Duqu

Duqu er en computerorm, der blev opdaget den1 st september 2011og formodes at være relateret til Stuxnet . Det opdages af Cryptography and System Security Laboratory (CrySyS Lab) fra Polytechnic and Economic University of Budapest. Navnet kommer fra "~ DQ" -præfikset, som det giver navnene på de filer, det opretter.

Det blev angiveligt oprettet af de israelske efterretningstjenester.

Operation

Udtrykket Duqu dækker flere forskellige betydninger:

Den malware Duqu er et sæt af softwarekomponenter giver en række tjenester til sine sponsorer. I øjeblikket inkluderer dette informationstyverifunktioner og i baggrunden kernepiloter og injektionsværktøjer. En del af denne malware er kodet i et programmeringssprog på højt niveau kaldet "Duqu Framework". Det er ikke C ++ , python , ada , lua eller noget af de testede sprog. Imidlertid forskning fraMarts 2012 antyder, at Duqu kunne have været kodet i Object Oriented C (OOC) og kompileret med Microsoft Visual Studio 2008.

Ligesom Stuxnet angriber Duqu Windows med en nul-dags sårbarhed .

Det første installationsprogram, gendannet og afsløret af CrySyS Lab, bruger en Microsoft Word (.doc) -fil, der udnytter Win32ks TrueType-fontbehandlingsmotor, hvilket muliggør vilkårlig kodeudførelse. Duqus installationsprogram er afhængig af fontintegration ved hjælp af svagheden "T2EMBED.DLL" (som er en motor til behandling af indlejrede skrifttyper). Sårbarhedsidentifikatoren fra Microsoft er MS11-087 (første konsultation dateret13. november 2011).

Forholdet til Stuxnet

Symantec , baseret på CrySyS-rapporten, fortsatte med at analysere truslen, som den beskrev som "næsten identisk med Stuxnet , men med et helt andet fokus" og offentliggjorde en detaljeret teknisk artikel om den med en forkortet version af den originale CrySyS-rapport som et tillæg. Symantec mener, at Duqu blev oprettet af de samme forfattere som Stuxnet eller under alle omstændigheder, at de havde adgang til kildekoden til denne. Ormen har ligesom Stuxnet en gyldig, omend voldelig, digital signatur og indsamler oplysninger til fremtidige angreb. Mikko Hyppönen, forskningsleder for F-Secure , sagde, at Duqus kernedriver, JMINET7.SYS var så tæt på Stuxnet's , MRXCLS.SYS, at F-Secures scanningssystem mente, at det var Stuxnet . Hyppönen tilføjede, at nøglen Duqu brugte til at generere sin egen signatur (set i kun et tilfælde) blev stjålet fra C-Media, der ligger i Taipei . Gyldighedsbeviserne måtte udløbe den2. august 2012 men blev tilbagekaldt den 14. oktober 2011ifølge Symantec.

En anden kilde, Dell SecureWorks, rapporterer, at Duqu muligvis ikke er relateret til Stuxnet . Ikke desto mindre er der vigtige spor mellem disse to malware .

Eksperter sammenlignede fællesforholdet mellem to malware og fandt tre vigtigste:

Installationsprogrammet udnytter nul dags sårbarheder i Windows-kernen.
Komponenterne er signeret med stjålne digitale nøgler.
Begge er stærkt målrettet mod Irans nukleare program.

Mål

Duqu leder efter oplysninger, der kan være nyttige til angreb på industrielle kontrolsystemer. Dens formål er ikke destruktivt, dets komponenter prøver at samle information. Baseret på den modulære struktur af Duqu kunne en særlig nyttelast imidlertid bruges til at angribe ethvert computersystem på forskellige måder, og derfor er et Duqu-baseret cyber-fysisk angreb muligt. Derudover har det vist sig, at brug på en personlig computer sletter alle nylige oplysninger, der er indtastet på systemet, og i nogle tilfælde sletter hele indholdet af harddisken.

Intern Duqu-kommunikation er blevet analyseret af Symantec, men den nøjagtige metode til duplikering på tværs af et netværk er endnu ikke helt forstået. Ifølge McAfee er en af dens handlinger at stjæle digitale certifikater (og deres private nøgler, relativt til offentlig nøglekryptografi) fra angrebne computere for at tillade fremtidige vira at fremstå som sikker software. Duqu bruger et 54x54 pixel JPEG-billede og krypterede dummy-filer som containere til at sende de erhvervede data til sin kommando- og kontrolserver. Sikkerhedseksperter analyserer stadig koden for at bestemme, hvilken information disse meddelelser indeholder. Forskning har vist, at malware automatisk afinstallerer sig selv efter 36 dage, hvilket vil begrænse dets opdagelse.

Nøglepunkterne er:

Duqu blev udviklet efter Stuxnet og er baseret på kildekoden til sidstnævnte
Eksekverbare enheder er designet til at registrere tastetryk og systeminformation
Nuværende analyser har ikke fundet nogen kode relateret til kontrol af industrielle systemer, udnyttelser eller kloning.
Eksekverbare enheder er fundet i et begrænset antal organisationer, herunder dem, der er involveret i fremstilling af industrielle kontrolsystemer.
De exfiltrerede data kunne bruges til at aktivere et fremtidigt Stuxnet- type angreb eller er allerede blevet brugt som basis for det

Kommando- og kontrolservere

Nogle Duqu kommando- og kontrolservere blev analyseret. Det ser ud til, at de mennesker, der lancerede angrebene, har en forkærlighed for CentOS 5.x- servere , hvilket får nogle forskere til at tro, at de havde fundet en nul-dagsudnyttelse til dem. Serverne er placeret i forskellige lande, inklusive Tyskland, Belgien, Filippinerne og Kina. Kaspersky har offentliggjort flere blogindlæg om disse servere.

Noter og referencer

(fr) Denne artikel er helt eller delvist taget fra den engelske Wikipedia- artikel med titlen " Duqu " ( se listen over forfattere ) .

" Spionvirus knyttet til Israels målrettede hoteller brugt til Iran-nukleare samtaler " , på Wall Street Journal ,2015