Зловред, произошедший от червя Stuxnet, заражает создателей SCADA

Тема в разделе "Новости информационной безопасности", создана пользователем Саныч, 20 окт 2011.

  1. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697
    Компании, вовлеченные в создание систем для контроля над нефтепроводами и другой критической инфраструктурой, были заражены вредоносным ПО, произошедшим напрямую от Stuxnet, целью которого была иранская ядерная программа.

    Исследователи из компании Symantec написали в этот вторник в блоге, что части нового зловреда почти идентичны Stuxnet, и что он был написан авторами знаменитого червя, либо людьми, которые имели прямой доступ к исходному коду Stuxnet.

    Один из вариантов Duqu был разработан не позднее этого месяца, а другой, возможно, тайком заражал цели уже с декабря, сказал в интервью Кевин Хэйли, директор по управлению продуктами компании Symantec. Исследователи все еще анализируют сложный троян на предмет выяснения его точной миссии и целей, но его открытие само по себе имеет большую важность, поскольку он был нацелен на группы, задействованные в создании промышленных систем контроля, и повторно использовал код, который был доступен лишь авторам Stuxnet.

    "Люди, которые стоят за Stuxnet, еще не закончили свое дело", - сказал он. "Они стали создавать другое вредоносное ПО. Это был не одноразовый случай".

    Хэйли отказался назвать конкретные цели нового трояна, но, согласно блогу Symantec, образец Duqu был обнаружен на компьютерных системах, находящихся в Европе, у ограниченного числа организаций, включая те, что занимаются созданием промышленных систем контроля. Такие SCADA, или системы диспетчерского контроля и сбора данных, используются для того, чтобы открывать и закрывать клапаны и контролировать работу оборудования и других физических функций на фабриках, нефтеперерабатывающих заводах и других промышленных организациях, многие из которых считаются критически важными для государственной безопасности.

    Обнаружение трояна произошло спустя чуть более года после обнаружения Stuxnet, червя, забравшегося в тысячи промышленных систем по всему миру и разрабатывавшегося как оружие для саботирования иранской ядерной программы. За период более 10 месяцев эта изощренная программа проникла в многочисленные заводы по обогащению урана и привела к поломке центрифуг.

    Исследователи все еще определяют точное поведение Duqu, но пока не нашли ничего, чтобы заставляло его саботировать операции своих жертв. Вместо этого, похоже, Duqu выполняет миссию по тихой разведке и шлет полученные данные и активы на сервер. Судя по всему, собранная информация должна облегчить операторам проведение в будущем атак против сторонних целей, которые Symantec не назвал.

    Хэйли также отметил, что Duqu содержит части исходного кода из последнего известного образца Stuxnet, который был обнаружен в марте. Запись одного из двоичных кодов произошла 1 сентября, и существует доказательство того, что атаки, использующие его варианты, могли происходить уже с декабря. Если это правда, то значит, что разработка и использование Duqu происходят уже почти год или даже дольше.

    В отличие от Stuxnet, который распространялся от цели к цели, у Duqu нет движка саморепликации. Он настроен таким образом, что работает в течение 36 дней, и затем удаляется с зараженной цели.

    Исследователи Symantec опубликовали подробное техническое описание Duqu здесь. А исследователи из F-Secure и McAfee опубликовали свои доклады здесь и здесь, которые во много вторят находкам Symantec.

    "Сходство кодов Duqu и Stuxnet очевидно", - написал Микко Хиппонен из F-Secure. "Драйвер ядра Duqu (JMINET7.SYS) настолько схож с драйвером Stuxnet (MRXCLS.SYS), что наши системы решили, что это и есть Stuxnet".

    Другим доказательством связи Stuxnet и Duqu служит то, что они оба использовали украденный у тайваньской компании C-Media Electronics цифровой сертификат для подписи сопутствующего драйвера. Создатели Stuxnet также использовали краденые цифровые ключи, принадлежавшие двум другим компаниям из Тайваня, которые работают в том же деловом районе, что и C-Media, сказали исследователи McAfee.

    Несмотря на то, что некие свидетельства связали Stuxnet с США и Израилем, его точные цели до сих пор остаются загадкой. Обнаружение произошедшего от Stuxnet трояна, активно атакующего свежие цели, лишь добавляет интриги. Можно с уверенностью сказать, что мы еще услышим о Duqu в ближайшие дни и недели.


    источник
     
    2 пользователям это понравилось.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Где?
     
