Представители сразу нескольких антивирусных компаний
сообщили о появлении новой серии вирусов, которые являются прямыми наследниками
вируса Stuxnet. Новая серия вирусов, получившая
название Duqu по классификации Symantec, обнаружена в сетях нескольких европейских компаний,
производящих системы управления для нефтепроводов и другой критически важной
инженерной инфраструктуры. Таким образом, если вирус Stuxnet
был направлен на срыв иранской ядерной программы за счет заражения SCADA-систем, управляющих линиями по обогащению урана, то
вирус Duqu может быть направлен
на саботаж транспортировки нефти в каких-то странах мира.
Вирус Duqu, уже найденный в «диком
виде», представляет собой модульный «троянец», который устанавливает на
зараженные машины дополнительные компоненты для перехвата вводимых с клавиатуры
символов и организации скрытого удаленного доступа к системам. Согласно выводам
целого ряда экспертов, код нового вируса построен на базе вируса Stuxnet, который, по неподтвержденным данным издания N.Y. Times, был создан в рамках
совместной операции США и Израиля. Это сходство, по мнению экспертов,
обусловлено тем, что авторы вируса Duqu имели доступ к
исходному коду Stuxnet. Кроме того, драйвер ядра из
состава Duqu (JMINET7.SYS) оказался настолько похож на
аналогичный драйвер Stuxnet (MRXCLS.SYS), что некоторые антивирусные системы принимали
новый вирус за Stuxnet. Наконец, вирус Duqu использует для подписывания драйверов похищенные
сертификаты тайваньской компании C-Media Electronics, как и Stuxnet, который
использовал сертификаты других двух тайваньских компаний, работающих в смежных
с C-Media областях.
На данный момент исследователи не называют точный список
компаний, пострадавших от вируса Duqu, проводя
детальное изучение всех разновидностей этого нового «троянца». По имеющимся
данным, вирус не предназначен для вывода атакуемых систем из строя. Вместо
этого Duqu выполняет миссию
скрытого наблюдения, собирая и отправляя данные на сервер своих авторов с
использованием как открытых, так и зашифрованных каналов. Собираемые данные
могут позволить заинтересованным лицам легко провести атаку позднее, когда сам вирус уже
уничтожит сам себя. Главной мишенью Duqu, как и в
случае Stuxnet, являются SCADA-системы
(Supervisory Control And Data Acquisition – Диспетчерское управление и сбор
данных), применяемые для контроля крупных промышленных систем и комплексов.
Некоторые части вирусы Duqu содержат фрагменты из последних
обнаруженных в марте этого года вариантов Stuxnet. Некоторые из этих вариантов
появились в сентябре текущего года, однако по ряду признаков эксперты считают,
что атаки Duqu начались еще в
декабре 2010 года. Если эти выводы верны, то вирус Duqu развивается уже почти
год, а то и более.
Есть у Duqu и
важное отличие от Stuxnet – если последний распространялся от одной целевой системы к другой, то Duqu не имеет механизма размножения.
Его изученные разновидности работают
в течение 36 дней после заражения, а потом автоматически удаляют себя из
зараженной системы.
Судя по направленному характеру новой угрозы, в ближайшие
дни стоит ожидать все новых и новых сообщений о вирусе Duqu.
По материалам сайта The Register.
|
