuxnet. Lai gan jaunā kiberapdraudējuma radītāju patieso mērķi vēl nav izdevies noskaidrot, jau tagad eksperti ir vienisprātis, ka Duqu ir universāls rīks mērķtiecīga uzbrukuma veikšanai ierobežotam objektu skaitam, turklāt katrā gadījumā to ir iespējams modificēt atkarībā no uzdevuma.

Pētījuma pirmajā posmā Kaspersky Lab speciālisti atklāja vairākas Duqu īpatnības. Pirmkārt, katrā kaitīgās programmatūras modifikācijā ir izmantota pārveidota vadīšanas programma, kas nepieciešama sistēmas inficēšanai. Vienā gadījumā tā izmantoja viltotu ciparparakstu, citos – nebija parakstīta. Otrkārt, kļuva skaidrs, ka ļoti iespējama arī citu Duqu elementu pastāvēšana, kuri pagaidām nav atrasti. Tas viss ļāva secināt, ka šīs kaitīgās programmatūras iespējas var mainīt atkarībā no tā, kāda veida objektam ir paredzēts uzbrukt.

Mazais inficēšanas gadījumu skaits (tikai viens Kaspersky Lab pētījuma pirmās daļas publicēšanas brīdī) ievērojami atšķir Duqu no Stuxnet, kam jaunā kaitīgā programmatūra ir acīmredzami līdzīga. Laikā, kas pagājis kopš kaitīgās programmatūras atklāšanas, izmantojot drošības mākoņsistēmu Kaspersky Security Network, ir izdevies konstatēt jaunus inficēšanas gadījumus. Viens no tiem ir reģistrēts lietotājam Sudānā, vēl trīs – Irānā.

Katrā no šiem gadījumiem ir izmantota atšķirīga vadīšanas programma, kas nepieciešama sistēmas inficēšanai. Turklāt lietotāja no Irānas datorā tika konstatēti arī divi tīkla uzbrukumu mēģinājumi, izmantojot ievainojamību, ko iepriekš izmantoja gan Stuxnet, gan kaitīgā programmatūra Kido. Incidenti notika 4. un 16. oktobrī, un abos gadījumos uzbrukums tika veikts no vienas un tās pašas IP adreses, kas formāli pieder amerikāņu interneta pakalpojumu sniedzējam. Ja vienu uzbrukumu varētu piedēvēt parastajai Kido aktivitātei, kas joprojām ir tīmeklī plaši izplatīts vīruss, tad atkārtots mēģinājums liecina par to, ka runa ir tieši par mērķtiecīgu uzbrukumu objektam Irānā. Iespējams, ka uzbrukumā bija iesaistītas arī citas programmatūru ievainojamības.

«Lai gan vairākas sistēmas, kas cietušas no Duqu, atrodas Irānā, pagaidām nav pierādījumu, ka tās pieder rūpniecības, jo īpaši kodolrūpniecības, objektiem,» komentē Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Tāpēc nevar apgalvot, ka jaunās kaitīgās programmatūras mērķis ir tas pats, kas bija Stuxnet. Tomēr ir skaidrs, ka katrs inficēšanas gadījums ar Duqu ir unikāls. Mūsu apkopotā informācija ļauj droši teikt, ka Duqu tiek izmantots mērķtiecīgam uzbrukumam iepriekš izvēlētiem objektiem.»

Ar Duqu pētījuma jaunākajiem rezultātiem sīkāk var iepazīties tīmekļa vietnē [url]www.securelist.com[/url]

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Atbildēt

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *