Duqu представляет собой набор компьютерных вредоносных программ, обнаруженных 1 сентября 2011 г., предположительно связанных с червем Stuxnet и созданных Раздел 8200. Лаборатория криптографии и безопасности системы (CrySyS Lab ) Будапештского технологического и экономического университета в Венгрии обнаружила угрозу, проанализировала вредоносное ПО и написала 60-страничный отчет с описанием угрозы Duqu. Duqu получил свое название от префикса "~ DQ", который он дает именам создаваемых файлов.
Термин Duqu используется по-разному:
Symantec, основанная на отчете команды CrySyS под управлением доктора Тибо Гайнша, продолжила анализ угрозы, которую он назвал «почти идентичной Stuxnet»., но с совершенно другой целью », и опубликовал подробный технический документ по нему с урезанной версией исходного лабораторного отчета в качестве приложения. Symantec считает, что Duqu был создан теми же авторами, что и Stuxnet, или что авторы имели доступ к исходному коду Stuxnet. Червь, как и Stuxnet, имеет действующую, но злоупотреблял цифровой подписью и собирает информацию для подготовки к будущим атакам. Микко Хиппёнен, директор по исследованиям F-Secure, сказал, что драйвер ядра Duqu, JMINET7.SYS, настолько похож на MRXCLS.SYS Stuxnet, что внутренняя система F-Secure подумала, что это Stuxnet. Далее Хиппонен сообщил, что ключ, использованный для создания собственной цифровой подписи Duqu (наблюдаемый только в одном случае), был украден из C-Media, расположенного в Тайбэе, Тайвань. Срок действия сертификатов должен был истечь 2 августа 2012 года, но, согласно Symantec, они были отозваны 14 октября 2011 года.
Другой источник, Dell SecureWorks, сообщает, что Duqu, возможно, не имеет отношения к Stuxnet. Однако появляется все больше свидетельств того, что Duqu тесно связан со Stuxnet.
Эксперты сравнили сходство и обнаружили три интересных момента:
Подобно Stuxnet, атаки Duqu Системы Microsoft Windows, использующие уязвимость нулевого дня. Первый известный установщик (AKA dropper), восстановленный и раскрытый CrySyS Lab, использует документ Microsoft Word, который использует механизм синтаксического анализа Win32k TrueType font и разрешает выполнение. Дроппер Duqu относится к встраиванию шрифтов и, таким образом, относится к обходному пути для ограничения доступа к T2EMBED.DLL, который является механизмом анализа шрифтов TrueType, если патч, выпущенный Microsoft в декабре 2011 года, еще не установлен. Идентификатор угрозы Microsoft - MS11-087 (первое сообщение выпущено 13 ноября 2011 г.).
Duqu ищет информацию, которая может быть полезна при атаке промышленных систем управления. Его цель - не быть разрушительной, известные компоненты пытаются собрать информацию. Однако, основываясь на модульной структуре Duqu, специальная полезная нагрузка может использоваться для атаки любого типа компьютерной системы любыми средствами, и, таким образом, возможны киберфизические атаки на основе Duqu. Однако было обнаружено, что в системах персональных компьютеров можно удалить всю последнюю информацию, введенную в систему, а в некоторых случаях и полностью удалить жесткий диск компьютера. Symantec анализирует внутренние коммуникации Duqu, но фактический и точный метод репликации внутри атакуемой сети еще полностью не известен. Согласно McAfee, одним из действий Duqu является кража цифровых сертификатов (и соответствующих закрытых ключей, используемых в криптографии с открытым ключом ) с атакованных компьютеров, чтобы будущие вирусы выглядели как безопасное ПО.. Duqu использует файл JPEG размером 54 × 54 пикселя и зашифрованные фиктивные файлы в качестве контейнеров для передачи данных в свой центр управления и контроля. Эксперты по безопасности все еще анализируют код, чтобы определить, какую информацию содержат сообщения. Первоначальное исследование показывает, что исходный образец вредоносного ПО автоматически удаляется через 36 дней (вредоносное ПО сохраняет этот параметр в файлах конфигурации), что ограничивает его обнаружение.
Ключевые моменты:
Некоторые из серверов управления и контроля Duqu были проанализированы. Похоже, что люди, проводившие атаку, имели пристрастие к серверам CentOS 5.x, что наводит некоторых исследователей на мысль, что они использовали для этого эксплойт нулевого дня. Серверы разбросаны по разным странам, включая Германию, Бельгию, Филиппины, Индию и Китай. Kaspersky опубликовал несколько сообщений в блогах о серверах управления и контроля.