Stuxnet 2.0 – sofistikovaný malware má nástupce

redakce 07.12.2011

Nové informace – tvůrci malwaru Stuxnet jsou zřejmě nadále aktivní. Nástupcem Stuxnetu je totiž nová hrozba označovaná jako DuQu.

Soubory mohou předstírat, že jsou podepsány digitálním certifikátem společnosti C-Media Electronics...

Červ Stuxnet, možná nejsofistikovanější kybernetická hrozba posledního desetiletí, se dočkal nástupce. Společnost McAfee získala od týmu nezávislých výzkumníků sadu útočných kódů, které jsou odvozeny z kódů červa Stuxnet. Malware používá ovladače a šifrované knihovny DLL s obdobnou funkcionalitou jako Stuxnet, obdobné jsou rovněž použité šifrovací klíče. Některé funkce malwaru DuQu se od Stuxnetu odlišují, hlavní rozdíl je však v cílech útočníků. Na rozdíl od Stuxnetu není DuQu navržen za účelem sabotáže systémů řídících průmyslové procesy (infekce červem Stuxnet poškodila mj. odstředivky používané v Íránu pro obohacování uranu), ale především pro útoky na weby certifikačních autorit. Další cílem malwaru DuQu je špionáž – zejména krádeže duševního vlastnictví z informačních systémů průmyslových podniků. Společnost McAfee doporučuje, aby především firmy poskytující certifikační autoritu ověřily, zda jejich systémy nebyly narušeny tímto útokem.

Malware DuQu je ovládán pomocí šifrovaného konfiguračního souboru. Pokouší se komunikovat s řídicím serverem v Indii, příslušná IP adresa řídicího serveru byla však již zařazena na black list a v tuto chvíli nefunguje. DuQu může na zasaženém počítači instalovat další škodlivé kódy, odhalen byl související keylogger (program zaznamenávající stisky kláves). Malware se před odhalením bezpečnostními programy může skrývat pomocí funkcionality rootkitu.

Společnost McAfee detekuje malware DuQu jako PWS-Duqu, PWS-Duqu.dr a PWS-Duqu! Rootkit. Názvy ovladačů, které DuQu používá, mohou být cmi4432.sys a jminet7.sys. Příslušné soubory mohou předstírat, že jsou podepsány digitálním certifikátem společnosti C-Media Electronics, tento certifikát by však již měl být neplatný.

Výzkumníci laboratoří McAfee Labs Guilherme Venere a Peter Szor označují útok
s nadsázkou a narážkou na špionážní román Fredericka Forsytha jako Den zlatého šakala (Day of the Jackal Golden). Canis aureus, šakal zlatý nebo též obecný, žije v severní Africe, na Blízkém východě a na Balkáně. Právě na certifikační autority z této oblasti se soustřeďovaly dosud zaznamenané útoky malwaru DuQu.

Více informace najdete na webu McAfee (http://blogs.mcafee.com/mcafee-labs/the-day-of-the-golden-jackal-%e2%80%93-further-tales-of-the-stuxnet-files)