  3. Саныч
    Оффлайн

    Саныч Активный пользователь

    Сообщения:
    869
    Симпатии:
    1.697

    Последняя здесь не отвечает.
     
    1 человеку нравится это.
  4. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    2 пользователям это понравилось.
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    «Лаборатория Касперского»: Duqu — сводный брат Stuxnet?

    «Лаборатория Касперского» подвела первые итоги исследования вредоносной программы Duqu, распространение которой стало одним из главных новостных поводов прошлой недели. Основная причина — сходство нового троянца с печально известным червем Stuxnet.

    Впервые Duqu был обнаружен в начале сентября 2011 года. Тогда пользователь из Венгрии обнаружил один из модулей вредоносной программы и загрузил его на сайт Virustotal, позволяющий проанализировать зараженный файл антивирусными программами различных производителей. Найденный сэмпл обладает функциональностью троянца-шпиона, который сохраняет собранные данные в файлы с именами вида ~DQx.tmp — отсюда и имя зловреда.

    Сходством со Stuxnet обладает основной модуль вируса, обнаруженный немного позднее. По мнению экспертов, именно он использовался для заражения системы и последующей загрузки троянца. При этом основной модуль и троянец могут работать независимо друг от друга, и по функциональности являются совершенно самостоятельными вредоносными программами. Несмотря на схожесть основного модуля Duqu со Stuxnet, «родственные связи» его шпионского компонента и червя несколько условны. Более того, серьезные различия наблюдаются в поведении вредоносных программ.

    После того, как были обнаружены несколько вариантов Duqu, эксперты «Лаборатории Касперского» начали в режиме реального времени отслеживать попытки заражения пользователей новой вредоносной программой. За первые сутки после начала детектирования Duqu был зафиксирован единственный реальный случай заражения системы, причем обнаружить удалось только основной модуль, который не имеет вредоносной функциональности. В то же время Stuxnet привел к десяткам тысяч заражений по всему миру, хотя и, предположительно, был направлен на единственную цель в Иране.

    Одной из пока не раскрытых тайн Duqu является изначальный способ проникновения в систему: инсталлятор или «дроппер», необходимый для этого, пока не обнаружен. Поиски этого элемента Duqu продолжаются, и именно он способен помочь выявить реальную цель данной вредоносной программы.

    Источник
     
    1 человеку нравится это.
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Специалисты ESET разработали метод определения точной даты заражения Duqu

    Компания ESET сообщает о том, что российские специалисты компании разработали метод определения точной даты проникновения вредоносных программ семейства Win32/Duqu в систему компьютера.

    Duqu – троянская программа, которая может быть использована для целенаправленных атак на крупные компании и промышленные предприятия. Вирусные аналитики компании ESET провели исследование файлов, полученных с зараженных данным вредоносным ПО компьютеров. Это позволило установить, что технологическое устройство Duqu совпадает с концепциями, реализованными в Stuxnet, а функциональность проанализированных драйверов, устанавливаемых Duqu, практически полностью повторяет код Stuxnet. То есть создателями данного вредоносного ПО является организация или группа людей, которая обладает доступом к исходным кодам уже некогда нашумевшего шпионского червя.

    Российские специалисты ESET также восстановили алгоритм шифрования конфигурационных файлов Duqu и его формат. При этом они разработали методику определения точной даты заражения системы данной троянской программой, что особенно важно при проведении криминалистической экспертизы при инцидентах, связанных с заражениями компьютеров на промышленных предприятиях. Кроме того, определение времени инфицирования системы также необходимо из-за особенностей распространения Duqu – срок его пребывания в системе компьютера ограничен.

    «На исследуемых нами образцах нам удалось установить даты заражения: первый набор показал дату 11/08/2011 (07:50:01), а второй - 18/08/2011 (07:29:07), - продолжает Александр Матросов. - Интересно, что время заражения системы Duqu практически идентично, но с разницей в одну неделю. При этом извлеченные образцы были из разных мест, что может говорить о том, что была проведена группа целенаправленных атак, однако пока их точная мотивация неизвестна».

    На сегодняшний день наиболее вероятной версией появления Duqu является сбор информации и дальнейшее координирование действий вредоносной программы из командного центра. При этом Duqu может скачивать и устанавливать дополнительную функциональность в виде модулей, которые уже выполняют основные цели атаки.

    Источник
     
    1 человеку нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    1 человеку нравится это.

Поделиться этой страницей