На прошлой неделе сообщество ИТ специалистов, особенно безопасников, содрогнуло очередное сообщение о появлении опасного вируса, нацеленного на промышленные предприятия. Так называемого Duqu, последователя дела Stuxnet. Эта новость одновременно поступила от двух антивирусных вендоров, исследовательские лаборатории которых обнаружили вредоноса в один день. Но информация о происхождении вируса и его назначении принципиально не совпадает. Похоже, не особо вникая в суть происходящего при этой массированной атаке, каждый пытается быть первым. Мало кто заботится о том, чтобы дать проверенную информацию.
Если посмотреть оценки различных лабораторий, то можно заметить, что масса ключевых вопросов, относящихся как к функционалу этой программы, так и к способам защиты от нее, просто игнорируются. Например, не до конца ясно, как он распространяется и атакует, как его проще остановить и удалить из системы и т.п. Лаборатории, в том числе и наша, последовательно работают над созданием приемов защиты. Эта вредоносная программа вместе со Stuxnet является одним из самых сложных троянов в истории вирусописательства, и хотя на понимание механизмов работы и выработки защитных технологий брошены значительные силы, для разработки надежной защиты понадобиться какое-то время.
Мы не бежим впереди паровоза, и после анализа сигнатур вируса наша лаборатория пришла к следующим выводам:
Duqu скорей всего не предназначен для атак на промышленные предприятия
Вирус Duqu предназначается для всех видов операционных систем семейства Windows – XP, Vista и Windows 7. Он не имеет программных закладок и специального кода, нацеленного на ОС промышленных предприятий (и специальных технологических ОС). Но возможно, это программа-разведчик, подготавливающая почву для будущих атак (например, с помощью трояна Stuxnet и других вредоносных программ). Это доказывает тот факт, что он не был «заточен» под промышленные предприятия, как его предшественник Stuxnet.
Duqu скорей всего не является опасным вирусом, который будет атаковать системы
Duqu классифицируется как RAT (троянская программа с удаленным контролем). Это «похититель информации”. После заражения, вредонос начинает собирать следующую информацию о сети: тип ОС, клиенты, установленное программное обеспечение, окружение SCADA и т.д. С помощью этой информации злоумышленники могут готовить более точные и более эффективные атаки на выбранные компании. Duqu используется в определенных стратегических целях, по достижении которых может последовать удар от другой программы. Но с другой стороны меня привлекает внимание цифра 36 дней, которая также выбрана не с проста. Напоминаем, что вирус имеет механизм, самостоятельно удаляющий его по истечении 36 дней. Мне в голову приходит биологический цикл человека, один из которых также длится около 36 дней. Возможно, это просто совпадение.
Программа очень технологична и обходит механизмы обнаружения
19 октября 2011 г. в 9:54 мы обнаружили драйверы, названные “Rootkit.Duqu.A» или «Trojan.Generic.6742310”. Программа-инсталлятор трояна не была обнаружена по базе сигнатур. Мы в настоящее время проводим проверку, остановил ли поведенческий блокиратор эту вредоносную программу. Но с другой стороны, команда разработчиков, стоящая за трояном, очень технологически продвинута, и эта программа может обходить почти все известные механизмы обнаружения.
Duqu и Stuxnet скорей всего имеют одного автора
Код и некоторые процедуры очень похожи на код, который был использован в Stuxnet. К сожалению, до сих пор неясно, кто стоит за Stuxnet. Но команда разработчиков, стоящая за трояном, возможно, связана со Stuxnet. Они доказали, что могут доставить вредоносный код в хорошо охраняемые зоны. И это то, что делает данный случай таким пугающим.