21.10.2011, 11:14
[attachment=3356]
Specjaliści do spraw bezpieczeństwa z firmy Symantec wykryli trojana — Duqu — który prawdopodobnie został napisany przez te same osoby, co cieszący się złą sławą Stuxnet. Duqu został odnaleziony na komputerach kilku europejskich firm, a konkretnie na maszynach sterujących procesem produkcyjnym.
Symantec poinformował, że Duqu pod wieloma względami przypomina Stuxnet, a jego metody komunikacji są charakterystyczne dla nowoczesnych trojanów, na przykład ZeuSa. Symantec sugeruje, że autorzy Duqu mieli dostęp do kodu źródłowego Stuxneta, lub są to nawet te same osoby. Jednak w przeciwieństwie do Stuxneta, który został zaprojektowany aby manipulować systemami przemysłowymi, Duqu to typowy spyware, który „jedynie” zbiera i wysyła informacje. Zebrane informacje są przez robaka wysyłane do serwera kontrolującego szyfrowanym kanałem. W razie potrzeby operatorzy botnetu mają możliwość doinstalowania kolejnych komponentów robaka, co raz miało nawet miejsce — do Duqu dołączony został moduł przechwytujący i wysyłający zrzuty ekranu, wciśnięte klawisze klawiatury, listę uruchomionych procesów oraz podłączone zasoby sieciowe. Robak sam się usuwa z zainfekowanego komputera po 36 dniach od wstrzyknięcia.
Eksperci z Symanteca uważają, że Duqu to tylko zwiastun pojawienia się kolejnej generacji Stuxneta. Magazynowanie poufnych danych z zakładów przemysłowych z pewnością posłuży do przygotowania bardziej ukierunkowanych ataków na instytucje, gdzie urządzenia pochodzące z tych zakładów są wykorzystywane. Symantec nie podaje szczegółów, ale możemy spodziewać się, że w przygotowaniu jest seria akcji na miarę cyberataku na irańską elektrownię atomową z wykorzystaniem Stuxneta.
Nie wiadomo jeszcze jak Duqu się rozprzestrzenia, ale Symantec poinformował, że niektóre związane z nim pliki zostały podpisane prywatnym kluczem powiązanym z certyfikatem używanym do podpisywania oprogramowania, wydanym przez Symantec. Klucz został ukradziony jednej z zaatakowanych przez Duqu firm, ale Symantec szybko wycofał certyfikat tego klienta. Sam wydawca certyfikatu nie padł ofiarą żadnego ataku.
Tekst i komentarze, tutaj:
http://www.dobreprogramy.pl/Symantec-zna...28416.html
Specjaliści do spraw bezpieczeństwa z firmy Symantec wykryli trojana — Duqu — który prawdopodobnie został napisany przez te same osoby, co cieszący się złą sławą Stuxnet. Duqu został odnaleziony na komputerach kilku europejskich firm, a konkretnie na maszynach sterujących procesem produkcyjnym.
Symantec poinformował, że Duqu pod wieloma względami przypomina Stuxnet, a jego metody komunikacji są charakterystyczne dla nowoczesnych trojanów, na przykład ZeuSa. Symantec sugeruje, że autorzy Duqu mieli dostęp do kodu źródłowego Stuxneta, lub są to nawet te same osoby. Jednak w przeciwieństwie do Stuxneta, który został zaprojektowany aby manipulować systemami przemysłowymi, Duqu to typowy spyware, który „jedynie” zbiera i wysyła informacje. Zebrane informacje są przez robaka wysyłane do serwera kontrolującego szyfrowanym kanałem. W razie potrzeby operatorzy botnetu mają możliwość doinstalowania kolejnych komponentów robaka, co raz miało nawet miejsce — do Duqu dołączony został moduł przechwytujący i wysyłający zrzuty ekranu, wciśnięte klawisze klawiatury, listę uruchomionych procesów oraz podłączone zasoby sieciowe. Robak sam się usuwa z zainfekowanego komputera po 36 dniach od wstrzyknięcia.
Eksperci z Symanteca uważają, że Duqu to tylko zwiastun pojawienia się kolejnej generacji Stuxneta. Magazynowanie poufnych danych z zakładów przemysłowych z pewnością posłuży do przygotowania bardziej ukierunkowanych ataków na instytucje, gdzie urządzenia pochodzące z tych zakładów są wykorzystywane. Symantec nie podaje szczegółów, ale możemy spodziewać się, że w przygotowaniu jest seria akcji na miarę cyberataku na irańską elektrownię atomową z wykorzystaniem Stuxneta.
Nie wiadomo jeszcze jak Duqu się rozprzestrzenia, ale Symantec poinformował, że niektóre związane z nim pliki zostały podpisane prywatnym kluczem powiązanym z certyfikatem używanym do podpisywania oprogramowania, wydanym przez Symantec. Klucz został ukradziony jednej z zaatakowanych przez Duqu firm, ale Symantec szybko wycofał certyfikat tego klienta. Sam wydawca certyfikatu nie padł ofiarą żadnego ataku.
Tekst i komentarze, tutaj:
http://www.dobreprogramy.pl/Symantec-zna...28416.html